2017/04/03 09:58:41

Защита персональных данных
в Евросоюзе и США

.

Содержание

Цифровая трансформация государства, бизнеса и общества несет новые риски и угрозы информационной безопасности. Корпоративные базы данных, содержащие имена, даты рождения, номера удостоверений личности и другую чувствительную информацию о сотрудниках или клиентах, все чаще становятся мишенью киберпреступников. Обычным делом становится так называемая «кража личности». На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития.

Кража личности (англ. Identity theft — термин впервые появился в 1964 году) — преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды.

Согласно опросам, кража личности является одним из основных опасений граждан США. В Соединенных Штатах в качестве удостоверения личности используют SSN (Social Security Number). Его номер запрашивают большое количество организаций для подтверждения личности граждан. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. В Великобритании для осуществления «кражи личности» используются страховые идентификаторы NINO (National Insurance number) и NHS (National Health Service Number).

2017

Евросоюз требует от социальных сетей открыть властям доступ к перепискам

Власти Евросоюза активно давят на операторов социальных сетей и производителей приложений для защищенного обмена сообщениями, требуя обеспечить правоохранительным органам возможность мгновенного доступа к содержанию переписки подозреваемых.

В июне 2017 года Еврокомиссия планирует рассмотреть возможность принятия соответствующих законов. Еврокомиссар по вопросам правосудия Вера Журова (Vera Jourova) говорит, что политики по всей Европе требуют от Еврокомиссии принятия нового законодательства, которое обеспечит правоохранителям возможность обходить шифрование в приложениях для быстрого обмена сообщениями. [1]

В частности, еще летом 2016 года министры Франции и Германии открыто назвали приложение Telegram проблемой, требующей разрешения. Французский министр внутренних дел Бернар Казенев (Bernard Cazeneuve) заявил, что Еврокомиссия должна принять законы, обязывающие IT-компании снимать дешифрование с сообщений подозреваемых в террористической деятельности по первому требованию правоохранительных органов, и предполагающие наложение суровых санкций на тех, кто откажется содействовать.

Флаг Евросоюза

По словам Журовой, рассматриваются «три или четыре» варианта решения «проблемы» шифрованных коммуникаций, в диапазоне от добровольных соглашений между IT-компаниями и правоохранительными органами, и до принятия законов, обязывающих первых снимать шифрование по первому требованию.

« На сегодняшний день следователи, судьи, полиция и другие правоохранительные органы зависят от доброй воли операторов [защищенных мессенджеров] и их готовности предоставлять доступ и улики. Мы не можем обеспечивать должный уровень безопасности европейцев, будучи зависимыми от чьей-то доброй воли, — заявила Журова. »

Еврокомиссар также дала понять, что Еврокомиссия ожидает активного сопротивления со стороны операторов социальных медиа, и что «добровольные соглашения» с ними, если их удастся добиться, будут лишь временной мерой. Впереди неизбежно последует принятие соответствующих законов, пусть даже на их подготовку и принятие уйдет несколько лет.

Ранее в странах Евросоюза уже предлагалось ввести санкции в отношении операторов социальных медиа, если те отказываются безропотно сотрудничать с властями. Например, в Германии предложили штрафовать на 50 млн евро такие компании, как Facebook и Twitter, если они не будут удалять и блокировать «очевидно криминальный» контент в течение суток после его появления.

Кроме того, прозвучали призывы к операторам соцсетей изменить условия использования их сервисов, чтобы те соответствовали законам Евросоюза. Речь, в первую очередь, идет о том, чтобы заставить эти компании отвечать за свои действия по европейским законам.

Стоит отметить, что в США происходят аналогичные процессы: правоохранительные органы пытаются добиться привилегированного доступа к зашифрованным каналам коммуникации, чтобы упростить себе работу по поимке преступников и террористов. В частности, широкую известность приобрел судебный спор между ФБР и Apple: руководство ФБР требовало от Apple снять шифрование с переписки «стрелка из Сан-Бернардино», исламского террориста Ризвана Фарука, который в 2015 году убил 14 человек и ранил еще 22.

Компания Apple категорически отказывалась открывать доступ к смартфону Фарука, ссылаясь на правила обеспечения приватности своих клиентов. В итоге Apple выиграла суд, но лишь «технически»: власти США отказались продолжать процесс, получив код доступа к смартфону Фарука откуда-то со стороны.

Очевидно, впрочем, что подобный процесс был не последним. Как и то, что операторы социальных платформ будут сопротивляться до последнего. Основной аргумент с их стороны — это отсутствие гарантий, что привилегированный доступ получат одни только правоохранительные органы, а не кто-то еще.

« Безусловно, для правоохранительных органов чрезвычайно заманчива перспектива получения мгновенного, без лишней бюрократии, доступа к переписке подозреваемых, а лучше — вообще всех пользователей социальных медиа. Это общая тенденция в мире. В качестве предлога, как обычно, используется террористическая угроза, но в подобных случаях всегда есть опасность, что от фактического уничтожения тайны переписки пострадают совершенно невинные люди, — говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». — Скорее всего, что в ответ на законы, принуждающие снимать шифрование с одних мессенджеров, появятся другие, в иных юрисдикциях, где нет таких жестких требований. Станет ли обязанность передачи доступа обязательной повсеместно — покажет время. »

SAP: новые требования к защите данных в Европе убьют стартапы

В январе 2017 года немецкий производитель корпоративного программного обеспечения SAP раскритиковал ужесточение требований к защите данных в Европе. По мнению компании, новый закон убьет стартапы.

В апреле 2016 года Европейский парламент одобрил реформу о конфиденциальности данных. Новые правила регулируют стандарты обработки данных в области полицейского и правового сотрудничества, создание единого уровня защиты данных по всему Евросоюзу, а также возможность предоставлять гражданам контроль над их личными данными в сети.

Девушка проходит около подсвечиваемого логотипа SAP внутри здания штаб-квартиры компании в Вальдорфе (Германия)

Законопроект, который вступит в силу в мае 2018 года, ужесточает наказание компаний за утечку данных своих клиентов. За каждую такую потерю пользовательской информации будет грозить штраф в размере до 4% от общей выручки, но максимум 20 млн евро.

По мнению директора по разработке продуктов и развитию инноваций и члена совета директоров SAP Бернда Лейкерта (Bernd Leukert), такое наказание является слишком высоким, особенно для одной утечки.

« Если у вас будет 25 нарушений, вы лишитесь всей выручки. Растущая бюрократия осложняет работу в вашем бизнес-сегменте и затрудняет рост, а в наши дни скорость очень важна, — заявил Лейкерт. »

По его словам, реформа о приватности данных больно ударит по европейским стартапам. В частности, пострадают небольшие компании, работающие в области продаж и маркетинга и обрабатывающие большое количество данных клиентов, уточняет издание Financial Times.

Кроме того, существует опасность, что правила ЕС в отношении защиты данных получат распространение за пределами Евросоюза, например, в США.

« У нас могли бы быть локальные правила, но нам придется решать эти вопросы на глобальном уровне, — посетовал топ-менеджер SAP. »

Ранее финансовый директор SAP Лука Мучич (Luka Mucic) поставил под сомнение актуальность концепции ЕС о конфиденциальности данных. По его мнению, закон будет препятствовать развитию многих новых технологий, в том числе Big Data и машинному обучению.[2]

2016

Мошенничество с персональными данными в Великобритании бьет рекорды

Согласно исследованию Cifas, некоммерческого агентства по коллективному использованию данных и предотвращению мошенничества в этой сфере, в 2016 г. случаи хищения личных данных в Великобритании достигли беспрецедентно высокого уровня[3].

В 2016 г. были отмечены рекордные 172 919 случаев мошенничества с персональными данными – больше чем в любой год из предшествующих. Это подтверждается статистикой национальной базы данных о мошенничестве Cifas, где зарегистрировано 227 таких случаев. На сегодняшний день случаи мошенничества с персональными данными составляют более половины всех случаев мошенничества, зарегистрированных Cifas, при этом 88% из них совершались онлайн.

Мошенники используют разнообразные методы, чтобы завоевать доверие жертвы: кража почты, хакерские атаки, получение информации в «темной паутине», получение персональных данных в социальных сетях, либо методами «социальной инженерии», когда злоумышленнику, выдающему себя за сотрудника банка, полиции или проверенного ритейлера, удается убедить жертву раскрыть личные данные.

Европа. Экономика открытых банковских API

Европейские участники финансового рынка тоже активно используют технологии больших данных, причем со строгим регулированием и унификацией обмена. Чего стоит европейский GDPR – аналог российского 152-ФЗ. И российские компании могут столкнуться с этими нововведениями уже в 2018 году на примере своих кипрских дочерних структур.

Директива о платежных услугах, часть вторая (PSD2)

  • вступила в силу на территории ЕвроСоюза в январе 2016 года
  • должна быть имплементирована странами-участницами в двухлетний срок
  • лишает банки монополии на управление деньгами клиентов — предоставлять API для третьих сторон станет для них не правом, а обязанностью

Клиенты смогут выбирать сторонние инновационные интерфейсы для счетов, открытых даже в самых старых, консервативных кредитных учреждениях.

  • фокус исключительно на проекты создания Application Programming Interface (API) формирует риски для банков со стороны появляющихся финтех-игроков.

GDPR (General Data Protection Regulation) – замена Data Protection Directive (официально Директива 95/46 / EC о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных)

Ограничение передачи персданных из Европы в США

В январе 2016 года стало известно о намерениях Европейского Союза (ЕС) исключить возможность передачи персональных данных европейцев по запросу американских властей из-за опасений по поводу возможной слежки со стороны Агентства национальной безопасности (АНБ).

Как сообщает агентство Reuters со ссылкой на еврокомиссара Веру Журову (Vera Jourova), ЕС хочет добиться от США гарантий на ограничение полномочий американского правительства по формированию запросов на раскрытие личных данных жителей европейских государств.

Европа хочет ограничить передачу персданных в США
« Нам нужны гарантии на обеспечение эффективного судебного контроля за действиями органов государственной власти в отношении доступа к данным в целях национальной безопасности, правоохранительной деятельности и защиты общественных интересов», — заявила Журова на конференции в Брюсселе. »

Согласно законодательным нормам о защите данных ЕС, компании не могут передавать личную информацию граждан за пределы Евросоюза в страны, в которых уровень конфиденциальности не соответствует требованиям ЕС. Соединенные Штаты относятся к таким государствам.

Осенью 2015 года суд в Люксембурге признал недействительным заключенное между ЕС и США соглашение «Безопасная гавань» (Safe Harbour) об обмене данными в коммерческих целях. Договор позволял хранить персональную информацию европейцев на американских серверах. В судебном решении тогда отмечалось, что передача личных данных пользователей будет осуществляться в соответствии с жесткими требованиями европейского законодательства.

К началу 2016 года Брюссель и Вашингтон так и не смогли договориться в условиях нового двухстороннего соглашения, которое придет на смену «Безопасной гавани». Еврокомиссия требует завершить переговоры до конца января 2016 года, в противном случае она начнет принимать принудительные меры (какие именно, не уточняется) в отношении компаний. Вера Журов отмечает, что Европа стремится к большей прозрачности ограничений действий американских властей при сборе персональных данных.[4]

Смотрите также

Примечания


Читайте также


TAdviser рекомендует

25 мая, Чт.


Бета
Лидеры по внедрениям ИТ в корпоративном секторе

Добавить: