Персональные данные и их защита
проект

Тема: «Персональные данные и их защита»

Пояснительная записка

Разработка занятия по теме «Персональные данные и их защита» имеет научно-техническую направленность.  Актуальность выбранной темы заключается в тенденции развития современных технологий, которые в свою очередь характеризуются постоянным повышением значения информации. А также информация представляет большой интерес для криминальных элементов. Все преступления начинаются с утечки информации. Чтобы избежать кражи личной информации, относящейся к секретной, конфиденциальной и т.д. нужно уметь ее защищать. В последнее время вырос интерес к вопросам защиты информации. Это связывают с тем, что стали более широко использоваться вычислительные сети, что приводит к тому, что появляются большие возможности для несанкционированного доступа к передаваемой информации. 

Целевая аудитория: учащиеся 10-11 классов и студенты СПО.

Цель занятия: формирование правовых знаний о персональных данных и способах их защиты.

Задачи занятия:

1. Сформировать знания о законах об информации в России;

2. Научить анализировать свои действия в сети Интернет, при размещении личной информации;

3. Рассказать про способы утечки персональных данных в сети Интернет;

4. Сформировать знания о защите персональных данных в сети Интернет.

Планируемый результат: сформировать знания о персональных данных, их размещении в сети Интернет, об угрозах при утечки личной информации и о способах защиты от несанкционированного доступа.

Форма проведения занятия: тематическая лекция с использованием мультимедийных технологий с элементами дискуссии.

Педагогические технологии, используемые для достижения планируемого результата:

1. информационно-коммуникационные технологии;

2. развивающее обучение.

Длительность занятия: 40 минут.

Оборудование и материалы: проектор, персональный компьютер, принтер (для распечатки раздаточного материала).

Подготовка к занятию:

1. подготовка методических и дидактических материалов к занятию;
2. проверка и подготовка материалов и инструментов, необходимых для проведения занятия.

Проведение занятия.

Содержательные блоки занятия:

Часть 1. Мотивационная.

Организация беседы, которая опирается на личный опыт обучающихся по использованию цифровых устройств с выходом в Интернет, позволяет обеспечить мотив к знакомству с заявленной темой.

Часть 2. Основная.

В основной части занятия педагог предлагает познакомиться с основными законами на территории РФ, регламентирующими правильную работу с информацией. Предлагает рассмотреть ситуацию, которая в свою очередь может повлечь утечку персональных данных. Познакомить/сформулировать основные правила безопасного размещения личной информации в сети Интернет, а также сформировать представление о возможных рисках при потере личных данных.

Часть 3. Заключение.

Обобщение обсуждаемого на занятии материала, с применением анализа приложений на смартфонах обучающихся.

Ход занятия

Часть 1.  Мотивационная.

Ребята здравствуйте, сегодня мы с вами познакомимся с очень важной темой, с безопасностью в сети Интернет, а именно как сберечь свои личные (персональные) данные.

Мы живем в век информационных технологий, достаточно много времени проводим в сети в поисках информации, готовясь к занятиям, или просто отдыхая. Нашу жизнь сопровождают и упрощают различного рода гаджеты: смартфоны, планшеты, электронные книги.

Мы общаемся с друзьями, участвуем в дискуссиях, обсуждаем новости, оставляем комментарии, выкладываем фотографии. Очень важно научиться правильно вести себя в сети Интернет, знать правила защиты и угрозы при потери персональных данных. Сегодня мы с вами об этом и поговорим.

Для начала хотелось бы услышать от вас какие угрозы могут быть при потере персональных данных? (ответы обучающихся должны подкрепляться комментариями педагога).

Часть 2. Основная.

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить. В рамках данного занятия мы подробно рассмотрим два закона:

1. 149-ФЗ «Об информации, информационных технологиях и о защите информации»

2. 152-ФЗ «О персональных данных»

Давайте более подробно познакомимся с ключевыми моментами этих законов.

СЛАЙД 2. (презентация по теме «Персональные данные и их защита»)

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

СЛАЙД 3. (презентация по теме «Персональные данные и их защита»)

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Давайте подробнее рассмотрим вопрос о защите персональных данных, что именно является персональными данными, как их защитить и чем опасна потеря таких данных.

СЛАЙД 4. (презентация по теме «Персональные данные и их защита»)

Когда речь заходит о мошенниках мы всегда рассуждаем следующим образом:

«У меня нет миллионов, яхт и пароходов. В таком случае чем я могу быть интересен мошенникам?» Если вы тоже так думаете, то вы неправы.

Сегодня, когда наша жизнь все больше мигрирует в интернет, жертвой злоумышленников может стать каждый. Чем больше в сети информации о вас, тем выше вероятность получить звонок «следователя» или случайно узнать о кредитах, оформленных без вашего ведома.

Как злоумышленники могут использовать ваше честное имя, а также электронную почту и телефон?  

Давайте же разберемся что такое персональные данные?

СЛАЙД 5. (презентация по теме «Персональные данные и их защита»)

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Как мы делимся своими личными данными

СЛАЙД 6. (презентация по теме «Персональные данные и их защита»)

Мы размещаем информацию о себе, когда оформляем доставку продуктов, регистрируемся в онлайн-сервисах или заказываем товары в интернет магазинах, скачиваем приложения из маркетов, требующих регистрацию и тд. Сайты собирают информацию о посетителях для их удобства — чтобы им не приходилось каждый раз заново вводить номер телефона, адрес доставки и тд.

Как видите, мы много делимся своей личной информацией и часто даже не задумываемся об этом. Сервисы, заслуживающие доверия, вкладываются в защиту данных своих пользователей. Однако всегда есть риск, что информация попадет в руки злоумышленников.

СЛАЙД 7. (презентация по теме «Персональные данные и их защита»)

Давайте же наконец-то разберемся как и зачем компании собирают данные о нас.

Условно информационных добытчиков в интернете можно разделить на группы:

1. Государственные структуры

Технические возможности спецслужб позволяют дистанционно отследить маршруты следования, встречи в общественных местах, разговоры по мобильным телефонам, трафики перемещения финансовых средств и т. д.

У каждой спецслужбы есть определенный реестр слов-активаторов, использовав их случайно или преднамеренно, пользователь интернета автоматически попадает в поле зрения компетентных органов. Ключевые слова-активаторы сформированы по группам:

- терроризм (Al Qaeda - аль Каида, Target - цель, Jihad – джихад, Suicide bomber - террорист-смертник, Dirty bomb - грязная бомба, Chemical/Biological weapon - химическое/биологическое оружие и т.д.)

- радиоактивные материалы и отравляющие вещества (Infection - заражение, Infection - заражение, Ricin - рицин, Sarin - зарин, Powder white - белый порошок, Leak - утечка, Nuclear facility - ядерный объект, Toxic - токсичный)

- безопасность инфраструктуры (Airport - аэропорт, Failure or outage - отказ или сбой, Port - порт, Dock - док, Power lines - линии электропередач, Chemical fire - химический огонь, BART - метро Сан-Франциско, NBIC- центр биотехнологий, Service disruption - нарушение работы)

- внутренняя безопасность (Assassination - убийство на идейной почве, Response - ответные действия, Organized crime - организованная преступность, Gangs - банды, Cops - полицейские, Deaths - потери, смерть, Hostage - заложник)

- кибербезопасность (Malware - вредоносная программа, Keylogger - клавиатурный шпион, Spammer - спамер, Phishing - интернет-мошенничество, Rootkit – набор вредоносных утилит)

- чрезвычайные ситуации и катастрофы (Brush fire - локальный пожар, Disaster - катастрофа, Flood - наводнение, Extreme weather - экстремальные погодные условия, Magnitude - магнитуда)

С 2016 года МВД РФ для мониторинга деятельности пользователя в сети интернет использует аналитический модуль «Зеус». Программа специализируется на фингерпринтах - на сетевых отпечатках интернет-пользователя. Функционал программы дает возможность поставить интернет-профили пользователя на постоянный автоматический мониторинг, отслеживает его посты, семантический анализ сообщений, аудио и видео контент, членство в группах, обеспечивает полнотекстовый поиск в архиве сообщений, нанесение географического расположения друзей на интернет-карту и многое другое.

2. Владельцы сайтов

По данным немецкой компании Ghostery Inc в 2018 году на более чем 80% интернет-сайтов были внедрены механизмы отслеживания действий пользователя - трекеры. Это встроенные специальные жучки-счетчики, которые собирают информацию о посетителях-пользователях. Собственник сайта сам определяет количество и функционал нужных ему трекеров. Функциональные возможности трекеров-шпионов многогранны: анализируют поведение пользователя на сайте, обеспечивают рекламу, могут работать как веб-маяки - отслеживать маршруты и действия пользователя.

Установленные на сайтах трекеры помогают сформировать интернет-профиль пользователя: собрать значимую информацию о его интересах, потребностях и предпочтениях. Такую информацию потом можно продать рекламным компаниям, криминальным структурам, правительственным организациям.

Способами противодействия по сбору информации о пользователе и инструментом анонимности в сети могут быть: использование VPN с повышенной гарантией инкогнито.

3. Социальные сети

Флагманами по количеству зарегистрированных пользователей и по сбору информации о них являются соцсети-гиганты, такие как: ВКонтакте, Instagram, Google Plus+, Pinterest, LinkedIn, Snapchat и многие другие. Они тщательно документируют и сохраняют всё, что пишет пользователь на своей страничке, весь видео, фото и аудио контент, который выкладывается, все лайки, которые были поставлены, собирают данные о контактах пользователя, с которыми он контактирует, собирают данные о геолокации и активности в сети пользователя, анализируют сайты, которые посещает пользователь, фиксируют всю личную переписку, и т. д. Формально все соцсети декларируют и на словах гарантируют, что они не занимаются сбором конфиденциальной информации о пользователях, но периодически возникающие скандалы вокруг них позволяют усомниться в их искренности.

4. Поисковые системы

Такие IT-гиганты как Yandex, Google Inc., Bing, Yahoo и другие скрупулёзно анализируют и собирают всю имеющуюся информацию по поисковым запросам пользователя, в том числе и голосовые запросы, данные о геолокации, содержимое электронной почты и пароли к ней, сфера интересов пользователя, данные о гаджетах, с которых пользователь заходит в поисковик, фактический адрес пользователя, язык, на котором общается, покупки в интернет-магазинах и т. д.

Цели сбора информации: монетизация полученной информации (продажа рекламодателям первых мест в выдаче по запросу пользователя), для формирования пакета предложений пользователю по покупке ему необходимых товаров и услуг при помощи интернета, сбор информации о пользователе с целью её дальнейшей реализации.

СЛАЙД 8. (презентация по теме «Персональные данные и их защита»)

Как злоумышленники используют данные

Что произойдет, если личные сведения попадут в руки недобросовестных граждан? Это зависит от того, какие именно сведения смогут получить хакеры. Имея доступ к номеру и дате выдачи паспорта, адресу регистрации, номеру телефона, к логину личного кабинета на портале госуслуг или на сайте банка, можно:

• взять кредит;
• зарегистрировать фирму и «повесить» на нее долги;
• завести электронный кошелек (мошенники, которые обманывают людей в интернете, часто просят жертв выслать им деньги на электронный кошелек – поэтому аферистам выгодно использовать чужие данные;   
• вывести деньги с банковского счета;
• зарегистрировать на имя пользователя счет и использовать его для продажи и покупки запрещенных товаров, а также совершать другие незаконные действия от лица жертвы;
• создать на имя пользователя аккаунт на сайте для взрослых или в онлайн-казино;  
• оборвать телефон, предлагая свои услуги, и вымогать деньги — те самые звонки якобы от следователя или банковского безопасника;
• обманывать на сайтах объявлений.

Мошенник размещает объявление о продаже дорогой вещи по бросовой цене: утверждает, что надо продать срочно, поэтому и скидка большая. А так как цена привлекательная, то и желающих много, поэтому аферист настаивает на предоплате: чтобы не терять время, если покупатель вдруг передумает. В качестве гарантии липовый продавец высылает скан паспорта — разумеется, чужого, а после получения денег перестает отвечать на сообщения;

• Шантажировать. Заполучив чужие паспортные данные, мошенники находят владельца паспорта в соцсетях и предлагают заплатить им за удаление информации о документе, а иначе обещают оформить микрозаймы на имя жертвы.

Способы защиты информации в интернете

СЛАЙД 9. (презентация по теме «Персональные данные и их защита»)

Соблюдение несложных правил поможет сохранить безопасность персональных данных.

1. Регулярно обновляйте программное обеспечение.

Новые версии — это не только изменения в цвете и размере кнопочек, прежде всего это устранение пробелов в безопасности.

2. Проверьте антивирус.

Антивирус — это программа, которая вылавливает в потоке загружаемой информации вредоносные данные.

Не отключайте антивирус. Не обращайте внимание на тех, кто считает, что он «отжирает оперативную память» и тормозит работу компьютера/телефона.

3. Наведите порядок в паролях.

Обязательно держите в порядке коды доступа в первую очередь от самых главных сервисов: электронной почты, к которой привязаны аккаунты в соцсетях, самих соцсетей, облачных хранилищ, где вы размещаете фотографии и документы.

4. Используйте двухфакторную аутентификацию.

Делайте это везде, где есть такая возможность.

Это работает так: при входе в аккаунт нужно ввести логин и пароль. Но при этом система отправит на электронную почту или — что бывает чаще — на телефон проверочный код. Лучше лишний раз ввести проверочный код, чем дать злоумышленникам шанс похитить ваши данные.

5. Оформите отдельную карту для платежей в интернете.

Для онлайн-оплаты заведите банковскую карту с небольшим количеством денег. Не используйте для этого свою зарплатную карту, кредитку с большим лимитом или пластик, где лежат все ваши накопления. 

6. Закройте социальные сети.

Ограничьте круг людей, которые имеют доступ к информации на вашем аккаунте в соцсетях.

Конечно, лучший способ избежать утечки данных — вовсе не выкладывать их в сеть, однако для многих из нас это почти невозможно. Максимально ограничить доступ к информации не помешает.

7. Не используйте посторонние wi-fi-сети.

Мошенники могут создавать сети, замаскированные под обычный открытый wi-fi торгового центра или метро. С помощью такого двойника они перехватывают информацию, например, сведения для доступа в мобильный банк.

Часть 3. Заключение.

В завершении нашего занятия давайте рассмотрим приложения, которые скачаны на каждом из ваших телефонах. Для этого педагог просит открыть ребят на смартфонах «Параметры/настройки» и перейти в раздел приложения, после чего проанализировать какие разрешения были предоставлены приложениям, обсудить целесообразность данных разрешений. (Каждое описание приложения комментируется педагогом и обучающимися).

(Например, приложение «Фонарик» для его работы необходим доступ только к фотовспышке, при этом приложение запрашивает доступ к контактам, микрофону или памяти телефона. Если софт просит доступ к данным, которые ему не нужны, скорее всего, это делается для передачи их третьим лицам).

Все разрешения мобильных приложений затрагивают персональные данные пользователя, а потому их нужно выдавать только тем приложениям, которым вы доверяете. Всегда пытайтесь построить взаимосвязь и спросить себя, к примеру, зачем программе доступ к контактам, и для чего ей может понадобиться совершение звонков.

Уважаемые ребята, будьте всегда бдительны при работе со своими данными в сети Интернет (раздается памятка (Файл «Раздаточный материал Персональные данные и их защита»).