Анатолий Комраков
Виновниками слива персональных данных от сервисов доставки еды оказались не азиатские курьеры, а украинские хакеры.
Фото агентства «Москва»
В России наблюдается лавинообразный рост потерь персональных данных, коммерческой или личной информации. Число доступных на сером рынке персональных записей уже в несколько раз превысило население нашей страны. Фактически почти все население страны существует в режиме полной информационной беззащитности, поскольку вся информация о работе, месте проживания, прививках и состоянии здоровья, интернет-покупках, собственности или подробностях семейных отношений уже утекла в интернет. Только за последний год объем утечек чувствительной информации вырос почти втрое. Власти пытаются остановить утечки повышением штрафов. Однако эти усилия пока не отразились на объемах утекающей информации. Президент РФ Владимир Путин поручил правительству к июлю 2023 года разобраться с ситуацией.
Необходимо провести ревизию накопленных ведомствами баз данных, поскольку есть риск их утечки, заявил во вторник глава Минцифры Максут Шадаев. «Когда мы храним огромный массив данных, в том числе исторических, мы понимаем, что есть риск их утечки, как бы мы их ни защищали. Сейчас будем призывать ведомства проводить определенную ревизию накопленных баз данных», – сказал он.
Количество утечек персональных данных граждан, а также конфиденциальной информации организаций после небольшого снижения в пандемийный 2021 год в 2022-м стало расти в России небывалыми темпами, гласят результаты исследования компании InfoWatch. Число утечек записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, то есть количество скомпрометированных записей в прошлом году более чем в 4,5 раза превысило численность населения страны. Количество утечек конфиденциальной информации из отечественных организаций выросло в 2,1 раза. Причем доступ к большинству данных на тематических форумах и Telegram-каналах был абсолютно бесплатным.
Основная причина резкого роста утечек информации – повышение активности киберпреступников, спровоцированное обострением международной обстановки после начала специальной военной операции, отметил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Причем РФ еще достаточно неплохо выглядит на фоне бушующей кибервойны: в некоторых странах количество утечек выросло в 10–18 раз.
Россияне ощущают напряжение ситуации по учащению звонков от мошенников, которые достаточно уверенно владеют персональной информацией, обращаясь по имени и отчеству и называя банки, в которых у человека есть счета. Под различными предлогами они пытаются (и немало случаев, когда им это удается) узнать еще более чувствительную информацию о пин-кодах либо просто вымогают деньги, представляясь попавшими в беду родственниками или даже оперативными сотрудниками, которым нужно помочь задержать взяточника.
InfoWatch описывает и то, как в общий доступ утекают персональные данные. После того как в феврале прошлого года сервис «Яндекс.Еда» упустил в Сеть миллионы данных пользователей, включая фамилии, номера телефонов, адреса доставок, компания первоначально заявляла, что причиной инцидента стали недобросовестные действия персонала, но новая версия – утечка была реализована с помощью хакерской атаки на внешнюю инфраструктуру.
На памяти также сливы от другого сервиса доставки еды – Delivery Club. В мае отличилась сеть медицинских лабораторий «Гемотест», которая допустила утечку двух баз данных на 0,5 млрд заказов и 31 млн строк с информацией, причем там были и ФИО, и даты рождения, и адреса, и номера телефонов, и электронная почта, и даже серии и номера паспортов, а в довесок – результаты анализов. При большом желании базы можно сверять с данными из ГИБДД, операторов сотовой связи, микрофинансовых организаций, соцсетей, сервисов по продаже билетов, онлайн-кинотеатров и банков.
По данным специалистов компании Group-IB, злоумышленники выложили в 2022 году 1,4 млрд строк из утекших баз российских компаний. По их данным, впервые выложенных в публичный доступ в 2022 году, баз было 311. Для сравнения: в 2021 году их было всего 61, а общее количество строк данных пользователей было «всего» 33 млн. Новым трендом 2022 года они назвали массовую публикацию объявлений в мессенджерах, впрочем, были задействованы и обычные каналы публикаций о продаже баз данных на андеграундных форумах и тематических Telegram-каналах. Эксперты компании прогнозируют, что в 2023 году прошлогодний антирекорд по числу утечек баз данных российских компаний может быть побит.
Потери мировой экономики из-за кибератак в 2022 году могли достигнуть 8 трлн долл. Такую оценку Всемирного экономического форума (ВЭФ) приводил в своей статье министр иностранных дел России Сергей Лавров. Он напомнил, что в 2019 году потери оцениваются в 2,5 трлн. По экспертным оценкам, к 2025 году мировые потери могут достигнуть 11 трлн, а к 2030 году ‒ 90 трлн. В России изначально подобного рода потери оценивались экспертами в 2022 году на уровне 165 млрд руб., однако из-за обострения геополитической обстановки и шквала хакерских атак управляющий компании RTM Group Евгений Царев увеличил эту оценку до 320 млрд.
МВД России сообщало, что в 2022 году с использованием высоких технологий совершалось каждое четвертое преступление. «Зарегистрировано на 27,6% меньше краж, на 29% – фактов мошенничества с использованием электронных средств платежа, на 22,5% – криминальных деяний в сфере компьютерной информации», – говорится в отчете ведомства. При этом там зафиксировали 9,3 тыс. преступлений, связанных с неправомерным доступом к компьютерной информации, это рост за год на 45,6%, раскрыто около 1,3 тыс. (14%, раскрываемость улучшилась на 0,5%). МВД отмечает, что за январь–февраль 2023 года произошел рост числа преступлений, совершенных с использованием информационно-телекоммуникационных технологий, на 17,1%. Вместе с тем меньше на 10,9% стало IT-краж и на 40,1% – мошенничеств с использованием электронных средств платежей.
«С начала 2022 года резко увеличилось количество утечек персональных данных – более 140 случаев, в Сеть попали около 600 млн записей о гражданах, – подтвердили «НГ» в Роскомнадзоре. – Сообщения об утечках баз данных с российских ресурсов стали появляться значительно чаще, в первом квартале 2023 года зафиксировано уже 39 инцидентов».
«Участившиеся взломы баз данных и их сливы в публичное пространство – часть гибридной войны, которая ведется против России. Очевидно, что это спланированные хакерские атаки, инициированные из-за рубежа. Более того, характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам», – заявили в Роскомнадзоре.
Стоимость утекших баз данных может достигать нескольких сотен тысяч рублей в случае ее «свежести» и полноты данных, но сейчас компании жестче контролируют сотрудников, а базы персональных данных становятся просто побочным материалом хакерских взломов. При этом до сих пор обладатели этих баз несут практически условное наказание за такие случаи. «Размер штрафа для корпораций не существен, – сказал «НГ» эксперт консалтинговой группы «Полилог» Александр Хазариди. - За утечку 300 гигабайтов данных в 2022 году компанию «Гемотест» оштрафовали всего на 60 тыс. руб. Аналогичный штраф в том же году выплатила и «Яндекс. Еда». Правда, говорит эксперт, стоит учитывать еще и маркетинговый аспект проблемы. «Каждый пользователь, чьи данные были собраны – это клиент, на привлечение которого были потрачены деньги компании. В случае утечек проделанная работа становится общедоступной и все данные, которые собирались месяцы и годы, могут использовать другие игроки. В связи с этим искать новые работающие решения по защите персональных данных в конечном итоге выгодно самим корпорациям», – отмечает он.
«Хотя в прошлом году стало существенно больше случаев, когда хакеры – в политических или иных целях – выкладывали украденные данные в открытый доступ, основная доля утечек информации по-прежнему связана с корыстными мотивами, когда полученные данные не становятся достоянием общественности, а продаются на черном рынке (форумы дарквеба, закрытые каналы в Telegram) или служат средством шантажа пострадавших компаний (хакеры требуют выкуп в обмен на гарантии нераспространения украденной информации), – сказал «НГ» Арсентьев. – Украденная информация может продаваться в дарквебе на эксклюзивной основе (одному покупателю) или в разные руки. Лишь удовлетворив свои финансовые аппетиты, преступники или их агенты могут выложить данные в открытый доступ. Но и это происходит не всегда».
По словам эксперта, экономический ущерб сугубо индивидуален и зависит от многих факторов: типа утекшей информации, ее объема, возможности для криминала обогатить имеющиеся базы, чтобы повысить уровень «конверсии» фишинга. «Утечка телефонного номера того или иного человека – это мина замедленного воздействия. До поры до времени она может вызывать лишь всплеск назойливых предложений товаров и услуг, но если злоумышленники совместят номер с другой информацией о человеке (возраст, профессия, материальное положение, какими услугами пользуется, где проводит свободное время и т.д.), это может стать серьезным оружием в ходе мошеннического воздействия, – говорит Арсентьев.
“Ключевой мотив утечек персональных данных пользователей – дестабилизация текущей экономико-политической ситуации в стране, а также желание дискредитировать российский бизнес и граждан, включая быструю наживу, - сказала «НГ» доцент базовой кафедры финансовой и экономической безопасности РЭУ им. Г. В. Плеханова Екатерина Ерохина. - Объем таких утечек в российском сегменте бизнеса составляет лишь 13%, по сравнению с США, где доля утечек бизнеса составляет свыше 30%. Если говорить об ущербе, в первую очередь страдают простые граждане, чьи персональные данные (телефоны, счета, адреса) попадают в руки мошенников и недобросовестных пользователей. На мой взгляд, этому чаще всего подвержено старшее поколение, являющееся более доверчивым к поступающей извне информации, например, к звонкам или сообщениям. Если говорить о размере ущерба, в текущей геополитической ситуации – суммы, которые теряют наши доверчивые граждане очень существенные, многочисленные уголовные дела и заявления о мошенничестве тому подтверждение. Открытость информации, содержащей персональные данные, тесно связана с многочисленными цепочками их перепродажи с целью наживы. Нередко этим промышляют нечестные сотрудники телекоммуникационных компаний, сливающие в сеть телефонные номера и данные пользователей, а также в случае хакерских атак, число которых в 2022-2023 годах возросло во много раз».
Эксперт тем не менее возражает против того, что можно говорить об общедоступности персональных данных в РФ. «Репутация и возможности финансовых учреждений и телекоммуникационных компаний (откуда чаще всего происходят сливы персональной информации) намного важнее, чем быстрый заработок недобросовестных сотрудников, а многочисленные отделы безопасности и IT-подразделения постоянно совершенствуют уровни доступа к конфиденциальной информации своих пользователей, включая и штрафы за утечки таких данных. Безусловно рост утечек персональной информации создает проблемы для внедрения новых технологий платежей, однако опыт повсеместной цифровизации сервисов и услуг в России в пандемийный и пост-пандемийный периоды свидетельствует о том, что при должном регулировании со стороны государства и корпораций, новые системы безопасности технологических процессов достаточно эффективны и являются передовыми не только для России, но и для всего мира».
«Прямой ущерб (от утечек персональных данных – «НГ») состоит в потере деловой репутации, возможном оттоке клиентов, а также временной дезорганизации работы на момент расследования и устранения последствий утечек, говорит руководитель исследовательской лаборатории инноваций и цифровых технологий Московской школы управления Сколково Владимир Коровкин.
Мотивами утечек, по его словам, могут быть как запугивание с целью дальнейшего шантажа - несколько громких утечек просто готовят почву, демонстрируя потенциальную силу хакерских группировок и усиливая их "переговорную позицию", так и "хактивизм" - совершение действий по тем или иным идеологическим мотивам, без прямого поиска экономической выгоды. Кроме того возможен конкурентный "заказ".
Для обывателя, возможно, является правильной стратегией считать, что любое действие в Интернете потенциально может стать публичным, соответствующим образом выстраивая свое поведение, полагает Коровкин. «Шансы массового взлома, скажем, банка с кражей денег относительно невелики, а вот вероятность того, что в публичном доступе окажутся ваши заказы пиццы или поездки на такси - существенно выше», - говорит эксперт.
По его мнению, цифры безналичного оборота в России показывают, что большая часть населения так или иначе приняла потенциальные риски и на бытовом уровне их, скорее, игнорирует. «В целом нет ощущения, что вопросы личной кибербезопасности занимают значимое место среди тревог среднестатистического пользователя Интернета - возможно, что зря», - рассуждает Коровкин.
