О предотвращении преступлений, связанных с нарушением прав граждан и юридических лиц в сфере информации и социальной инженерии.
Защита информации, персональных данных граждан и юридических лиц, а также сведений, составляющих государственную или иную тайну, регулируется приведенными ниже нормативно – правовыми актами.
Конституция Российской Федерации устанавливает: каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом. Гарантируется свобода массовой информации. Цензура запрещается. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ устанавливает основные права и обязанности, которые непосредственно касаются информации и ее защиты.
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ затрагивает персональные данные и основы работы с ними. Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам предупреждения и ликвидации чрезвычайных ситуаций» от 01.04.2020 № 98-ФЗ определяет то, что может быть отнесено к коммерческой тайне компаний.
Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ содержит в себе правила защиты IT-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства. К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность.
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ создаёт правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
Вышеперечисленные федеральные нормативные акты так или иначе затрагивают запрет на пользование и распоряжение персональными данными, информацией, составляющей тайну. Субъектом информации может являться как физические и юридические лица, так и РФ, субъекты РФ и муниципальные образования. Они же могут оказываться и потерпевшими от нарушения их права на конфиденциальность персональных данных в сфере информации и социальной инженерии.
Социальная инженерия представляет собой методы, использующие психологические хитрости и манипуляции с целью убедить жертву раскрыть личные сведения или выполнить действия, которые позволят преступнику получить доступ к ее ресурсам. Социальная инженерия и мошенничество – актуальные проблемы в современном обществе, но отличаются лишь тем, что для мошенничества характерно хищение денежных средств или имущества, а социальная инженерия направлена на несанкционированный доступ к информационным данным человека.
Социальная инженерия имеет в своем проявлении несколько форм:
- фишинг: разработка веб-сайтов, которые манипулятивно заставляют пользователей делиться своими личными данными, такими как пароли, номера телефонов и номера социального страхования.
- фарминг: процесс тайного перенаправления жертвы на фальшивый IP-адрес. Мошенник устанавливает на устройствах пользователей вредоносные программы, которые, после их активации, изменяют адреса запросов к определённым web-сайтам, перенаправляя их на поддельные ресурсы.
- вишинг: мошенническая схему, осуществляемая через телефонные звонки, где злоумышленники вводят жертву в заблуждение, выдавая себя за работников банка, покупателей или других лиц. Целью таких действий является получение конфиденциальной информации от владельца платёжной карты под различными предлогами или побуждение его к совершению действий, связанных с его банковским счётом или платёжной картой.
- скам: в процессе него преступник склоняет жертву к переводу средств мошенникам или осуществлению платежа в их интересах.
- шантаж: злоумышленник может получить доступ к аккаунтам в социальных сетях и найти компрометирующие переписку, фото, видео или другие ценные данные. Тогда он предлагает жертве выкупить эти данные под угрозой рассылки друзьям, родственникам или кому-то ещё. угрожает сделать компрометирующие материалы общедоступными, если его требования не будут выполнены.
Как же проявляет себя социальная инженерия в повседневной жизни?
Важно вовремя замечать, что преступник желает завладеть Вашими данными, воспользоваться паролями или кодами, завладеть доступом к денежным средствам или конфиденциальной информации.
Чаще всего это фишинговые письма, звонки от мошенников, поддельные веб – сайты, могут также использоваться и социальные сети либо мессенджеры, незаконное завладение вышеупомянутыми реквизитами банковской карты, включая PIN-код, код безопасности (CVC), паролем для «мобильного банка. Также это включает в себя побуждение потерпевшего установить на своем устройстве программы для удаленного доступа, принуждение жертвы к совершению других действий в интересах злоумышленника, который представляется по телефону сотрудником правоохранительных органов и так далее.
Преступник может использовать психологические методы, вливаясь в Ваше доверие («Здравствуйте, Вас беспокоит работник банка…»), пытаясь вызвать чувство страха («Ваш аккаунт заблокирован. Для его разблокировки сообщите следующие данные…»), используя приемы манипуляций («Вы выиграли приз, для его получения отправьте следующие данные…»). Мошенники могут использовать и фишинговые письма от каких – либо компаний и организаций, представляясь работником, звонить от их лица, имитировать голос, создавать поддельные сайты.
Важно быть бдительным и внимательным, уметь отличать преступников, желающих добраться до Ваших данных, завладеть информацией. Что для этого нужно делать, как вовремя отличить преступника от честного работника какого-либо банка или организации?
- Всегда проверяйте источник информации, лучше позвонить в саму компанию и убедиться в подлинности информации;
- Не спешите открывать какие – либо ссылки и предоставлять свои данные для проверки;
- Создавайте для каждого аккаунта свой уникальный пароль и старайтесь менять их с определенной периодичностью;
- Личные данные не используйте в качестве пароля;
- Не вводите личные данные на незнакомых сайтах;
- Не отвечайте на незнакомые подозрительные номер или звонки;
- Защитите свой компьютер или телефон, установив антивирусные программы;
- Проводите регулярно обновление безопасности и программного обеспечения в операционных системах.
В случае нарушения своих прав стоит обратиться в правоохранительные органы, органы полиции, Прокуратуры, банк, а также в МВД, Роскомнадзор и другие специализированные организации с заявлением о попытке или совершении в отношении вас преступления. Для преступников, нарушающих нормы права в данной области, существуют определенные санкции. Так, Уголовный кодекс Российской Федерации регламентирует возникновение ответственности за несанкционированный доступ к компьютерной информации, создание, использование и распространение компьютерных вредоносных программ, нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации (ст. 272 – 274), незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст. 137). Кодекс об административных правонарушениях, в свою очередь, содержит ответственность за нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации, использование несертифицированных информационных систем, баз и банков данных, нарушение требований о защите информации (ст. 13.12), неразмещение информации, размещение информации не в полном объёме или размещение недостоверной информации в государственной информационной системе ЖКХ (ст. 13.19.2), нарушение правил обработки персональных данных, неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных, невыполнение требований по защите персональных данных (ст. 13.11 КоАП РФ). Нарушение законодательства в области персональных данных может повлечь и гражданско-правовую в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена договором.
Нарушение требований Закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Памятка - Пять способов защиты от социальной инженерии :