Rambler's Top100
Статьи ИКС № 4 2023
Николай НОСОВ  02 октября 2023

«Серый» цифровой профиль, или Все под прицелом

Количество скомпрометированных данных в России уже вчетверо превышает ее население. Переломить ситуацию предлагается путем введения института профессиональных операторов персональных данных.

Число утечек растет

Проникающая во все сферы деятельности человека цифровизация сопровождается лавинообразным ростом числа данных, в том числе представляющих интерес для злоумышленников. За последние полгода число утечек в мире выросло в 2,4 раза и, согласно отчету «Утечки информации ограниченного доступа в мире и России, I полугодие 2023 г.», опубликованному компанией InfoWatch, достигло 5532 (рис. 1). Лидерство по количеству утечек удерживают США – в первой половине 2023 г. экспертно-аналитический центр InfoWatch зарегистрировал 1957 случаев компрометации данных из коммерческих компаний и государственных организаций этой страны. По темпам роста утечек информации впереди Индонезия – там случаев кражи и потери данных стало больше почти в 7 раз. Для сравнения: в государствах Европы и Северной Америки случаев компрометации данных стало больше в 2,5–3 раза. 
Источник: Аналитический центр InfoWatch 
Рис. 1. Количество утечек данных в мире и в России

Лучше дела обстоят в России, которая выдержала первый шквал атак, связанный с началом СВО, и приняла меры по защите государства и бизнеса от киберугроз. По сравнению с I полугодием 2022 г. инцидентов, приведших к компрометации данных, стало меньше на 17,5%. «Не знаю, как это трактовать. То ли все уже украли, то ли мы научились успешно бороться с инцидентами», – прокомментировала полученные оценки президент группы компаний InfoWatch Наталья Касперская.

Основная масса утечек связана с персональными данными (ПДн): сегодня их доля в мире составляет 56,6%, в России – 73,6% (рис. 2). Хотя доля утечек ПДн за год уменьшилась (в I полугодии 2022 г. в нашей стране она достигала 82,5%), но утечки стали более масштабными – в I полугодии 2023 г. на одну утечку приходилась компрометация 2,45 млн записей против 1,05 млн записей годом ранее.
Источник: Аналитический центр InfoWatch
Рис. 2. Распределение утечек по типам данных в мире и в России, I полугодие 2022 г. – I полугодие 2023 г. 

Нужна ли защита?

В целом количество скомпрометированных записей в России выросло до 705 млн (рис. 3), что более чем вчетверо превышает число жителей страны. Возникает вопрос – стоит ли дальше вкладываться в защиту ПДн, если про нас и так уже знают всё?
Источник: Аналитический центр InfoWatch.
Рис. 3. Количество скомпрометированных записей ПДн в мире и в России, млрд

Стоит – считают эксперты. «Каждая новая информация обогащает уже существующие базы знаний. Каждая новая утечка дополняет серый цифровой профиль человека», – отметил на конференции BIS Summit 2023 Милош Вагнер, заместитель руководителя Роскомнадзора.

Преступники используют технологии обработки больших данных для получения подробной информации о потенциальной жертве. Даже опытный специалист по информационной безопасности может попасться на проработанную целевую атаку с помощью фишинга или социальной инженерии, если злоумышленник получит его детализированный профайл.

Заместитель директора ФСТЭК России Виталий Лютиков считает, что значимость утечек преуменьшают в первую очередь операторы персональных данных, которые не видят для себя никаких рисков. Если дело дойдет до штрафов, то они маленькие, а в суд, как правило, никто не подает. А вот для частных лиц риски существенны. Например, из-за утечки паспортных данных злоумышленники смогли убедить близкого В. Лютикову человека перевести деньги. Причем психологическая обработка основывалась на разнообразной информации – паспортных данных, месте жительства, родственниках. Явление стало массовым, мало кто не вспомнит аналогичную историю, происшедшую с родственниками и знакомыми. Особенно беззащитными оказываются представители старшего поколения, привыкшие доверять людям.

По сведениям Центра противодействия киберугрозам Innostage CyberART, в I полугодии 2023 г. большая часть утечек персональных данных сотрудников произошла в компаниях из сферы информационных технологий и ритейла. Кроме того, в открытом доступе оказались персональные данные работников организаций из сферы финансов, страхования, транспорта, ЖКХ, недвижимости, образования, здравоохранения, искусства и госсектора.

«С началом СВО появился и политический аспект. Публикации об утечках проводятся для дестабилизации обстановки в стране», – отметил заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов. При этом часто реальной утечки не происходит, а публикуемые сведения собираются из ранее произошедших утечек и насыщаются данными, которые на самом деле не утекли.

«В России общество активно пользуется информационными ресурсами. Вводятся цифровые паспорта, утечек будет больше, защищаться придется», – подчеркнул Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ.

Изменения в законодательстве

Необходимость ужесточения законодательства в области защиты персональных данных обсуждается в Государственной Думе. По словам председателя комитета Госдумы по информполитике Александра Хинштейна, проект поправок в Кодекс РФ об административных правонарушениях, увеличивающих ответственность за утечки ПДн, уже направлен в Правительство и в заинтересованные ведомства для получения официального отзыва. Разрабатываются и поправки в Уголовный кодекс о наказании за использование утечек персональных данных.

Сейчас максимальная ответственность за утечки ПДн для юридических лиц – штраф до 100 тыс. руб. Механизм проведения проверок крайне затруднен. Правительство хотя и сняло мораторий на проверки по утечкам персональных данных, но не в полном объеме.

 
Мы должны бороться с обесцениванием персональных данных. Говорят о повышении ответственности за утечки персональных данных, но пока это только разговоры. Нужно вводить оборотные штрафы, проводить разбирательства фактов утечек. И главное – выделить персональные данные, разглашение которых действительно наносит ущерб человеку. При текущем состоянии технологий и цифровых сервисов не сможем защитить всё.

Виталий Лютиков, заместитель директора ФСТЭК России

В новой редакции КоАП ответственность будет варьироваться в зависимости от нанесенного ущерба. Если у юридического лица подверглись утечке до 10 тыс. записей субъектов персональных данных, штраф составит от 3 до 5 млн руб., если 10–100 тыс. записей – 5–10 млн руб., более 100 тыс. записей – 10–15 млн руб.

В случае повторного нарушения предлагается накладывать оборотные штрафы в зависимости от масштабов утечки: минимально – 0,1% выручки за предыдущий год (но не менее 15 млн руб.), максимально – 3% (но не более 500 млн руб.). А. Хинштейн высказал надежду, что законопроект будет рассмотрен уже во время осенней сессии.

Минцифры в рамках закона об оборотных штрафах выдвинуло инициативу о компенсации пострадавшим от утечек персональных данных: если компания, которая допустила утечку, обеспечит финансовое возмещение нанесенного пользователю вреда, это будет признаваться смягчающим обстоятельством. В этом случае к ней будут применяться пониженные оборотные штрафы. Правительство инициативу Минцифры  поддержало. Кроме того, в правительстве уверены, что ответственность должна дифференцироваться в зависимости от характера подвергшихся утечке данных и степени нанесенного ею общественного вреда.

С 1 сентября 2022 г. действует положение о том, что оператор, допустивший утечку персональных данных, обязан в течение 24 ч сообщить об этом в Роскомнадзор, а в течение 72 ч предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц. На сайте Роскомнадзора доступны формы для подачи уведомлений от операторов ПДн.  За неуведомление об утечке оператор будет нести административную ответственность.

Причины утечек

По данным Innostage CyberART, в 32% случаев к утечкам данных приводили халатность и невнимательность работников. Нередко виновниками утечек становились сами ИТ-специалисты, допустившие, например, ошибки в настройках баз данных. В 12% случаев утечки данных происходили в результате «слива» информации сотрудниками. Еще в 8% случаев причиной утечек данных послужили уязвимости в ИТ-инфраструктуре компаний. Своевременно обнаружить их не удалось из-за недостаточного внимания к вопросам управления уязвимостями и недостаточного уровня защищенности.

При правильно выстроенной системе информационной безопасности защититься от утечек можно. В качестве примера можно привести непрерывно атакуемый, но, по словам генерального директора ГК «Солар» Игоря Ляпунова, так и не взломанный портал «Госуслуги». Правда, трудно ожидать, что мелким операторам персональных данных, скажем, гостиницам, поликлиникам или небольшим охранным предприятиям, чьи сотрудники дежурят на проходных, хватит ресурсов для построения аналогичной защиты. А таких организаций много – в настоящее время в реестре Роскомнадзора содержится информация о 920 527 операторах ПДн.

 
Мы каждый день даем согласие на обработку персональных данных, не понимая, как данные будут сохраняться. Нужно подумать об институте профессиональных операторов персональных данных. Не хранить всем, а передавать на хранение профессиональным операторам хранения персональных данных, чья работа – защитить данные от утечки.

Александр Хинштейн, председатель комитета Госдумы по информполитике

А. Хинштейн выступил с предложением о введении института профессиональных хранителей персональных данных, которые будут предоставлять услугу хранения мелким игрокам по сервисной модели. Если гостинице нужно в соответствии с законодательством зарегистрировать клиента, то пусть передает по защищенному каналу данные профессиональному оператору, который будет нести за них ответственность. И иметь доступ гостиница должна только к записям о своих клиентах: портье в Новосибирске не нужно знать адрес и номер телефона клиента отеля той же сети, но в Москве. 

Только тогда защита станет не профанацией, сводящейся к заполнению бумаги о согласии на обработку персональных данных, а реальной мерой, и клиент может быть уверен, что его персональные данные не будут использованы для получения мошенниками кредита или «разводки» его родственников.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!