УДК 343

Проблемы защиты персональных данных граждан в Российской Федерации

Шипулин Георгий Фаризович – преподаватель кафедры Информационной безопасности факультета Информационных технологий Московского политехнического университета.

Аннотация: В статье затрагивается проблематика защиты персональных данных граждан в Российской Федерации в виду повсеместной цифровизации жизни общества, важность защиты и недопущения распространения персональных данных, влияние данного явления на общественные отношения, отмечаются тенденции роста цифровизации общества во всех направлениях жизнедеятельности, а также прямо пропорциональный рост обрабатываемой информации техническими автономными и сетевыми средствами автоматизации, приведена статистика утечек персональных данных в открытый доступ глобальной сети Интернет за 2020, 2021 и 2022 года в результате успешного проведения компьютерных атак, рассмотрены некоторые законодательные инициативы, направленные на защиту прав и свобод граждан в данном вопросе.

Ключевые слова: персональные данные, киберпреступления, компьютерные сети, информационная безопасность.

Цифровизация общества и общественных отношений приводит к необходимости обработки и хранения персональных данных граждан Российской Федерации как государственными, так и коммерческими (частными) информационными системами. Персональные данные согласно Федерального Закона от 27.07.2006г. N ФЗ-152 «О персональных данных» [1] являются любой информацией, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), также в нем определены и раскрыты такие понятия как оператор персональных данных, обработка персональных данных, распространение, блокирование и уничтожение персональных данных. Стоит отметить, что формулировка понятия персональные данные была дана достаточно размыто, по мнению автора законодателем была использована с целью полного охвата информации, которая может попадать под категорию персональных данных. Целью введения данной законодательной инициативы в 2006 годы было желание законодателя произвести регулирование отношений, связанных с обработкой персональных данных государством и юридическими лицами, обеспечить защиту прав и свобод граждан в виду непрерывно растущей цифровизации жизни общества, с тех пор Федеральный Закон претерпел несколько редакций.

Жители крупных городов зачастую являются пользователями различных онлайн-сервисов, таких как, такси, доставки, онлайн-кинотеатров и др. Согласно опроса российского информационного агентства ТАСС, проведенного в 2019 году, сервисами доставки готовой еды пользуются около 65% жителей городом с населением более 1 миллиона человек, в финансовых результатах за второй квартал 2022 года Яндекса отражается, что сервис «Яндекс Go» охватывает около 36 миллионов активных пользователей в месяц, а онлайн-кинотеатр «Кинопоиск» – около 6 миллионов. [5][7] Под пользователем следует понимать человека, зарегистрированного на соответствующей платформе и прошедшего определенную верификацию, например, с указанием номера сотового телефона и реквизитами банковской карты. Можно предположить, что по крайней мере половина населения Российской Федерации зарегистрированы как минимум на одном онлайн-сервисе, т.е. имеют зарегистрированную учетную запись пользователя.

Стоит также отметить, что появление, внедрение и применение информационных технологий происходит повсеместно, что влияет на социальные, экономические, моральные и идеологические общественные отношения. Коммерческие и государственные организации используют различные средства автоматизации, электронного документооборота с целью сокращения временных издержек и повышения эффективности своей работы. Таким образом, в информационной системе соответствующей организации хранятся и обрабатываются персональные данные физических и юридических лиц, которые являются её пользователями, клиентами или партнерами.

Ввиду развивающегося тренда повсеместной автоматизации хранения и обработки персональных данных на сетевых ресурсах, повышается риск их копирования, модификации или удаления в результате успешного проведения компьютерных атак злоумышленниками или разглашения и передачи внутренним нарушителем, т.е. сотрудником компании, что повышает значимость информационной безопасности в любой организации, использующей средства электронной коммуникации, обеспечение которой, по мнению автора, не должно заключаться преимущественно в утверждении профильных регламентов. Данное предположение подтверждается количеством хакерских атак на крупные сетевые объекты компаний и государственных организаций и выкладываемым в глобальную сеть Интернет объемом персональных данных граждан в результате их успешной реализации. Согласно статистического исследования компании InfoWatch в 2021 году количество утекших записей с персональными данными россиян составило 80.5 миллионов, что на 20% больше по сравнению с 2020 годом, в 2022 году ситуация обострилась, многие крупные государственные и коммерческие организации были подвержены компьютерным атакам в результате которых в открытый доступ сети Интернет попали персональные данные миллионов пользователей различных сервисов: медицинских учреждениях, социальных сетях, государственном секторе и др. [6] В некоторых из них содержатся паспортные данные, СНИЛС, номер сотового телефона, адрес электронной почты и реквизиты банковской карты.

Основной причиной возникновения подобных учетек информации, как правило, является наличие недостатков в подсистемах безопасности сетевой инфраструктуры организации, в которой, в частности, хранятся и обрабатываются персональные данные пользователей. Данные недостатки используются злоумышленниками в ходе реализации сетевых атак на сетевые объекты организации или внутренними нарушителями, сотрудниками компании, с целью получения корыстной выгоды. Полученные сведения в зависимости от их полезности в коммерческой, противоправной деятельности, направленной в том числе и на дискредитацию органов государственной власти, можно продать в теневом сегменте сети Интернет – «Darknet». Кроме того, утекшие персональные данные граждан могут использоваться с целью дестабилизации политической обстановки, одним из примеров может являться распространение фейкового списка граждан, подлежащих частичной мобилизации в сентябре 2022 года, которых был собран из разных слитых баз данных, в которых указывались ФИО, год и место, номер и серия паспорта, место регистрации. [2]

В декабре 2022 года Правительством Российской Федерации рассматривается законопроект о внесении изменений в УК РФ, предполагающий введение уголовной ответственности за кражу, неправомерное распространение и продажу персональных данных с наказанием в виде лишения свободы до 10 лет. [3] В случае принятия рассматриваемой законодательной меры, деятельность сервисов, предоставляющих агрегацию персональных данных, слитых в открытый доступ, выйдет из легального правового поля. Тем не менее, по мнению автора, законодательная инициатива не сильно скажется на использовании украденных персональных данных профессиональными и высоко квалифицированными преступными группами, чьей основной деятельностью является совершение преступлений, в первую очередь мошенничества, посредством средств электронной коммуникации, к распространенным методам совершения подобного рода преступлений относятся персональные фишинговые рассылки на электронные почтовые адреса, мессенджеры, «горячие» звонки и прочее.

Другой законодательной инициативой, подготовленной Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации является введение штрафов до трех процентов от годового оборота компании за утечку персональных данных в случае необеспечения их сохранности. [4] Предполагается, что введение данной законодательной нормы побудит компании к большей инвестиции и уделению внимания обеспечению информационной безопасности объектов сетевой инфраструктуры организации.

Подводя итог, можно сделать выводы, что проблема защиты персональных данных остается актуальной, тем не менее государство старается комплексно реагировать на новые угрозы, которые наносят значительный ущерб обществу и государству в целом, а также, что обеспечение информационной безопасности является неотъемлемой составляющей противодействия компьютерным преступлениям.

Список литературы

1. Федеральный закон от 27.07.2006 N152-ФЗ «О персональных данных» // "Российская газета" от 29.07.2006 г. N
2. В сети обнаружили фейковые мобилизационные списки. // Лента URL: https://lenta.ru/news/2022/09/23/fake/ (дата обращения: 15.12.2022).
3. Законопроект об уголовной ответственности за утечку личных данных поступил в кабмин // ТАСС URL: https://tass.ru/ekonomika/16607085 (дата обращения: 16.12.2022).
4. Минцифры выступает за штрафы до 3% от годового оборота за утечку персональных данных // Российская газета URL: https://rg.ru/2022/12/14/mincifry-vystupaet-za-shtrafy-do-3-ot-godovogo-oborota-za-utechku-personalnyh-dannyh.html (дата обращения: 15.12.2022).
5. Опрос: более 60% жителей городов-миллионников в России пользуются доставкой еды. // ТАСС URL: https://tass.ru/obschestvo/7309655 (дата обращения: 14.12.2022).
6. Утечки данных в России // TAdviser URL: https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России (дата обращения: 15.12.2022).
7. Яндекс объявляет финансовые результаты за II квартал 2022 года. // Яндекс URL: https://yandex.ru/company/press_releases/2022/2022-07-26 (дата обращения: 12.12.2022).