Утечка данных South Staffordshire Water: почему VPN не смог бы вам помочь

Утечка данных South Staffordshire Water: почему VPN не смог бы вам помочь

Управление комиссара по информации Великобритании (ICO) оштрафовало South Staffordshire Water на £963 900 (около $1,3 млн) после кибератаки, в результате которой были раскрыты персональные данные более 663 000 клиентов и сотрудников. Похищенные данные были опубликованы в даркнете, а ICO установило, что компания допустила серьёзные нарушения в области защиты данных. Сотни тысяч пострадавших людей не могли сделать ничего, чтобы предотвратить это. Данный случай наглядно демонстрирует ограничения VPN при корпоративных утечках данных — то, о чём заботящиеся о конфиденциальности потребители редко слышат.

Что произошло при утечке данных South Staffordshire Water

South Staffordshire Water — поставщик коммунальных услуг, обслуживающий клиентов по всему английскому Мидленду. Как водоснабжающая компания, она хранит данные клиентов, которые жители обязаны предоставлять по закону, включая имена, адреса и платёжную информацию, — просто чтобы получать услугу.

Киберпреступники получили несанкционированный доступ к системам компании и похитили большой объём персональных записей. Украденные данные были затем опубликованы на форумах даркнета, то есть стали доступны любому желающему их найти. По результатам расследования ICO пришло к выводу, что компания не реализовала надлежащих мер безопасности для защиты хранимых данных, — именно поэтому штраф был выписан в соответствии с законодательством Великобритании о защите данных.

Масштаб значителен: персональные данные 663 000 человек были скомпрометированы не по их вине. Они не имели никакого влияния на то, как компания хранила их данные, какие средства защиты применяла и как долго сохраняла записи.

Почему VPN не смог бы защитить вас в этом случае

Это одна из важнейших вещей, которые нужно понимать о персональных VPN: они защищают ваши данные в процессе передачи — то есть то, что покидает ваше устройство во время работы в интернете или общения. Они не защищают данные, которые третья сторона уже хранит на каком-либо сервере.

Когда вы подключаетесь к коммунальной службе, банку, поликлинике или муниципальному учреждению, вы передаёте личные данные, которые хранятся в базах данных этой организации. С этого момента безопасность ваших данных целиком зависит от того, насколько хорошо эта организация управляет своими системами, обучает сотрудников и реагирует на угрозы. VPN, работающий на вашем ноутбуке или телефоне, не имеет к этому никакого отношения.

В этом и состоит одно из ключевых ограничений VPN при корпоративных утечках данных. VPN защищает ваше соединение; он не может защитить чужую базу данных. Ни один инструмент, доступный рядовому потребителю, не способен этого сделать. Даже безупречная личная кибергигиена — использование VPN, надёжных паролей и многофакторной аутентификации — оставляет вас уязвимым перед утечками в организациях, которым вы вынуждены доверять свои данные.

Что штраф ICO говорит о сбоях в корпоративной защите данных

Штраф в £963 900 значителен, но его стоит рассмотреть в перспективе. Если разделить его на 663 000 пострадавших, получается около £1,45 на человека. Эта цифра не отражает реальных потерь этих людей, которые могут столкнуться с фишинговыми атаками, рисками кражи личных данных или постоянной тревогой о том, куда попали их данные.

Вывод ICO о серьёзных нарушениях безопасности указывает на системную проблему: организации, собирающие большие объёмы персональных данных, не всегда относятся к этой ответственности серьёзно — до тех пор, пока регулятор не вынуждает их к ответственности. В особенности это касается поставщиков основных услуг: у клиентов нет возможности выбрать другого. Вы не можете просто отказаться сообщать адрес своей водоснабжающей компании.

Именно здесь понимание политик хранения данных становится действительно полезным. Хранение данных означает, как долго организация сохраняет вашу личную информацию, прежде чем удалить её. Компания, которая бессрочно хранит многолетние записи о клиентах, создаёт значительно более привлекательную цель, чем та, которая удаляет данные, как только в них отпадает необходимость. Дело South Staffordshire напоминает: чем дольше данные находятся в системе, тем больше рисков они создают.

Как узнать, какие данные о вас хранят компании, и снизить свою уязвимость

Несмотря на то что полностью отказаться от передачи данных поставщикам основных услуг невозможно, вы можете предпринять шаги, чтобы понять и снизить степень своей уязвимости.

В соответствии с британским GDPR физические лица имеют право подать запрос на доступ к субъекту (SAR) в любую организацию, хранящую их персональные данные. Это обязывает организацию сообщить, какие данные она хранит, зачем и как долго планирует их хранить. Подача запросов SAR в коммунальные службы, финансовые учреждения и других поставщиков основных услуг даст вам более чёткое представление о вашей уязвимости.

Вы также можете потребовать от организаций удалить данные, которые больше не нужны для цели, с которой они были собраны, — согласно положениям о «праве на удаление» в законодательстве Великобритании и ЕС о защите данных. Это применимо не всегда, особенно там, где существуют законодательные требования к хранению, но об этом рычаге воздействия стоит знать.

Что касается данных, которыми вы управляете сами, — например, тех, что вы указываете при регистрации в необязательных сервисах, приложениях или программах лояльности, — здесь важно быть разборчивым в том, что вы предоставляете. Используйте второстепенный адрес электронной почты, указывайте только минимально необходимую информацию и изучайте политики хранения данных, прежде чем передавать что-либо конфиденциальное.

Наконец, отслеживайте, не появляется ли ваш адрес электронной почты или другие данные в известных базах утечек. Существуют бесплатные инструменты, которые оповещают вас, когда ваши учётные данные обнаруживаются в утечках, — это даёт возможность заблаговременно сменить пароли и быть начеку в отношении фишинговых атак.

Что это означает для вас

Утечка данных South Staffordshire Water — не исключение. Коммунальные службы, системы здравоохранения, местные органы власти и финансовые учреждения хранят огромные объёмы персональных данных, и не все они вкладывают соразмерные средства в их защиту. Штраф ICO свидетельствует о намерении регулятора привлекать к ответственности, однако штрафы носят реактивный, а не превентивный характер.

Как частному лицу, вам важнее всего осознать, где заканчивается ваш контроль. VPN — ценный инструмент для защиты того, что вы отправляете и получаете в интернете, однако ограничения VPN при корпоративных утечках данных реальны. Ваша безопасность не сильнее самой уязвимой базы данных, в которой хранится ваше имя.

Начните с подачи запроса на доступ к субъекту в компании, которые хранят ваши наиболее чувствительные данные, изучайте политики хранения данных сервисов, на которые вы подписываетесь, и будьте внимательны к уведомлениям об утечках. Понимание того, кто хранит ваши данные и как долго, — это максимальный контроль, которого большинство потребителей может реально достичь.