Ответственность за разглашение персональных данных по 137 УК РФ
Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность. Сущность юридического понятия персональных данных, необходимость законной защиты конфиденциальности частной жизни человека, ответственность за разглашение персональных данных — все эти вопросы рассмотрены в нашей статье.
Виды ответственности за разглашение персональных данных
Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.
Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу.
При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.
Подробнее о том, что такое персональные данные, мы рассказали здесь.
Пример
Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.
Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.
Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.
Персональные данные без штрафов
Время прохождения около 5 мин.
Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр. Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).
Что будет, если не получить согласие на обработку и использование персональных данных, читайте здесь.
Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.
Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье «Дисциплинарный проступок по ТК РФ — понятие и признаки».
За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:
- дисциплинарная — по ТК РФ;
- административная — по КоАП РФ;
- уголовная — по УК РФ.
О величине санкций за разглашение персональных данных сотрудников работником, имеющим доступ к такой информации, рассказали эксперты КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите в Путеводитель по кадровым вопросам.
Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.
Подробнее о дисциплинарной ответственности см. статью «Дисциплинарная ответственность работника и ее виды».
Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.
О существенном увеличении штрафов с 27.03.2021 мы рассказали в этом материале.
Уголовная ответственность по ст. 137 УК РФ
Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.
Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым. Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.
Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст.
Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.
Уголовная ответственность определяется в виде:
- либо штрафа;
- либо обязательных, принудительных или исправительных работ;
- либо лишения свободы.
Итоги
Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.
Ст. 89 ТК РФ. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.
При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
См. все связанные документы >>>
< Статья 88. Передача персональных данных работника
1. Статья 89 закрепляет права работника, которые ему предоставлены в целях обеспечения защиты персональных данных, хранящихся у работодателя.
Таковыми, например, являются право на полную информацию об этих данных и их обработке, право на свободный бесплатный доступ к указанным данным, право на требование об исключении или исправлении неверных или неполных персональных данных. Статья 89 Кодекса предусматривает право работника на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
2. Положения комментируемой статьи корреспондируют с нормами Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных (1981 г.). Так, в соответствии со ст. 8 указанной Конвенции любому лицу должно быть предоставлено право:
— быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе;
— периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;
— требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы, изложенные настоящей Конвенцией;
— прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, об уточнении или уничтожении данных не были удовлетворены.
Модельный закон о персональных данных (принят на 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ 16.10.1999) предусматривает следующие права субъекта персональных данных:
1) субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных за исключением случаев, предусмотренных Законом;
2) в целях реализации своих прав и свобод субъект предоставляет необходимые персональные данные, а также сведения об их изменениях в соответствующие органы государственной власти в объемах, определяемых законодательством;
3) субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ.
Право на доступ может быть ограничено только в случаях, предусмотренных Законом.
Указанная информация должна быть выдана субъекту персональных данных в доступной документированной форме, четко и ясно выраженной, и не должна содержать персональные данные, относящиеся к другим субъектам;
4) при наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные;
5) в случае если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя блокирования этих данных;
6) если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в административном, судебном или ином порядке в соответствии с национальным законодательством.
В случае установления неправомерности действий при работе с персональными данными субъект данных имеет право на возмещение убытков и на иные формы обеспечения прав в соответствии с национальным законодательством;
7) ограничение прав субъекта на свои персональные данные возможно в отношении:
— права предоставления субъектом своих персональных данных для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных национальным законодательством о государственной тайне;
— права доступа к своим персональным данным, внесения в них изменений и их блокирования в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, иных персональных данных в случаях, предусмотренных национальным законодательством.
3. Закон о персональных данных закрепляет следующие права субъекта персональных данных.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.
Сведения, касающиеся обработки персональных данных работника, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, касающиеся обработки персональных данных, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором; подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
В случае если сведения, касающиеся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, касающихся обработки персональных данных, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней после первоначального обращения или направления первоначального запроса в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос должен содержать обоснование направления такого запроса.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в т.ч. содержащей:
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в т.
ч. сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в т.ч. если:
— обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
— обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
— обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
— доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
— обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в т.ч. на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
6. Законодатель устанавливает обязанности оператора при сборе персональных данных.
Так, при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
Защита данных в ЕС
Основные права
В Хартии основных прав ЕС указано, что граждане ЕС имеют право на защиту своих личных данных.
Защита персональных данных
Законодательство
Пакет защиты данных, принятый в мае 2016 года, направлен на подготовку Европы к цифровому веку. Более 90 % европейцев говорят, что хотят иметь одинаковые права на защиту данных в ЕС и независимо от того, где обрабатываются их данные.
Общий регламент по защите данных (GDPR)
Регламент (ЕС) 2016/679 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных. Этот текст включает исправление, опубликованное в OJEU от 23 мая 2018 года.
Регламент является важным шагом для укрепления основных прав людей в цифровую эпоху и облегчения бизнеса путем уточнения правил для компаний и государственных органов на едином цифровом рынке. Единый закон также устранит нынешнюю фрагментацию в различных национальных системах и ненужную административную нагрузку.
Постановление вступило в силу 24 мая 2016 года и применяется с 25 мая 2018 года. Дополнительная информация для компаний и частных лиц.
Информация о включении Общего регламента по защите данных (GDPR) в Соглашение ЕЭЗ.
Уведомления государств-членов ЕС в Европейскую комиссию в соответствии с GDPR
Директива о защите данных правоохранительных органов
Директива (ЕС) 2016/680 о защите физических лиц в отношении обработки персональных данных, связанных с уголовными правонарушениями или исполнением уголовных штрафы и на свободное перемещение таких данных.
Директива защищает основное право граждан на защиту данных всякий раз, когда личные данные используются правоохранительными органами по уголовным делам в правоохранительных целях. В частности, он обеспечит надлежащую защиту персональных данных жертв, свидетелей и подозреваемых в совершении преступлений и будет способствовать трансграничному сотрудничеству в борьбе с преступностью и терроризмом.
Директива вступила в силу 5 мая 2016 г., и страны ЕС должны были включить ее в свое национальное законодательство до 6 мая 2018 г.
ЗагрузитьНациональные органы по защите данных
В странах ЕС созданы национальные органы , ответственные за защиту персональных данных в соответствии со статьей 8(3) Хартии основных прав ЕС.
Европейский совет по защите данных
Европейский совет по защите данных (EDPB) – это независимый европейский орган , который обеспечивает последовательное применение правил защиты данных на всей территории Европейского Союза. EDPB был создан в соответствии с Общими правилами защиты данных (GDPR).
EDPB состоит из представителей национальных органов по защите данных стран ЕС/ЕЭЗ и Европейского инспектора по защите данных. Европейская комиссия участвует в деятельности и заседаниях Совета без права голоса. Секретариат EDPB предоставляется EDPS. Секретариат выполняет свои задачи исключительно по указанию Председателя Совета.
Задачи EDPB состоят, прежде всего, в предоставлении общего руководства по ключевым понятиям GDPR и Директивы по обеспечению правопорядка, консультировании Европейской комиссии по вопросам, связанным с защитой персональных данных и новых предлагаемых законов в Европейском Союзе, и принятии обязательных решений в споры между национальными надзорными органами.
Защита данных в учреждениях и органах ЕС
Законодательство
Регламент 2018/1725 устанавливает правила, применимые к обработке персональных данных учреждениями, органами, офисами и агентствами Европейского Союза. Он соответствует Общему регламенту о защите данных и Директиве правоохранительных органов о защите данных. Он вступил в силу 11 декабря 2018 года.
Европейский надзорный орган по защите данных
Постановлением 2018/1725 учрежден Европейский надзорный орган по защите данных (EDPS). EDPS является независимым органом ЕС, ответственным за контроль за применением правил защиты данных в европейских учреждениях и за расследование жалоб.
Специалист по защите данных в Европейской комиссии
Европейская комиссия назначила сотрудника по защите данных, который отвечает за мониторинг и применение правил защиты данных в Европейской комиссии. Сотрудник по защите данных самостоятельно обеспечивает внутреннее применение правил защиты данных в сотрудничестве с европейским надзорным органом по защите данных.
Стандартные договорные положения
После принятия в июне 2021 года двух наборов Стандартных договорных положений (SCC) (один для использования между контролерами и обработчиками в пределах Европейской экономической зоны (ЕЭЗ) и один для передачи персональных данных в страны за пределами ЕЭЗ), Европейская комиссия опубликовала 25 мая 2022 г. Вопросы и ответы (Q&A), чтобы предоставить практическое руководство по использованию SCC и помочь заинтересованным сторонам в их усилиях по соблюдению Общего регламента по защите данных (GDPR). Эти вопросы и ответы основаны на отзывах, полученных от различных заинтересованных сторон об их опыте использования новых SCC в первые месяцы после их принятия.
Вопросы и ответы предназначены для использования в качестве «динамического» источника информации и будут обновляться по мере возникновения новых вопросов.
Финансирование
Программа финансирования и тендера (SEDIA)
Программа права, равенства и гражданства (2014-2020)
Документы
- Директорат-Генерал-Генерал-Генерал-Генерал Фолф и Потребители
- Связь
- Главное управление юстиции и защиты прав потребителей
Отчет о применении и функционировании Директивы о защите данных правоохранительных органов.
- Связь
- Главное управление юстиции и защиты прав потребителей
Правила защиты данных как основа расширения прав и возможностей граждан и подхода ЕС к цифровому переходу.
- Связь
- Главное управление юстиции и защиты прав потребителей
Дальнейшие действия по согласованию прежнего третьего столпа acquis с правилами защиты данных.
- Связь
- Главное управление юстиции и защиты прав потребителей
Правила защиты данных как средство обеспечения доверия в ЕС и за его пределами — подведение итогов.
- Коммуникации
- Главное управление юстиции и защиты прав потребителей
Более сильная защита, новые возможности — Руководство Комиссии по прямому применению Общего регламента по защите данных от 25 мая 2018 г.
- Исследование
- Главное управление юстиции и защиты прав потребителей
Исследование по статьям 42 и 43 Общего регламента по защите данных (GDPR) (ЕС) 2016/679.
ЗагрузитьЗагрузитьЗагрузитьКак американские предприятия страдают от отсутствия законов о конфиденциальности персональных данных
Прошло более четырех лет с тех пор, как ЕС ввел в действие свой новаторский Общий регламент по защите данных. GDPR стал образцом для законов о конфиденциальности личных данных во многих других странах, а также для Калифорнийского закона о конфиденциальности потребителей (CCPA), который вступил в силу в 2020 году. Новые законы о конфиденциальности данных должны вступить в силу еще в четырех штатах США в 2023 году, и шесть штатов активно работают над законопроектами.
Но за четыре года на федеральном уровне мало что продвинулось. В последнем проекте обсуждения американского Закона о конфиденциальности и защите данных, опубликованном 6 июня, есть несколько нерешенных вопросов, которые, вероятно, помешают двухпартийной поддержке.
Это отсутствие федерального регулирования конфиденциальности стоит компаниям США денег, о которых они даже не догадываются.
Регуляторная неопределенность и отсутствие единого стандарта соответствия, безусловно, дорого обходятся, хотя сумму трудно определить количественно. Что менее очевидно, но более поддается количественному измерению, так это взрыв преступлений против бизнеса, особенно компрометации деловой электронной почты (BEC) и программ-вымогателей. Эти преступления подпитываются широкой доступностью очень подробных, законно собранных личных данных. Если правительство не будет действовать, предприятия должны будут предпринять шаги, чтобы помочь сотрудникам защитить свои личные данные и, в процессе, защитить себя.
Согласно данным IC3, Центра ФБР по рассмотрению жалоб на интернет-преступления, BEC-атаки обошлись предприятиям в 2,4 миллиарда долларов в 2021 году по сравнению с 1,8 миллиарда долларов в 2020 году. убытки от всех видов киберпреступлений. По данным IC3, схемы программ-вымогателей обходятся компаниям в 49 миллиардов долларов в 2021 году, что более чем вдвое превышает 20 миллиардов долларов в 2020 году.
Эти затраты отражают только прямые потери. Согласно исследованию Ponemon Institute, стоимость потери производительности и восстановления скомпрометированных учетных данных и систем, связанных с этими преступлениями, может увеличиться более чем в два раза.
Работа из дома, где вычислительная среда менее безопасна, стала одной из причин роста числа этих преступлений. Но так же увеличилось количество и разнообразие личных данных, доступных в Интернете.
Данные подпитывают фишинг, который является воротами для этих преступлений. Фишинг обычно осуществляется по электронной почте, а также с помощью текстовых или мгновенных сообщений, социальных сетей и даже платформ для совместной работы. Преступники используют данные, чтобы представиться надежным источником, общающимся по одному из этих каналов, и убедить жертву перейти по вредоносной ссылке. Это может привести к установке вредоносных программ или программ-вымогателей, а также к сбору учетных данных для входа или других конфиденциальных данных.
Фишинг для бизнеса
Это может иметь разрушительные последствия для отдельных лиц, но фишинговые атаки все чаще используются для получения доступа к государственным и корпоративным системам. В 2021 году IC3 получила 323 972 жалобы на фишинг по сравнению с 25 344 такими жалобами в 2017 году — ошеломляющий рост на 120%. Согласно «Индексу мобильной безопасности 2020» Verizon, 2% сотрудников ежедневно нажимают на фишинговую ссылку.
Получив доступ, злоумышленники могут скрываться внутри систем компании, изучая рабочие процессы, отслеживая коммуникации и ожидая удобного случая. Допустим, сотрудник публикует сообщения в социальных сетях, находясь в отпуске. Это открытие, которого ждал плохой актер. Они заходят в электронную почту отпускающего сотрудника, которая содержит ветку с отделом кредиторской задолженности поставщика, где обсуждается оплата счета. Злоумышленник добавляет в ветку еще одно сообщение: «Можете ли вы также обновить наш банковский счет и отправить платеж на новый счет».
Согласно отчету IC3, средний ущерб от такой успешной атаки BEC в 2021 году составил 120 000 долларов США9.0005
Брокеры данных не помогают
Фишинг становится все более эффективным благодаря тому, что преступникам приходится использовать все данные для настройки своих коммуникаций. Им даже не нужно красть данные. Они могут получить его на любом из примерно 150 поисковых сайтов, которые являются сегментом индустрии брокеров данных, который растет как по размеру, так и по типу информации, которую они собирают.
Эти сайты, которые в значительной степени не регулируются, начали со сбора общедоступных данных, таких как имена, адреса и номера телефонов. Теперь они собирают еще более широкий спектр данных, полученных из гораздо более широкого круга источников. Такая информация, как политические взгляды человека, диетические предпочтения, домашние животные и даже список пожеланий человека на Amazon, можно легко найти за небольшую ежемесячную абонентскую плату. И все это в настоящее время законно.
