Этот модуль является ресурсом для лекторов  

 

Киберпреступления, нарушающие конфиденциальность

 

Киберпреступления нарушают право на неприкосновенность частной жизни людей и безопасность их персональных данных; к таким киберпреступлениям относятся, в частности, хакерские атаки, вредоносные программы, хищение персональных данных, финансовое мошенничество, медицинское мошенничество и некоторые преступления в отношении лиц, которые связаны с раскрытием личной информации, сообщений, изображений и видео- и аудиозаписей без согласия или разрешения этих лиц (например, киберпреследование, кибердомогательство и кибертравля, которые рассматриваются в модуле 12 Серии модулей по киберпреступности: «Киберпреступления против личности»).

Данные рассматриваются в качестве товара в сети Интернет и вне сети - как законно действующими, так и незаконно действующими субъектами (Maras, 2016). Именно поэтому данные являются основной целью киберпреступников. Данные также играют неотъемлемую роль в совершении многих киберпреступлений, прежде всего потому, что они не защищены должным образом и могут быть доступны для незаконного получения. Случаи утечки данных происходят в результате утери или кражи зашифрованных флеш-накопителей и других устройств хранения данных (в основном ноутбуков и смартфонов), низкого уровня безопасности систем и данных, несанкционированного доступа к базе данных или превышения санкционированного доступа к базе данных, а также случайного раскрытия, разглашения или публикации данных. Ниже приведены некоторые известные случаи утечки данных:

  • Национальная централизованная база персональных данных правительства Индии (Aadhaar), в которой хранятся биометрические данные (например, отпечатки пальцев и фотоснимки радужной оболочки) и идентификационные данные 1,2 миллиарда граждан Индии, и которая используется для проверки личности граждан при оказании финансовых, государственных, коммунальных и прочих услуг, в 2018 году столкнулась с проблемой утечки данных, в результате которой были скомпрометированы личные данные, такие как имена доступа, двенадцатизначный идентификационный номер, номера телефонов, адреса электронной почты и почтовые индексы, но не биометрические данные (Safi, 2018; Doshi, 2018).
  • В 2017 году в сеть просочились данные приблизительно 30 миллионов жителей Южной Африки, включая сведения об их именах, половой принадлежности, доходе, истории трудоустройства, идентификационных номерах, номерах телефонов и домашних адресах, в результате утечки данных в одной из ведущих риэлторских компаний страны Jigsaw Holdings (Fihlani, 2017; Gous, 2017).
  • В 2013 году были скомпрометированы персональные данные более трех миллиардов пользователей Yahoo, включая их имена, адреса электронной почты, пароли (с шифрованием, которое можно было легко обойти) и даты рождения (Newman, 2017).
  • Deloitte, глобальная консалтинговая фирма, подверглась атаке хакеров, которые получили доступ через незащищенную учетную запись к данным об именах пользователей и паролях около 350 клиентов (Hopkins, 2017).
  • Персональные данные (т.е. национальный идентификатор, имя, пол, имена родителей, домашний адрес, дата рождения и город рождения) более 49 миллионов граждан Турции в 2016 году были выложены в сеть и стали доступными через базу данных с возможностью поиска (Greenberg, 2016).
  • В 2016 году на Филиппинах были скомпрометированы персональные и биометрические данные более 55 миллионов избирателей, после того как хакеры в «черной шляпе» (для получения информации о различиях между хакерами в черной, белой и серой шляпах см. модуль 2 Серии модулей по киберпреступности: «Основные виды киберпреступности»; см. также Radziwill et al., 2015; Chatelain, 2018b) получили несанкционированный доступ к веб-сайту избирательной комиссии (COMELEC) (Tan, 2016).

Знаете ли вы?

Украденные пароли могут причинить вред не только скомпрометированным учетным записям, поскольку люди часто повторно используют одни и те же пароли (или части этих паролей; например, определенные номера) на нескольких веб-сайтах, в учетных записях электронной почты, приложениях и/или онлайн-платформах.

Помимо случаев утечки данных, имеют место случаи, когда медицинские, финансовые и прочие персональные данные выкладываются на специализированных кардинг форумах в сети (т.е. на сайтах, специализирующихся на продаже данных дебетовых и кредитных карт) и на сайтах в Даркнет (расположенных в Темной паутине) (рассматривается в модуле 5 Серии модулей по киберпреступности: «Расследование киберпреступлений»; см. также Maras, 2014 или Finklea, 2017 на английском и Chatelain, 2018a на французском для получения дополнительной информации о Даркнете и Темной паутине).

Наряду с раскрытием таких данных с целью извлечения финансовой выгоды, скомпрометированные данные могут разглашаться (и разглашаются) для посрамления людей и разоблачения их реальных или предполагаемых аморальных действий и поведения. В качестве примера можно привести случай размещения личной информации (например, имен и адресов электронной почты) приблизительно 37 миллионов пользователей веб-сайта Ashley Madison, специализировавшемся на поиске партнеров для внебрачных связей (Zetter, 2015). 

Бремя обеспечения безопасности данных зачастую ложится на лиц, данные которых похищаются. Эти люди информируются о необходимости минимизации своих «цифровых следов» путем обновления настроек системы безопасности приложений, веб-сайтов, социальных сетей и других онлайн-платформ, а также удаления и/или уменьшения объема личных данных, которыми они делятся с другими лицами (Maras, 2016). Такой подход, ориентированный на интересы потерпевшего, перекладывает ответственность за защиту данных на жертв киберпреступлений, а не на преступников и компании, чьи системы безопасности были повреждены. Реальность такова, что жертвы не могут защитить свои личные данные, когда они «хранятся в базах данных третьих лиц и похищаются из этих баз данных, которые находятся далеко за пределами … [их] контроля» (Maras, 2016, 289). Кроме того, сегодня задача минимизации «цифровых следов» становится все более сложной. Практически не остается никаких альтернативных вариантов для людей, которые не желают, чтобы их данные собирались, анализировались или использовались. Например, лицо, пользующееся социальными сетями, выбирает один из двух возможных вариантов: либо предоставить минимальный объем требуемой личной информации для получения права на пользование платформой социальных сетей (по сути, это «плата» за пользование услугой), либо отказаться от предоставления такой информации и не пользоваться платформой. Никаких других альтернативных вариантов не предлагается. Устройства, относящиеся к Интернету вещей (рассматриваются в разделе «Введение» данного модуля), также требуют предоставления личной информации, чтобы получить возможность пользоваться ими. Все чаще можно наблюдать, что появляющиеся на рынке новые устройства, - даже те, которые никогда ранее не подключались к Интернету, такие как бытовая техника, ювелирные изделия, одежда и игрушки, - теперь имеют выход в Интернет (Maras, 2015), что оставляет потребителям все меньше вариантов, если они делают выбор в пользу приобретения устройства, не имеющего таких функциональных возможностей.

 
Далее: Законодательство о защите данных
Наверх