В России обостряется проблема утечки персональных данных

ЭкспертHi-Tech

Кража личного пространства

В России на фоне всеобщей цифровизации обостряется проблема утечки персональных данных. Особенно участились случаи хищения личной финансовой информации для совершения краж денег с банковских счетов и прочих махинаций

Алексей Грамматчиков

Объем цифровой информации в мире растет как снежный ком. И в этом коме есть немало информации личного характера, которая представляет все большую ценность для криминального мира: если раньше преступники воровали кошельки или обчищали квартиры, то сейчас находится немало желающих погреть руки на похищении персональных данных из информационного поля.

Например, сотрудник администрации города Кургана, сетуя на свою маленькую зарплату, обратил внимание на базу данных жителей города, к которой имел доступ по долгу службы. В течение восьми лет он регулярно копировал эти данные с серверов государственного учреждения и продавал их местным банкам, чтобы те, например, знали, кому выдавать или не выдавать кредит либо предложить какую-нибудь новую услугу. В прошлом году злоумышленник был пойман и получил два года лишения свободы.

Всего в России в прошлом году было украдено 5,8 млн записей, относящихся к персональным данным (имена, паспортные данные, адреса электронной почты и т. д.), финансовым данным (реквизиты банковских карт, данные банковских счетов) и другим типам конфиденциальной информации. Об этом говорит исследование российской компании InfoWatch (принадлежит Наталье Касперской и контролирует около 50% рынка систем защиты конфиденциальных данных), которая проанализировала все публичную информацию об утечках персональных данных в России в 2017 году.

Согласно результатам исследования, в прошлом году в России публично было сообщено о 254 случаях утечки конфиденциальной информации из российских компаний и государственных органов, это на 14% больше, чем в 2016-м, в 3,3 раза больше, чем пять лет назад, и в 28 раз больше, чем десять лет назад (см. график 1).

Число утечек в РФ за 5 лет выросло в 3,3 раза

График 1. Источник: InfoWatch

«Рост утечек информации обусловлен активным развитием цифровых ресурсов, с помощью которых пользователям оказывают услуги (интернет-магазины, государственные порталы, городские сервисы), — говорит Алексей Новиков, руководитель экспертного центра безопасности компании Positive Technologies. — Как правило, к личным кабинетам пользователей таких сервисов привязаны личные данные, контакты, данные банковских карт. Сервисы появляются регулярно, а вместе с ними растет количество пользовательских данных, что увеличивает возможности злоумышленников украсть личную информацию, деньги, осуществить разнообразные виды атак».

Финансовый подход

Особенно за последний год увеличилось число похищений персональных данных, связанных с платежной информацией. И это понятно: такого рода хищения при продолжающейся всеобщей цифровизации банковских услуг ничуть не хуже ножа и пистолета дают преступникам возможность быстро обогатиться.

Например, в Волгограде завершено следствие в отношении 26-летней сотрудницы одного из банков, которая занималась обслуживанием клиентов. В частности, по работе она имела доступ к их персональным данным, в том числе к кодовым словам, используемым для управления счетом. Она передавала эту информацию своему сообщнику, который, обращаясь в контактный центр под видом пользователя, похищал деньги. Таким образом, в течение шести месяцев со счетов 11 клиентов было похищено 4,3 млн рублей. На след злоумышленницы вышли сотрудники безопасности банка, которые передали информацию в полицию; девушке грозит лишение свободы на срок до пяти лет.

Еще более серьезный случай хищения на прошлой неделе был обнародован в Санкт-Петербурге, где группа злоумышленников похитила у вип-клиента Сбербанка 40 млн рублей. Следствие установило, что хищение было совершено группой лиц в мае 2017 года. Одна из подозреваемых (бывших сотрудников банка), представившись владельцем вклада и используя подложные документы, обратилась в отделение банка с целью перевода денежных средств и оформления сберегательных сертификатов с их дальнейшим обналичиванием.

В целом доля инцидентов, связанных с кражей и потерей платежной информации, за последний год в России вырвалась на второе место в общем числе утечек: если в 2016 году она составляла лишь 2,8% всех происшествий, то сейчас выросла до 12,9% (см. график 2).

На второе место в РФ переместилась кража платежной информации.

График 2. Источник: InfoWatch

Впрочем, не все утечки личной информации происходят по злому умыслу. Часто ценные персональные данные попадают в чужие руки из-за разгильдяйства ответственных лиц. На языке профессионалов это называется «неквалифицированные утечки», и таких случаев больше всего: по данным InfoWatch, в 2017 году такого рода инциденты составили 67% всех происшествий. Например, в Рязани ведется разбирательство в отношении клиники «Доктор Борменталь», которая на своем сайте разместила персональные данные работников и клиентов. При этом согласие на распространение персональных данных указанных граждан клиникой представлено не было. При проверке выяснилось, что в мед-учреждении не определены места хранения персональных данных, не установлен перечень лиц, осуществляющих их обработку либо имеющих к ним доступ, нарушены другие нормативы обработки таких данных.

Или еще вопиющий пример российской безалаберности: жители Омской области заметили на свалке горы документов. Здесь оказались копии паспортов и трудовых книжек, информация о прибытии граждан, судебные документы, материалы проверок и даже отпечатки пальцев. Кстати, именно в России крайне высок процент утечки информации на бумажных носителях. По данным InfoWatch, на пропажу данных на бумаге в ушедшем году пришлось 36% всех инцидентов (в мире этот показатель составляет только 8%). Ну а самым распространенным путем утечек в России, как и в мире, являются так называемые сетевые каналы (пропажи через интернет — браузеры, облачные сервисы и проч., см. график 3).

Чаще всего утечки происходят через интернет, но в РФ высока также доля бумажных пропаж.

График 3. Источник: InfoWatch

В распределении утечек по отраслям обращает на себя внимание уязвимость государственных органов: по данным InfoWatch, самые значимые утечки в России в прошлом году происходили в муниципальных учреждениях (19,4%). Далее идут банки и финансовые учреждения (17,8% всех утечек), где злоумышленникам легче всего обогатиться. Остро стоит проблема утечек в медицине (13,4%), гос-органах (11,9%), в сфере высоких технологий (11,5%). Больше стало утечек в сфере торговли (10,7%, см график 4), где уязвимостями активно развивающихся цифровых сервисов все чаще пользуются хорошо подготовленные и организованные преступные кибер-группировки. Так, в конце прошлого месяца сотрудники управления «К» МВД России при содействии компании Group-IB задержали двух кибер-преступников, занимавшихся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний . Как сообщают правоохранительные органы, в данном случае от рук мошенников пострадали десятки компаний, в том числе «Юлмарт», «Биглион», «Купикупон», PayPal, «Групон» (теперь ноcит название Frendi) и др. Всего было скомпрометировано около 700 тыс. учетных записей, две тысячи из которых хакеры выставили на продажу примерно по пять долларов за аккаунт. Задержанные признались, что таким путем заработали не менее 500 тыс. рублей. Однако реальную сумму ущерба еще предстоит выяснить. «Внимание кибер-преступников сейчас вернулось к России, и количество атак на банки и другие организации здесь и в странах бывшего СССР неутешительно растет, — рассказал “Эксперту” Антон Фишман, директор проектного направления Group-IB. — При этом мы наблюдаем активизацию атак и на компьютеры физических лиц. Информационная безопасность банков и финансовых организаций с каждым годом становится сильнее: оказывают влияние регулятор, международные стандарты, внутренние потребности в защите своих активов, в конце концов. Поэтому организация и успешное проведение целевой атаки на банк становится все более сложной задачей, требующей и навыков, и инструментов, и технологий. А такие методы, как социальная инженерия, фишинг, заражение мобильных и стационарных компьютеров пользователей, несравнимо проще в реализации, поэтому часть злоумышленников переключается на физлиц и берет массовостью. В связи с этим мы прогнозируем рост количества инцидентов с утечками платежных данных».

Больше всего данные пропадают из госучреждений.

График 4. Источник: InfoWatch

Кусочек айсберга

Впрочем, бурный рост утечек личной информации происходит не только в России, но и во всем мире, причем мировую динамику потерь личных данных можно назвать даже более интенсивной. Например, по данным InfoWatch, число подобного рода инцидентов в мире в прошлом году увеличилось на 37% (до 2100 инцидентов), а число утекших записей возросло за год в четыре раза, с 3,1 млрд в 2016 году до 13,2 млрд в 2017-м(см. график 5).

В мире за год число утечек выросло в 4 раза.

График 5. Источник: InfoWatch

И в это легко поверить: в развитых странах постоянно гремят скандалы, связанные с утечками персональной информации. Вслед за непрекращающимися обвинениями в адрес Facebook (соцсеть признана в РФ экстремистской и запрещена) на прошлой неделе в США поднялась волна еще более масштабного инцидента. Речь идет о маркетинговой компании Exactis, которая оставила на незащищенном сервере базу объемом порядка двух терабайт, содержащую 340 млн записей. По предварительным данным, в результате этой утечки скомпрометированы данные едва ли не всех граждан США.

Примечательно, что угроза похищения личных данных для современного человека порой может исходить от совершенно безобидных, казалось бы, вещей — например, от игрушек. В Китае, например, расследуется дело о похищении записей голосов более двух миллионов детей, которые хранились в базе данных компании — производителя «умных» игрушек CloudPets. Эти игрушки позволяют записывать и передавать сообщения от детей родственникам, однако сетевой доступ к этому сервису был недостаточно защищен.

Но особую тревогу вызывает тот факт, что все инциденты с пропажей личных данных, информация о которых просочилась в публичное пространство, это даже не верхушка айсберга, а лишь маленький кусочек глыбы реального числа подобного рода происшествий. Специалисты InfoWatch считают, что достоянием СМИ становится лишь один процент инцидентов, связанных с пропажей личной информации. «Отсутствие явной обязанности для компаний раскрывать факты утечки данных, даже если из-за инцидента пострадали третьи лица, приводит к тому, что львиная доля информации о подобных событиях держится пострадавшими организациями в секрете, — объясняет Андрей Янкин, заместитель директора центра информационной безопасности компании “Инфосистемы Джет”. — Основная причина роста числа утечек из года в год — изменение самого бизнеса, его цифровизация, рост ценности данных для конкурентов, развитие информатизации в гос-управлении. Все больше специалистов получают доступ к конфиденциальным данным, а незаконно монетизировать украденную информацию стало на порядок проще, чем еще лет десять назад. Вполне понятно, что на этом фоне растет и число случайных утечек».

Кто виноват и что делать?

Отвечая на извечный вопрос, кто виноват и что делать в случае с растущими объемами утечек частной информации, аналитики обращают внимание, что подавляющее большинство подобного рода хищений связано не с внешними преступниками, а с внутренними угрозами в виде сотрудников компаний или организаций (см. график 6). Поэтому главное направление борьбы с этим распространяющимся злом должно быть сконцентрировано на человеческом факторе. «Предотвращение утечек — комплексная задача, первый и основной компонент которой — работа с людьми. Очень многое зависит от деятельности HR-специалистов при приеме на работу, от качества проверки претендента на должность службой безопасности. В дальнейшем это регулярный мониторинг работы персонала, профилирование, оценка уровня лояльности», — подчеркивает Андрей Янкин.

Чаще всего воруют информацию сотрудники.

График 6. Источник: InfoWatch

По словам специалистов, действенным методом борьбы с утечками в компаниях и организациях может стать, например, минимизация прав доступа к ценной информации: сотрудник должен иметь доступ только к той части информации, которая необходима ему по работе, а все критические операции должны контролироваться еще и третьим лицом, что затрудняет реализацию преступления. Понятно, что стоит постоянно совершенствовать ИТ-архитектуру компании, не забывать внедрять современные решения информационного контроля и защиты — для этих целей, в частности, применяются специализированные системы по борьбе с утечками (DLP) и мошенничеством (Anti-Fraud).

На уровне регулятора стоит обратить внимание на совершенствование законодательства. Закон «О персональных данных», где введены базовые нормы обращения с такими данными, был принят в России еще в 2006 году. Однако до сих пор многие считают его слишком общим и призывают доработать с учетом лучших примеров из мирового опыта. Например, в Евросоюзе с мая этого года начали действовать ужесточенные правила обработки персональных данных (GDPR — General Data Protection Regulation), которые могут улучшить ситуацию с сохранностью личных данных. В частности, новые правила усиливают ответственность за нарушение правил обработки персональных данных — теперь штрафы для компаний за подобные нарушения могут достигать 20 млн евро или четырех процентов дохода компании.

Особое внимание в России следует уделить совершенствованию норм и ответственности использования личных данных в гос-органах. «На мой взгляд, в зоне наибольшего риска сейчас находятся государственные системы. Данных там все больше, а подходы к защите зачастую чисто формальные. Требования регулятора на бумаге выполнены, а дальше хоть трава не расти, — считает Андрей Янкин. — Впрочем, неверно считать, что здесь нет прогресса. Громкие скандалы с утечкой данных из гос-систем заставляют чиновников принимать меры к защите информации, но объемы хранимых о гражданах и бизнесе данных, а следовательно, и связанные с утечками риски растут опережающими темпами».

Фото: ТАСС

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Робот по имени Федор Робот по имени Федор

Как магнитогорская «Андроидная техника» создала робота по имени Федор

РБК
Под запретом Под запретом

Что мешает паре обрести гармонию

StarHit
Не святой Петр Не святой Петр

Сергей Минаев поговорил с Петром Авеном о несбывшихся мечтах 1990-х

Esquire
Море любви Море любви

У курортных романов, помимо опасностей, есть множество плюсов

Добрые советы
Грибок Грибок

Наверняка ты слышал о том, что грибы любят есть тебя

Maxim
Пол Радд — о новом «Человеке-муравье и Осе» Пол Радд — о новом «Человеке-муравье и Осе»

Пол Радд — о новом «Человеке-муравье и Осе»

Esquire
Ума потолок Ума потолок

Человечество становится глупее, потому что «стареет»

Огонёк
8 удивительных фактов о динозаврах 8 удивительных фактов о динозаврах

Теплокровные, пернатые и заботливые — такими были динозавры

Вокруг света
10 самых высокооплачиваемых знаменитостей. Рейтинг Forbes — 2018 10 самых высокооплачиваемых знаменитостей. Рейтинг Forbes — 2018

Почему Месси зарабатывает больше Роналду

Forbes
От судьбы не уйдешь От судьбы не уйдешь

«СтарХит» выяснил, что участников первого «Дома» на ТНТ преследует злой рок

StarHit
Сноу растаял Сноу растаял

Звезда сериала «Игра престолов» Кит Харингтон чуть не расстался с будущей женой

StarHit
Большая энциклопедия джентльмена Большая энциклопедия джентльмена

Гид по браку для новичков

GQ
Новая аристократия: тест Range Rover LWB Новая аристократия: тест Range Rover LWB

Range Rover скоро будет отмечать 50-летний юбилей

Популярная механика
Чимаманда Нгози Адичи Чимаманда Нгози Адичи

Чимаманда Нгози Адичи: Организаторы брака

Esquire
На ловлю янтаря На ловлю янтаря

Добраться до Калининградской области непросто

Лиза
Добро пожаловать в машину! Добро пожаловать в машину!

Оправдана ли суета вокруг дополненной реальности

CHIP
Вдвоем против призраков Вдвоем против призраков

Ванесса Паради не ищет легких мужчин

StarHit
Девушка упала с 80-метровой скалы и выжила! Но как?! Девушка упала с 80-метровой скалы и выжила! Но как?!

Девушка упала с 80-метровой скалы и выжила

Maxim
30 пар обуви, которые вы будете носить этой осенью 30 пар обуви, которые вы будете носить этой осенью

Собрали для вас лучшие ботинки на грядущий сезон

GQ
Чак Паланик Чак Паланик

Чак Паланик: Судный день

Esquire
Пережить разрыв: история психолога, которому помогла психотерапия Пережить разрыв: история психолога, которому помогла психотерапия

Когда отношения заканчиваются, нам сложно справиться с чувствами самостоятельно

Psychologies
С поля — в вечность: 6 главных рекордcменов чемпионатов мира С поля — в вечность: 6 главных рекордcменов чемпионатов мира

На чемпионатах мира по футболу играют команды, а звездами становятся личности.

Playboy
Быстрее, выше, страшнее: 5 самых жутких аттракционов со всего мира Быстрее, выше, страшнее: 5 самых жутких аттракционов со всего мира

Самые экстремальные аттракционы мира

Cosmopolitan
Спасибо, нет! Спасибо, нет!

Как научиться говорить «нет» и подумать о себе

Добрые советы
Без паники! Что делать, если укусил клещ: 8 главных правил Без паники! Что делать, если укусил клещ: 8 главных правил

На природе твой отдых могут испортить клещи, которые пока не собираются засыпать

Playboy
Понять и простить Понять и простить

Финалист шоу «Голос» впервые за 34 года встретился с родной матерью

StarHit
Побег из тусовки Побег из тусовки

В светлое время Ибица переходит на размеренный темп, идеальный для путешествий

Quattroruote
Не упусти: топ-5 вещей, которые стоит купить во время распродаж Не упусти: топ-5 вещей, которые стоит купить во время распродаж

Что нужно постараться не пропустить на распродажах этого лета

Cosmopolitan
Саммит сигналов или встреча надежды? Саммит сигналов или встреча надежды?

Дональду Трампу и Владимиру Путину есть о чем поговорить

Эксперт
В какие месяцы девушки склонны к мимолетному сексу и другие тайны ее организма В какие месяцы девушки склонны к мимолетному сексу и другие тайны ее организма

Продолжаем захватывающий рассказ о спермовых войнах

Maxim
Открыть в приложении