В России обостряется проблема утечки персональных данных

ЭкспертHi-Tech

Кража личного пространства

В России на фоне всеобщей цифровизации обостряется проблема утечки персональных данных. Особенно участились случаи хищения личной финансовой информации для совершения краж денег с банковских счетов и прочих махинаций

Алексей Грамматчиков

Объем цифровой информации в мире растет как снежный ком. И в этом коме есть немало информации личного характера, которая представляет все большую ценность для криминального мира: если раньше преступники воровали кошельки или обчищали квартиры, то сейчас находится немало желающих погреть руки на похищении персональных данных из информационного поля.

Например, сотрудник администрации города Кургана, сетуя на свою маленькую зарплату, обратил внимание на базу данных жителей города, к которой имел доступ по долгу службы. В течение восьми лет он регулярно копировал эти данные с серверов государственного учреждения и продавал их местным банкам, чтобы те, например, знали, кому выдавать или не выдавать кредит либо предложить какую-нибудь новую услугу. В прошлом году злоумышленник был пойман и получил два года лишения свободы.

Всего в России в прошлом году было украдено 5,8 млн записей, относящихся к персональным данным (имена, паспортные данные, адреса электронной почты и т. д.), финансовым данным (реквизиты банковских карт, данные банковских счетов) и другим типам конфиденциальной информации. Об этом говорит исследование российской компании InfoWatch (принадлежит Наталье Касперской и контролирует около 50% рынка систем защиты конфиденциальных данных), которая проанализировала все публичную информацию об утечках персональных данных в России в 2017 году.

Согласно результатам исследования, в прошлом году в России публично было сообщено о 254 случаях утечки конфиденциальной информации из российских компаний и государственных органов, это на 14% больше, чем в 2016-м, в 3,3 раза больше, чем пять лет назад, и в 28 раз больше, чем десять лет назад (см. график 1).

Число утечек в РФ за 5 лет выросло в 3,3 раза

График 1. Источник: InfoWatch

«Рост утечек информации обусловлен активным развитием цифровых ресурсов, с помощью которых пользователям оказывают услуги (интернет-магазины, государственные порталы, городские сервисы), — говорит Алексей Новиков, руководитель экспертного центра безопасности компании Positive Technologies. — Как правило, к личным кабинетам пользователей таких сервисов привязаны личные данные, контакты, данные банковских карт. Сервисы появляются регулярно, а вместе с ними растет количество пользовательских данных, что увеличивает возможности злоумышленников украсть личную информацию, деньги, осуществить разнообразные виды атак».

Финансовый подход

Особенно за последний год увеличилось число похищений персональных данных, связанных с платежной информацией. И это понятно: такого рода хищения при продолжающейся всеобщей цифровизации банковских услуг ничуть не хуже ножа и пистолета дают преступникам возможность быстро обогатиться.

Например, в Волгограде завершено следствие в отношении 26-летней сотрудницы одного из банков, которая занималась обслуживанием клиентов. В частности, по работе она имела доступ к их персональным данным, в том числе к кодовым словам, используемым для управления счетом. Она передавала эту информацию своему сообщнику, который, обращаясь в контактный центр под видом пользователя, похищал деньги. Таким образом, в течение шести месяцев со счетов 11 клиентов было похищено 4,3 млн рублей. На след злоумышленницы вышли сотрудники безопасности банка, которые передали информацию в полицию; девушке грозит лишение свободы на срок до пяти лет.

Еще более серьезный случай хищения на прошлой неделе был обнародован в Санкт-Петербурге, где группа злоумышленников похитила у вип-клиента Сбербанка 40 млн рублей. Следствие установило, что хищение было совершено группой лиц в мае 2017 года. Одна из подозреваемых (бывших сотрудников банка), представившись владельцем вклада и используя подложные документы, обратилась в отделение банка с целью перевода денежных средств и оформления сберегательных сертификатов с их дальнейшим обналичиванием.

В целом доля инцидентов, связанных с кражей и потерей платежной информации, за последний год в России вырвалась на второе место в общем числе утечек: если в 2016 году она составляла лишь 2,8% всех происшествий, то сейчас выросла до 12,9% (см. график 2).

На второе место в РФ переместилась кража платежной информации.

График 2. Источник: InfoWatch

Впрочем, не все утечки личной информации происходят по злому умыслу. Часто ценные персональные данные попадают в чужие руки из-за разгильдяйства ответственных лиц. На языке профессионалов это называется «неквалифицированные утечки», и таких случаев больше всего: по данным InfoWatch, в 2017 году такого рода инциденты составили 67% всех происшествий. Например, в Рязани ведется разбирательство в отношении клиники «Доктор Борменталь», которая на своем сайте разместила персональные данные работников и клиентов. При этом согласие на распространение персональных данных указанных граждан клиникой представлено не было. При проверке выяснилось, что в мед-учреждении не определены места хранения персональных данных, не установлен перечень лиц, осуществляющих их обработку либо имеющих к ним доступ, нарушены другие нормативы обработки таких данных.

Или еще вопиющий пример российской безалаберности: жители Омской области заметили на свалке горы документов. Здесь оказались копии паспортов и трудовых книжек, информация о прибытии граждан, судебные документы, материалы проверок и даже отпечатки пальцев. Кстати, именно в России крайне высок процент утечки информации на бумажных носителях. По данным InfoWatch, на пропажу данных на бумаге в ушедшем году пришлось 36% всех инцидентов (в мире этот показатель составляет только 8%). Ну а самым распространенным путем утечек в России, как и в мире, являются так называемые сетевые каналы (пропажи через интернет — браузеры, облачные сервисы и проч., см. график 3).

Чаще всего утечки происходят через интернет, но в РФ высока также доля бумажных пропаж.

График 3. Источник: InfoWatch

В распределении утечек по отраслям обращает на себя внимание уязвимость государственных органов: по данным InfoWatch, самые значимые утечки в России в прошлом году происходили в муниципальных учреждениях (19,4%). Далее идут банки и финансовые учреждения (17,8% всех утечек), где злоумышленникам легче всего обогатиться. Остро стоит проблема утечек в медицине (13,4%), гос-органах (11,9%), в сфере высоких технологий (11,5%). Больше стало утечек в сфере торговли (10,7%, см график 4), где уязвимостями активно развивающихся цифровых сервисов все чаще пользуются хорошо подготовленные и организованные преступные кибер-группировки. Так, в конце прошлого месяца сотрудники управления «К» МВД России при содействии компании Group-IB задержали двух кибер-преступников, занимавшихся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний . Как сообщают правоохранительные органы, в данном случае от рук мошенников пострадали десятки компаний, в том числе «Юлмарт», «Биглион», «Купикупон», PayPal, «Групон» (теперь ноcит название Frendi) и др. Всего было скомпрометировано около 700 тыс. учетных записей, две тысячи из которых хакеры выставили на продажу примерно по пять долларов за аккаунт. Задержанные признались, что таким путем заработали не менее 500 тыс. рублей. Однако реальную сумму ущерба еще предстоит выяснить. «Внимание кибер-преступников сейчас вернулось к России, и количество атак на банки и другие организации здесь и в странах бывшего СССР неутешительно растет, — рассказал “Эксперту” Антон Фишман, директор проектного направления Group-IB. — При этом мы наблюдаем активизацию атак и на компьютеры физических лиц. Информационная безопасность банков и финансовых организаций с каждым годом становится сильнее: оказывают влияние регулятор, международные стандарты, внутренние потребности в защите своих активов, в конце концов. Поэтому организация и успешное проведение целевой атаки на банк становится все более сложной задачей, требующей и навыков, и инструментов, и технологий. А такие методы, как социальная инженерия, фишинг, заражение мобильных и стационарных компьютеров пользователей, несравнимо проще в реализации, поэтому часть злоумышленников переключается на физлиц и берет массовостью. В связи с этим мы прогнозируем рост количества инцидентов с утечками платежных данных».

Больше всего данные пропадают из госучреждений.

График 4. Источник: InfoWatch

Кусочек айсберга

Впрочем, бурный рост утечек личной информации происходит не только в России, но и во всем мире, причем мировую динамику потерь личных данных можно назвать даже более интенсивной. Например, по данным InfoWatch, число подобного рода инцидентов в мире в прошлом году увеличилось на 37% (до 2100 инцидентов), а число утекших записей возросло за год в четыре раза, с 3,1 млрд в 2016 году до 13,2 млрд в 2017-м(см. график 5).

В мире за год число утечек выросло в 4 раза.

График 5. Источник: InfoWatch

И в это легко поверить: в развитых странах постоянно гремят скандалы, связанные с утечками персональной информации. Вслед за непрекращающимися обвинениями в адрес Facebook (соцсеть признана в РФ экстремистской и запрещена) на прошлой неделе в США поднялась волна еще более масштабного инцидента. Речь идет о маркетинговой компании Exactis, которая оставила на незащищенном сервере базу объемом порядка двух терабайт, содержащую 340 млн записей. По предварительным данным, в результате этой утечки скомпрометированы данные едва ли не всех граждан США.

Примечательно, что угроза похищения личных данных для современного человека порой может исходить от совершенно безобидных, казалось бы, вещей — например, от игрушек. В Китае, например, расследуется дело о похищении записей голосов более двух миллионов детей, которые хранились в базе данных компании — производителя «умных» игрушек CloudPets. Эти игрушки позволяют записывать и передавать сообщения от детей родственникам, однако сетевой доступ к этому сервису был недостаточно защищен.

Но особую тревогу вызывает тот факт, что все инциденты с пропажей личных данных, информация о которых просочилась в публичное пространство, это даже не верхушка айсберга, а лишь маленький кусочек глыбы реального числа подобного рода происшествий. Специалисты InfoWatch считают, что достоянием СМИ становится лишь один процент инцидентов, связанных с пропажей личной информации. «Отсутствие явной обязанности для компаний раскрывать факты утечки данных, даже если из-за инцидента пострадали третьи лица, приводит к тому, что львиная доля информации о подобных событиях держится пострадавшими организациями в секрете, — объясняет Андрей Янкин, заместитель директора центра информационной безопасности компании “Инфосистемы Джет”. — Основная причина роста числа утечек из года в год — изменение самого бизнеса, его цифровизация, рост ценности данных для конкурентов, развитие информатизации в гос-управлении. Все больше специалистов получают доступ к конфиденциальным данным, а незаконно монетизировать украденную информацию стало на порядок проще, чем еще лет десять назад. Вполне понятно, что на этом фоне растет и число случайных утечек».

Кто виноват и что делать?

Отвечая на извечный вопрос, кто виноват и что делать в случае с растущими объемами утечек частной информации, аналитики обращают внимание, что подавляющее большинство подобного рода хищений связано не с внешними преступниками, а с внутренними угрозами в виде сотрудников компаний или организаций (см. график 6). Поэтому главное направление борьбы с этим распространяющимся злом должно быть сконцентрировано на человеческом факторе. «Предотвращение утечек — комплексная задача, первый и основной компонент которой — работа с людьми. Очень многое зависит от деятельности HR-специалистов при приеме на работу, от качества проверки претендента на должность службой безопасности. В дальнейшем это регулярный мониторинг работы персонала, профилирование, оценка уровня лояльности», — подчеркивает Андрей Янкин.

Чаще всего воруют информацию сотрудники.

График 6. Источник: InfoWatch

По словам специалистов, действенным методом борьбы с утечками в компаниях и организациях может стать, например, минимизация прав доступа к ценной информации: сотрудник должен иметь доступ только к той части информации, которая необходима ему по работе, а все критические операции должны контролироваться еще и третьим лицом, что затрудняет реализацию преступления. Понятно, что стоит постоянно совершенствовать ИТ-архитектуру компании, не забывать внедрять современные решения информационного контроля и защиты — для этих целей, в частности, применяются специализированные системы по борьбе с утечками (DLP) и мошенничеством (Anti-Fraud).

На уровне регулятора стоит обратить внимание на совершенствование законодательства. Закон «О персональных данных», где введены базовые нормы обращения с такими данными, был принят в России еще в 2006 году. Однако до сих пор многие считают его слишком общим и призывают доработать с учетом лучших примеров из мирового опыта. Например, в Евросоюзе с мая этого года начали действовать ужесточенные правила обработки персональных данных (GDPR — General Data Protection Regulation), которые могут улучшить ситуацию с сохранностью личных данных. В частности, новые правила усиливают ответственность за нарушение правил обработки персональных данных — теперь штрафы для компаний за подобные нарушения могут достигать 20 млн евро или четырех процентов дохода компании.

Особое внимание в России следует уделить совершенствованию норм и ответственности использования личных данных в гос-органах. «На мой взгляд, в зоне наибольшего риска сейчас находятся государственные системы. Данных там все больше, а подходы к защите зачастую чисто формальные. Требования регулятора на бумаге выполнены, а дальше хоть трава не расти, — считает Андрей Янкин. — Впрочем, неверно считать, что здесь нет прогресса. Громкие скандалы с утечкой данных из гос-систем заставляют чиновников принимать меры к защите информации, но объемы хранимых о гражданах и бизнесе данных, а следовательно, и связанные с утечками риски растут опережающими темпами».

Фото: ТАСС

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Один дома Один дома

Интервью с лидером группировки «Ленинград»

Esquire
Голодные игры Голодные игры

Действительно ли модное сегодня лечебное голодание — панацея от всех недугов?

Добрые советы
Не святой Петр Не святой Петр

Сергей Минаев поговорил с Петром Авеном о несбывшихся мечтах 1990-х

Esquire
Улучшайзинг наладошкинга Улучшайзинг наладошкинга

Мужские селфи тоже имеют право на существование

Maxim
Что скрывают твои манеры Что скрывают твои манеры

Вредные привычки отражают наш характер и внутренние проблемы

Лиза
Хочу – и баста! Хочу – и баста!

5 секс-советов, которые пригодятся в постели даже консерваторам

Cosmopolitan
Длинные руки «Буяна» Длинные руки «Буяна»

В 2015 году мы узнали, что наносить ракетные удары можно из Каспийского моря

Популярная механика
Что носили мужчины на этой неделе Что носили мужчины на этой неделе

Розовые волосы, футболка в сетку и широкие брюки против классики

GQ
Операция «Оливковая ветвь» Операция «Оливковая ветвь»

Почему греческие оливки знамениты на весь мир

Вокруг света
Лучшие шутки дня и скандинавская ходьба! Лучшие шутки дня и скандинавская ходьба!

Пенсионный дайджест авторского юмора с авторской орфографией

Maxim
Дмитрий Данилов Дмитрий Данилов

Дмитрий Данилов: Самое ужасное место в Москве

Esquire
«Пока появляются истории, я буду их рассказывать» «Пока появляются истории, я буду их рассказывать»

Беседа c Вадимом Пановым

Мир Фантастики
Лето на горошине Лето на горошине

Как приготовить гаспачо из нута

Огонёк
30 пар обуви, которые вы будете носить этой осенью 30 пар обуви, которые вы будете носить этой осенью

Собрали для вас лучшие ботинки на грядущий сезон

GQ
Как Роскомнадзор раскрутил сервис 22-летнего петербуржца Как Роскомнадзор раскрутил сервис 22-летнего петербуржца

Звездный час VeeSecurity

РБК
Лучшие шутки дня и идеальный мужик! Лучшие шутки дня и идеальный мужик!

Яхонтовый дайджест авторского юмора с авторской орфографией

Maxim
Lexus RX L — очень большой мальчик Lexus RX L — очень большой мальчик

Размер имеет решающее значение

Maxim
Непристойные предложения Непристойные предложения

Наш инсайд из закулисья секс-блогерства

Glamour
12 лучших концертных альбомов всех времен 12 лучших концертных альбомов всех времен

Нужны ли вообще концертные пластинки? Эти 12 альбомов дают ответ!

Maxim
6 овощей, которые нельзя есть сырыми 6 овощей, которые нельзя есть сырыми

Выследи пугливую морковь, срази ее выстрелом, освежуй и зажарь на костре

Maxim
Что королева Елизавета II надевала на встречи с американскими президентами Что королева Елизавета II надевала на встречи с американскими президентами

Гарри Трумэн, Джон Кеннеди, Ричард Никсон и другие лидеры

Vogue
Комсомольский комсомолец Комсомольский комсомолец

Уголок желтой прессы

Maxim
Неизвестные автобренды: Baijah вместо УАЗа и Saehan вместо Opel Неизвестные автобренды: Baijah вместо УАЗа и Saehan вместо Opel

Под какими названием продаются известные бренды в разных странах

Популярная механика
Мелисса Маккарти: да, нет, знаю Мелисса Маккарти: да, нет, знаю

Мелисса Маккарти: «Ухватившись за хорошую возможность, я не разжимаю челюсти»

Glamour
Роботы против фейков Роботы против фейков

ИТ-гиганты ищут способы фильтрации фальшивых новостей

Эксперт
Как вылечить боль? Как вылечить боль?

Почему хроническую боль так трудно лечить

Psychologies
7 самых больших зданий, которые так и не были построены 7 самых больших зданий, которые так и не были построены

Колоссальные постройки, которые в реальном мире так и не были возведены

Популярная механика
Круто, ты попала! Круто, ты попала!

20-ка самых обсуждаемых в Сети представительниц слабого пола

StarHit
Белые и пушистые Белые и пушистые

Сравнительный тест MitsubishI Outlander и Toyota TAV4

АвтоМир
Почему мужчины изменяют: четыре мифа, в которые верят женщины Почему мужчины изменяют: четыре мифа, в которые верят женщины

Почему мужчины изменяют: четыре мифа, в которые верят женщины

Psychologies
Открыть в приложении