Количество утечек данных клиентов компаний увеличилось в несколько раз. Заставить бизнес уделять больше внимания безопасности хотят при помощи штрафов.
Одна из последних громких утечек произошла у СДЭК — в открытом доступе оказались данные 25 млн клиентов 30 тыс. контрагентов сервиса. В компании предположили, что под прицел попали в первую очередь базы CDEK.Shopping и "СДЭК.Маркет". При этом удалось отделаться малой кровью: в сеть не попали номера документов и данные банковских карт. По данным компании Infosecurity, могли быть слиты только ФИО заказчиков, адреса электронной почты, названия компаний–отправителей, идентификаторы отправителя и получателя и коды пунктов самовывоза. Также могли быть слиты данные о юридических лицах с названием компаний на русском и английском языках, телефоны, физические адреса и электронная почта.
Оборотный кнут
В целом сообщения об утечках появляются практически каждый день. Всего за неделю после происшествия со СДЭК, если судить по сообщениям СМИ, слиты оказались базы онлайн–кинотеатра Start, а также Tele2. Сообщалось о возможной утечке у кинотеатра IVI, но в компании срочно опровергли эту информацию. Также в текущем году сообщалось, что якобы сливалась информация из баз данных ГИБДД, Wildberries, "Авито", "Билайна", ВТБ и опять–таки СДЭК, но в организациях эти данные опровергались. Пожалуй, самая громкая и крупная утечка в начале года случилась у "Яндекс.Еды". Предположительно в открытом доступе оказались имена, физические адреса, мобильные номера и время доставки заказов. Чуть позже злоумышленники выложили в свободный доступ информацию о тратах пользователей за последние полгода.
На фоне этих событий Минцифры заявило, что к середине сентября будет подготовлен законопроект об оборотных штрафах для бизнеса за утечки персональных данных. Таким способом ведомство намерено подтолкнуть бизнес к более активным инвестициям в развитие инфраструктуры информационной безопасности и защиты персональных данных. Оборотные штрафы предлагается выписывать в том случае, когда утечка затронула свыше 10 тыс. граждан. Если объём окажется меньше, то компании выпишут штраф, но он не будет оборотным. Сейчас максимальный штраф за утечку для бизнеса составляет 500 тыс. рублей.
Простота хуже воровства
В Group–IB "ДП" сообщили, что в мае и начале июня 2022 года в даркнете было выложено рекордное количество баз данных российских компаний — более 50. Летом этот процесс ещё более активизировался.
"Часть баз были бесплатно выложены в паблике, что подтверждает мотив злоумышленников не столько заработать, сколько нанести как можно более серьёзный ущерб компаниям. Бывают, впрочем, случаи, когда из–за халатности сотрудников или неправильной настройки ПО данные становятся доступны третьим лицам", — считают эксперты.
Дмитрий Галов, эксперт по кибербезопасности "Лаборатории Касперского", подтверждает, что утечек стало больше. Однако он обращает внимание на важные нюансы: "Не стоит забывать, что утечки случались всегда. Сейчас к подобным инцидентам гораздо больше внимания, однако надо понимать, что далеко не за всеми сообщениями стоят реальные инциденты. Например, если на специализированном форуме появилась информация о продаже доступа к какой–либо базе данных, то она может быть скомпилирована из других баз или вообще не содержать никакой информации".
Повышенный интерес к утечкам есть и у самих злоумышленников. Сейчас фейк об утечке организовать просто: достаточно выложить несколько скринов, не обязательно достоверных. При этом определённое негативное влияние на репутацию компании всё равно происходит благодаря общественному резонансу. Кроме того, ложные инциденты отвлекают ресурсы служб информационной безопасности.
Чаще всего причиной утечек эксперты по кибербезопасности называют человеческий фактор — данные сливают сами сотрудники компаний. Но утечки также могут происходить из–за реальных кибератак, действий инсайдеров или низкого уровня цифровой грамотности работников.
"Можно сказать, что повышение актуальности темы безопасности данных — мировая тенденция. В России рост связан в том числе с возросшей агрессией киберзлоумышленников, которые стремятся нанести компаниям, особенно крупным, максимальный репутационный ущерб и нарушить рабочие процессы", — замечает Галов.
Персонализация во вред
При этом встаёт довольно важный вопрос: почему, зная о всех перечисленных опасностях, компании не усложняют уровни доступа к информации? Галов замечает, что такой процесс довольно сложно организовать.
"Обеспечение безопасности данных — комплексный процесс. Он обязательно должен включать в себя чёткое исполнение политики предоставления доступов, строгий мониторинг, а также работу с человеческим фактором, который часто становится причиной утечек. В отлаженной системе вероятность утечек снижается, в том числе благодаря тому, что их гораздо легче расследовать и выявлять инсайдеров", — объясняет собеседник "ДП".
Примечательно, что ещё пару лет назад утечки содержали не особо значимую информацию — например, ФИО и номер телефона.
Сейчас же можно встретить случаи, когда перечисляются адреса клиентов, их кредитные истории и даже медицинские данные.
Галов замечает, что это связано с тем, что общий массив данных становится с каждым годом больше.
"Компании стремятся предоставлять персонализированные услуги, объединяют свои продукты в экосистему. Это сопряжено с работой с агрегированием объёмами клиентских данных. С одной стороны, это делает сервисы более удобными и полезными, с другой — возникают новые риски информационной безопасности. Злоумышленники с течением времени тоже агрегируют всё больше информации о потенциальных жертвах. Для них интерес представляют уже не только паспортные данные и номер телефона, но и более детализированная информация, которая может помочь им втереться в доверие", — резюмирует он.