Ничего личного: утечки чувствительных данных россиян выросли в 40 раз

В России в 40 раз выросло количество утечек личной информации. Россияне доверяют важнейшие сведения о себе онлайн-сервисам, госучреждениям и коммерческим компаниям, а они попадают в публичное поле или к хакерам, имеющим виды на их продажу.

Слив личных данных опасен тем, что преступники могут получить доступ к вашим деньгам или, воспользовавшись данными, устроить травлю и и шантаж, вовлечь в мошенническую схему, повлиять на бизнес или личную жизнь.

В 2022 году были выявлены 168 случаев публикации значимых баз данных российских компаний. В них было два миллиарда записей о миллионах пользователей. Лидеры по объёмам скомпрометированных сведений — сферы доставки и розничной торговли, пишет РБК со ссылкой на «Лабораторию Касперского».

Роскомнадзор сообщил о почти 40-кратном увеличении утечек персональных данных клиентов за два года: если в 2021-м были лишь четыре, то в 2022-м — уже 140, а в январе-июле 2023-го — более 150, написали «Известия».

Свежий случай: 5 августа книжный сайт «ЛитРес» публично принёс извинения клиентам из-за утечки их данных — «злоумышленники получили доступ к адресам электронной почты».

Читайте также: Россиянам назвали главную ошибку при создании паролей 

Известна не каждая кибератака

В прессу не попадает информация о тысячах отбитых кибератак, но каждая удавшаяся атака — крупный инфоповод для СМИ, отметил Анатолий Бобунов, эксперт в области обеспечения качества финансовых систем.

«В России одни из самых развитых секторов в области информационных технологий — банковский, государственный и розничный. Активный рост цифровизации начался около 10 лет назад и продолжается сегодня. Ежедневно появляются новые сервисы и совершенствуются старые, чтобы облегчить жизнь граждан и упростить бюрократические процессы. Но законодательство и процессы обучения не успевают за активным ростом IT», — считает он.

Читайте по теме: Россиян предупредили о новой угрозе для смартфонов

Риски есть везде

Эксперты назвали виды онлайн-сервисов, наиболее опасных с точки зрения утечки данных. Если информация из них попадёт в плохие руки, будет «особенно больно»:

• банковские сервисы,
• платёжные системы,
• финансовые приложения;
• маркетплейсы товаров и услуг;
• медицинские сервисы;
• соцсети; 
• платформы для работы с внештатным персоналом и сайты для поиска работы.

Любой сервис, собирающий физическую информацию о пользователе (ФИО, телефон, адрес, код домофона, частота появления и геолокация входа в интернет), требует осмотрительности и учёта рисков утраты, сказал Владимир Калинин, эксперт в области госуправления и потребительского рынка.

«В случае утечки наиболее опасные для пользователей те сервисы, где люди оставляют большее количество своих актуальных и чувствительных данных. Но и мелкие утечки могут быть опасны. Ведь в одних местах вы оставили номер телефона, электронную почту и адрес дома, а в других — паспортные данные, данные о здоровье. Злоумышленники могут использовать утечки из разных компаний, обогащая деталями информацию о вас, чтобы потом использовать для неправомерных действий», — предупреждает Александр Зубриков, генеральный директор ITGLOBAL.COM Security.

Самая чувствительная информация о гражданах — у банков, медучреждений, операторов связи. Если данные оттуда утекут, их будет легко использовать для социальной инженерии, то есть манипуляций человеком, чтобы он выполнил какие-то действия, а попросту — мошенничества, обратил внимание Константин Степанов, исполнительный директор IT-компании HFLabs:

«Но, к счастью, в случае с банками и телеком-операторами утечки — скорей исключения. Эти организации давно под пристальным вниманием регуляторов и много внимания уделяют информационной безопасности».

Людям нужно просто понимать и принимать риски, что данные любого сервиса могут оказаться в свободном доступе, считает Ольга Соколова, партнёр агентства DigitalGuru, специализирующегося на исследованиях и управлении репутацией:

«Данные вообще, в том числе пользователей, — очень ценный ресурс, и многие хотят их получить. Поэтому взломы и утечки будут продолжаться. Это не какая-то уникальная особенность нашей страны — это, к сожалению, мировая практика».

При выборе сервисов, которым человек передаёт чувствительную информацию, следует соблюдать осторожность, добавила Элина Клименко, генеральный директор IT-компании Наймикс — платформы для работы с самозанятыми:

«Если платформа не входит в перечень Роскомнадзора и не соблюдает федеральный закон № 152-ФЗ «О персональных данных», она может недобросовестно обходиться с данными пользователей. Поэтому так важно при выборе платформы для поиска подработки и осуществления документооборота и взаиморасчётов выбирать поставщика, являющегося официальным партнёром ФНС и входящего в перечень Роскомнадзора».

Читайте также: Названы способы спасти утерянный телефон от «слива» данных 

Кто виноват

Эксперты озвучили основные причины утечки данных.

Одни возникают из-за рабочих коллективов, которые трудятся в сервисах, имеющих дело с личной информацией клиентов:

• некомпетентный и недостаточно обученный персонал;
• недофинансирование защиты сведений, намеренная экономия на безопасности;
• намеренные действия работников;
• переход на удалённую работу, из-за чего значительно усложняется соблюдение кибербезопасности;
• применение устаревших технологий, из-за которых возникают уязвимости систем;
• большое количество копий данных в разных IT-системах компаний, к которым имеют доступ много людей, сведения не маскируются, не зашифровываются специально.

Другие причины связаны с постоянным развитием технологий и угроз, которые могут создать ситуацию, когда даже внимательная компания может допустить утечку.

Третьи причины — геополитические и социальные. В 2022 году начался бум кибератак на инфраструктуру РФ. Их удвоенный рост в 2023-м фиксируют компании, обеспечивающие кибербезопасность.

Утечке способствуют сами пользователи сервисов: передают свои учётные данные мошенникам, оставляют в соцсетях личную информацию, используют плохие пароли, отказываются от двухфакторной аутентификации, неправильно хранят личные сведения.

Читайте по теме: Российским программистам хотят свить «гнёзда» в Сочи 

Наказывать или миловать

Причины утечек всегда делятся на внешние и внутренние, когда компания недобросовестно относится к информации, уверен Владимир Калинин, муниципальный депутат, эксперт в области госуправления и потребительского рынка:

«Конфликт нанимателя с программистом может вылиться в безвозмездный слив и целевую продажу информации о клиентах. Если безвозмездная публикация может иметь бесконечное число поводов, то целевая продажа имеет в центре себя мотивы покупателя — конкурентов, мошенников, архивариусов, обогащающих базы данных новыми сведениями».

Утечки происходят из-за сочетания жадности, недостатка внимания к кибербезопасности и дефицита профильных специалистов в командах сервисов, считает эксперт в области обеспечения качества финансовых систем Анатолий Бобунов.

«Наиболее частая причина утечек — даже не взлом сервиса хакерами, а недобросовестные действия сотрудников внутри компании. Ещё весной 2022-го исследовательская компания Gartner опросила 1 310 представителей бизнеса. Выяснилось: 69% опрошенных нарушали корпоративные рекомендации по кибербезопасности за последние 12 месяцев, 74% заявили, что готовы пренебречь правилами кибербезопасности, если это поможет команде достичь бизнес-цели», — отметил Илья Веригин, директор IT-компании «Биорг» по работе с государственными заказчиками.

За рубежом давно озаботились проблемой утечек и ужесточили законодательство, установив оборотные штрафы: за нарушение компания должна заплатить государству до 4% годовой выручки, отметила Ольга Соколова, партнёр агентства DigitalGuru:

«За прошлый год, по некоторым оценкам, в Европе в сумме получилось штрафов почти на три миллиарда евро. Конечно, в таких условиях компании прикладывают массу усилий, чтобы не попасть под штрафы. Они вкладывают деньги в безопасность своей инфраструктуры, нанимают сильных специалистов и так далее».

«Нужно ли строго наказывать бизнес за утечки данных? С одной стороны, конечно, должны быть предусмотрены меры ответственности. Но заградительные барьеры уже есть — нельзя просто так обрабатывать персональные данные. Сперва нужно пройти сертификацию ФСТЭК и ФСБ. Всё остальное — оборотные штрафы и так далее — похоже на коммерческую составляющую», — парировал Илья Веригин.

По его мнению, вопрос в том, какие есть альтернативные решения. Не предоставлять сервисам свои данные? И могут ли маркетплейсы или службы доставки еды не собирать и не хранить персональные данные — и при этом поддерживать тот уровень обслуживания, к которому приучили клиентов?

«Самое главное в этом случае — безопасность платёжных данных, чтобы граждане не подвергались финансовым рискам. Мы можем сколько угодно решать проблему информационной безопасности через настройку антивирусов, уровней доступа и прочего. Но если в 70% случаев причина утечек — поведение человека, то проблему гораздо проще и быстрее решить через информационную работу с населением, а не через технологические инновации, которые довольно дорогие и работают, как мы видим, не на 100% эффективно», — подчеркнул Веригин.

Читайте также: Как разгневанный айтишник может сорвать запись к врачу на «Госуслугах»

Прекрасное ли далёко нас ждёт?

Ну и как тогда строить цифровое будущее в России, и возможно ли оно?

Утечки данных — глобальная проблема, не одна Россия сталкивается с ними, отметил Станислав Сидоров, генеральный директор инновационной компании Pro Control.

Однако недостаток фокуса на кибербезопасности может подорвать доверие к цифровым технологиям в стране, добавил он:

«Чтобы говорить о стабильном цифровом будущем, необходимо внедрять строгие стандарты безопасности, обеспечивать непрерывное обучение и мониторинг, сотрудничать с международными партнёрами по вопросам кибербезопасности. Россия имеет потенциал для развития в этой сфере, и правильный фокус на безопасности может обеспечить успешное цифровое будущее».

Цифровое будущее вполне реализуемо, полагает эксперт в области обеспечения качества финансовых систем Анатолий Бобунов. Он считает, что государство активно внедряет меры по кибербезопасности, а компании разрабатывают криптографические решения для обеспечения безопасности информации:

«Однако для успешного цифрового будущего Россия должна продолжать инвестировать в кибербезопасность, разрабатывать строгие стандарты безопасности данных и активно обучать экспертов по кибербезопасности. Важно создать окружение, где утечки данных будут рассматриваться как аномалия, а не как обыденное явление, чтобы обеспечить надёжное цифровое будущее страны».

Для достижения цифрового будущего нужно действовать на опережение, ведь сейчас, по большому счёту, мы защищаем данные методами прошлого века, подчеркнул Константин Степанов, исполнительный директор IT-компании HFLabs:

«Мы ставим больше защиты, то есть всё более дорогой софт. Это понятный путь, но данных становится очень много, у каждой кофейни или салона красоты уже есть CRM-система (система управления взаимоотношениями с клиентами и оптимизации бизнес-процессов — прим.). Данных стало больше. Да, мы можем все их огородить, но в таком случае инструменты защиты станут массовыми, а значит, и вероятность их взлома тоже увеличится. На мой взгляд, нужно смотреть в другую сторону и думать, как сделать сами утечки бессмысленными: например, использовать для сервисов одноразовые адреса электронной почты, телефоны. Почему бы России не стать первой страной, решившей проблему утечек изменением самого подхода к тому, что является персональными данными?».

Ужесточение законов повлияет на отечественные компании и структуры — они будут больше внимания уделять угрозам утечек, повысив безопасность информации, полагает Ольга Соколова, партнёр агентства DigitalGuru.

Хотя это не даст 100-процентной гарантии отсутствия утечек — риск будет всегда, но внимание к безопасности позволит снизить вероятность происшествий, уточнила она.

Читайте по теме: Названы регионы, где сложнее всего записаться к врачу через «Госуслуги»

Цифровое будущее наступило

Утечки данных — серьёзная проблема, которую необходимо устранить для обеспечения безопасности в цифровом будущем России, сказал Александр Зубриков, гендиректор компании ITGLOBAL.COM Security.

Но её наличие, отметил он, не исключает возможности развития и достижения цифрового будущего, что зависит от всех: от разработчиков программного обеспечения до пользователей онлайн-сервисов и государства.

«На данный момент виден эволюционный рост развития цифровизации РФ в целом и информационной безопасности в частности. Регуляторы активно борются с утечками персональных данных, вендоры разрабатывают более эффективные и передовые средства защиты информации, информационной безопасности начинают обучать на площадках «Госуслуг» и посредством социальной рекламы», — обратил внимание Зубриков.

Цифровое будущее давно стало цифровым настоящим, уверен Владимир Калинин, эксперт в области госуправления и потребительского рынка. 

«Утечки и кражи данных будут продолжаться, но на стороне компаний всегда есть возможность отказаться от сбора дополнительных сведений. Например, при продаже цифровой копии книги нет нужды собирать данные об адресе квартиры покупателя. Такие данные изначально собирались для легальной перепродажи банкам, брокерам и посредникам. Жадность и стремление монетизировать каждый клик привели нас не в светлое цифровое будущее, а в угрожающий мир, где цифровая личность становится товаром для недобросовестных предпринимателей», — заключил он.

Читайте ещё: Apple и Google блокируют нам приложения, но мы знаем, что делать

Алексей Лохвицкий