Глава Минцифры Максут Шадаев намерен бороться с утечками данных оборотными штрафами для компаний. Фото с сайта www.digital.gov.ru
По экономике РФ в целом и по обычным пользователям в частности ведется кибератака. Сначала это приводит к масштабным утечкам данных. А затем со счетов клиентов пропадают миллиарды рублей, что признают и в Центробанке (ЦБ). По итогам января–мая в сеть утекло почти 200 млн строк пользовательских данных, включая пароли. Это вдвое больше, чем годом ранее, следует из оценок «Лаборатории Касперского». И уже в 95% случаев компании обвиняют в утечках внешних, чаще всего украинских хакеров. Как предполагают в InfoWatch, «украинские хакеры» – это еще и удобный способ оправдать собственную халатность и умолчать о саботаже внутри компании.
В январе–мае зафиксировано на треть больше утечек значимых баз данных российских компаний по сравнению с аналогичным периодом 2022-го. Это следует из статистики «Лаборатории Касперского», представленной в понедельник. Речь идет о 64 фактах. Значимой признается утечка, в результате которой скомпрометировано более 5 тыс. строк различных пользовательских данных, также это утечка, получившая резонанс в СМИ.
В итоге за указанный период в Сеть утекло почти 200 млн строк пользовательских данных, что вдвое больше, чем за аналогичный период 2022-го, следует из оценок лаборатории. Попавшая в открытый доступ информация содержала прежде всего номера телефонов (81 млн строк) и пароли – 23 млн строк. К стандартному набору относятся также ФИО и адреса электронной почты.
При этом если в начале 2022-го данные утекали в основном через рестораны и онлайн-сервисы, то теперь утечки, судя по исследованию, происходят в сферах ретейла, IT и финансов. Кроме того, в этом году под огнем оказались прежде всего крупные компании, на которые пришлось 163 млн слитых в открытый доступ строк данных против 28 млн годом ранее.
«Важно понимать, что проблема утечек не исчисляется лишь терабайтами данных, которые выкладывают злоумышленники. Этого может оказаться достаточно, чтобы идентифицировать человека и с помощью социальной инженерии получить доступ к его конфиденциальным сведениям и аккаунтам, реализовывать более убедительные мошеннические схемы», – приводит разъяснения аналитика Kaspersky Digital Footprint Intelligence Игоря Фица ТАСС.
В свою очередь, президент группы компаний InfoWatch Наталья Касперская подробно рассказала о реалиях времени в интервью Национальному банковскому журналу. «Резко выросло число утечек информации. Особенно это заметно по утечкам персональных данных. Изменились и мотивы злоумышленников. Если раньше это были хищения данных с коммерческими целями (шантаж, выкуп, перепродажа), то теперь это в основном кража данных с политическими целями – сеяние паники, распространение ложной информации, саботаж, выявление участников СВО и членов их семей», – сообщила Касперская.
Придя за средствами в банк, граждане могут узнать неприятные новости о своем счете. Фото РИА Новости |
Другим не просто заметным, а радикальным изменением рынка информационной безопасности Касперская назвала единовременный отзыв сертификатов у множества иностранных систем: «Масса западного программного обеспечения разом превратилась в недоверенное ПО».
И кстати, некоторые эксперты в этом тоже видят причину увеличения числа кибератак и утечек. «Из-за массового перехода компаний на импортозамещенное ПО не всегда удается своевременно адаптировать инфраструктуру под требования информационной безопасности», – сказал «НГ» замгендиректора холдинга Т1 по технологическому развитию Антон Якимов.
К другим факторам, которые провоцируют рост числа кибератак, Якимов отнес кадровый голод: «Не хватает специалистов для поддержки, обслуживания и быстрого реагирования на возникающие инциденты». А директор по продукту Flussonic Аркадий Велькер, в свою очередь, указал еще на «недостаток средств цифровой безопасности, малое количество инвестиций в информационную безопасность и постоянное развитие вредоносных программ».
При этом, несмотря на то что, как следует из оценок Касперской, сейчас кража данных осуществляется в основном с политическими мотивами, коммерческий мотив все же не исчез полностью. По крайней мере это отчетливо прослеживается при атаках на банковский сектор. Директор департамента информационной безопасности ЦБ Вадим Уваров упомянул в интервью Национальному банковскому журналу «кратный рост кибератак на банки».
На минувшей неделе Центробанк впервые раскрыл информацию о попытках злоумышленников похитить деньги у граждан. Как сообщили в ЦБ, в первом квартале этого года банки отразили 2,7 млн атак кибермошенников на счета клиентов и таким образом предотвратили хищения на 712 млрд руб. Это хорошая новость.
Плохая новость в том, что «тем не менее мошенникам удалось провести 252,1 тыс. операций без согласия клиентов, их объем составил 4,5 млрд руб.». «Больше всего денег злоумышленники похитили через переводы с помощью онлайн-банкинга, в том числе это были заемные средства», – поясняется в обзоре ЦБ.
«Мы видим, что схемы мошенников становятся все сложнее, они активно используют методы социальной инженерии, заставляя граждан добровольно отдавать свои средства, задействуют новые приемы обмана. Для противодействия злоумышленникам мы продолжим совершенствовать наше регулирование», – сообщают в ЦБ.
В первом квартале регулятор инициировал блокировку почти 97 тыс. телефонных номеров, с которых мошенники звонили гражданам. Активность киберпреступников в интернете по сравнению с аналогичным периодом прошлого года выросла более чем в 2,5 раза – регулятор инициировал блокировку 8,3 тыс. фишинговых сайтов. Они были замаскированы под официальные сайты финансовых организаций.
Как сообщили «НГ» в пресс-службе Минцифры, один из главных способов борьбы с утечками – ответственный подход компаний-операторов персональных данных к их хранению и обработке. «Одна из инициатив министерства, направленная на предотвращение утечек, – введение оборотных штрафов для компаний, допустивших утечку персональных данных», – пояснили в ведомстве Максута Шадаева и рассказали о соответствующем законопроекте.
В нем, в частности, отражены следующие инициативы: административная ответственность и ее градация за утечки баз данных, содержащих персональные данные; фиксированный штраф при первичной утечке и оборотный штраф при повторной; ряд смягчающих и отягчающих обстоятельств (например, соблюдение повышенных требований по информационной безопасности в компании будет считаться смягчающим обстоятельством); минимальный размер административного штрафа при соблюдении оператором всех смягчающих обстоятельств и отсутствии отягчающих обстоятельств.
«Документ сейчас находится на финальной стадии согласования, – уточнили в пресс-службе. – Эти нормы побудят компании вкладываться в защиту информации: им выгоднее будет заранее уделить внимание информационной безопасности, чем потом нести ответственность в случае утечек».
«Риски утечек должен снизить и принятый в прошлом году указ президента «О дополнительных мерах по обеспечению информационной безопасности РФ». Он установил персональную ответственность руководителей организаций за обеспечение информационной безопасности, – напомнили в Минцифры. – Установление дополнительных требований и санкций будет стимулировать организации повышать уровень информационной безопасности».
Как при этом считает Якимов, избежать массовых утечек в будущем поможет комплексный подход к вопросам информационной безопасности: «Необходимо уделять внимание не только техническим аспектам, но и организационным мерам, например, регулярному обучению сотрудников. Также можно порекомендовать внешние проверки, например, стресс-тестирование систем на взлом».
«Профилактика – лучшее лечение болезней, – продолжил Велькер. – Повышение цифровой грамотности очень важно обеспечивать на государственном уровне, особенно среди самых незащищенных слоев населения, которые чаще других сталкиваются с кибермошенниками. Уроки цифровой гигиены следует вводить уже в школе. Кроме того, необходимо запретить собирать данные там, где они в сущности не нужны. Например, не нужно запрашивать у пользователя дату рождения и ФИО при при заказе бургера в сервисе доставки еды».Добавим, что в IT-отрасли и в Минцифры обсуждаются не только штрафы за утечки, но и следующие этапы цифрового развития российской экономики. Речь идет об использовании обезличенных механизмов хранения информации, предоставляющих быстрый доступ к большим объемам данных, которые будут способствовать развитию искусственного интеллекта. Доступ к обезличенным данным позволяет обучать нейросети. Но важно, чтобы используемые в обучении сведения нельзя было восстановить.
Как ранее рассказала замдиректора департамента обеспечения кибербезопасности Минцифры Айсалу Бадягина, уже около трех лет министерство и отрасль обсуждают вопрос регулирования оборота персональных данных, и пока они пришли к выводу, что на сегодняшний день отсутствуют технологии, которые позволяют на 100% обезличивать персональные данные. Один из выводов министерства: оборот обезличенных данных необходимо регулировать путем поэтапного внедрения.