«Серый» цифровой профиль, или Все под прицелом

Проникающая во все сферы деятельности человека цифровизация сопровождается лавинообразным ростом числа данных, в том числе представляющих интерес для злоумышленников. За последние полгода число утечек в мире выросло в 2,4 раза и, согласно отчету «Утечки информации ограниченного доступа в мире и России, I полугодие 2023 г.», опубликованному компанией InfoWatch, достигло 5532 (рис. 1). Лидерство по количеству утечек удерживают США – в первой половине 2023 г. экспертно-аналитический центр InfoWatch зарегистрировал 1957 случаев компрометации данных из коммерческих компаний и государственных организаций этой страны. По темпам роста утечек информации впереди Индонезия – там случаев кражи и потери данных стало больше почти в 7 раз. Для сравнения: в государствах Европы и Северной Америки случаев компрометации данных стало больше в 2,5–3 раза. 

Лучше дела обстоят в России, которая выдержала первый шквал атак, связанный с началом СВО, и приняла меры по защите государства и бизнеса от киберугроз. По сравнению с I полугодием 2022 г. инцидентов, приведших к компрометации данных, стало меньше на 17,5%. «Не знаю, как это трактовать. То ли все уже украли, то ли мы научились успешно бороться с инцидентами», – прокомментировала полученные оценки президент группы компаний InfoWatch Наталья Касперская.

Основная масса утечек связана с персональными данными (ПДн): сегодня их доля в мире составляет 56,6%, в России – 73,6% (рис. 2). Хотя доля утечек ПДн за год уменьшилась (в I полугодии 2022 г. в нашей стране она достигала 82,5%), но утечки стали более масштабными – в I полугодии 2023 г. на одну утечку приходилась компрометация 2,45 млн записей против 1,05 млн записей годом ранее.

В целом количество скомпрометированных записей в России выросло до 705 млн (рис. 3), что более чем вчетверо превышает число жителей страны. Возникает вопрос – стоит ли дальше вкладываться в защиту ПДн, если про нас и так уже знают всё?

Стоит – считают эксперты. «Каждая новая информация обогащает уже существующие базы знаний. Каждая новая утечка дополняет серый цифровой профиль человека», – отметил на конференции BIS Summit 2023 Милош Вагнер, заместитель руководителя Роскомнадзора.

Преступники используют технологии обработки больших данных для получения подробной информации о потенциальной жертве. Даже опытный специалист по информационной безопасности может попасться на проработанную целевую атаку с помощью фишинга или социальной инженерии, если злоумышленник получит его детализированный профайл.

Заместитель директора ФСТЭК России Виталий Лютиков считает, что значимость утечек преуменьшают в первую очередь операторы персональных данных, которые не видят для себя никаких рисков. Если дело дойдет до штрафов, то они маленькие, а в суд, как правило, никто не подает. А вот для частных лиц риски существенны. Например, из-за утечки паспортных данных злоумышленники смогли убедить близкого В. Лютикову человека перевести деньги. Причем психологическая обработка основывалась на разнообразной информации – паспортных данных, месте жительства, родственниках. Явление стало массовым, мало кто не вспомнит аналогичную историю, происшедшую с родственниками и знакомыми. Особенно беззащитными оказываются представители старшего поколения, привыкшие доверять людям.

По сведениям Центра противодействия киберугрозам Innostage CyberART, в I полугодии 2023 г. большая часть утечек персональных данных сотрудников произошла в компаниях из сферы информационных технологий и ритейла. Кроме того, в открытом доступе оказались персональные данные работников организаций из сферы финансов, страхования, транспорта, ЖКХ, недвижимости, образования, здравоохранения, искусства и госсектора.

«С началом СВО появился и политический аспект. Публикации об утечках проводятся для дестабилизации обстановки в стране», – отметил заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов. При этом часто реальной утечки не происходит, а публикуемые сведения собираются из ранее произошедших утечек и насыщаются данными, которые на самом деле не утекли.

«В России общество активно пользуется информационными ресурсами. Вводятся цифровые паспорта, утечек будет больше, защищаться придется», – подчеркнул Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ.

Необходимость ужесточения законодательства в области защиты персональных данных обсуждается в Государственной Думе. По словам председателя комитета Госдумы по информполитике Александра Хинштейна, проект поправок в Кодекс РФ об административных правонарушениях, увеличивающих ответственность за утечки ПДн, уже направлен в Правительство и в заинтересованные ведомства для получения официального отзыва. Разрабатываются и поправки в Уголовный кодекс о наказании за использование утечек персональных данных.

Сейчас максимальная ответственность за утечки ПДн для юридических лиц – штраф до 100 тыс. руб. Механизм проведения проверок крайне затруднен. Правительство хотя и сняло мораторий на проверки по утечкам персональных данных, но не в полном объеме.

В новой редакции КоАП ответственность будет варьироваться в зависимости от нанесенного ущерба. Если у юридического лица подверглись утечке до 10 тыс. записей субъектов персональных данных, штраф составит от 3 до 5 млн руб., если 10–100 тыс. записей – 5–10 млн руб., более 100 тыс. записей – 10–15 млн руб.

В случае повторного нарушения предлагается накладывать оборотные штрафы в зависимости от масштабов утечки: минимально – 0,1% выручки за предыдущий год (но не менее 15 млн руб.), максимально – 3% (но не более 500 млн руб.). А. Хинштейн высказал надежду, что законопроект будет рассмотрен уже во время осенней сессии.

Минцифры в рамках закона об оборотных штрафах выдвинуло инициативу о компенсации пострадавшим от утечек персональных данных: если компания, которая допустила утечку, обеспечит финансовое возмещение нанесенного пользователю вреда, это будет признаваться смягчающим обстоятельством. В этом случае к ней будут применяться пониженные оборотные штрафы. Правительство инициативу Минцифры  поддержало. Кроме того, в правительстве уверены, что ответственность должна дифференцироваться в зависимости от характера подвергшихся утечке данных и степени нанесенного ею общественного вреда.

С 1 сентября 2022 г. действует положение о том, что оператор, допустивший утечку персональных данных, обязан в течение 24 ч сообщить об этом в Роскомнадзор, а в течение 72 ч предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц. На сайте Роскомнадзора доступны формы для подачи уведомлений от операторов ПДн.  За неуведомление об утечке оператор будет нести административную ответственность.

По данным Innostage CyberART, в 32% случаев к утечкам данных приводили халатность и невнимательность работников. Нередко виновниками утечек становились сами ИТ-специалисты, допустившие, например, ошибки в настройках баз данных. В 12% случаев утечки данных происходили в результате «слива» информации сотрудниками. Еще в 8% случаев причиной утечек данных послужили уязвимости в ИТ-инфраструктуре компаний. Своевременно обнаружить их не удалось из-за недостаточного внимания к вопросам управления уязвимостями и недостаточного уровня защищенности.

При правильно выстроенной системе информационной безопасности защититься от утечек можно. В качестве примера можно привести непрерывно атакуемый, но, по словам генерального директора ГК «Солар» Игоря Ляпунова, так и не взломанный портал «Госуслуги». Правда, трудно ожидать, что мелким операторам персональных данных, скажем, гостиницам, поликлиникам или небольшим охранным предприятиям, чьи сотрудники дежурят на проходных, хватит ресурсов для построения аналогичной защиты. А таких организаций много – в настоящее время в реестре Роскомнадзора содержится информация о 920 527 операторах ПДн.

А. Хинштейн выступил с предложением о введении института профессиональных хранителей персональных данных, которые будут предоставлять услугу хранения мелким игрокам по сервисной модели. Если гостинице нужно в соответствии с законодательством зарегистрировать клиента, то пусть передает по защищенному каналу данные профессиональному оператору, который будет нести за них ответственность. И иметь доступ гостиница должна только к записям о своих клиентах: портье в Новосибирске не нужно знать адрес и номер телефона клиента отеля той же сети, но в Москве. 

Только тогда защита станет не профанацией, сводящейся к заполнению бумаги о согласии на обработку персональных данных, а реальной мерой, и клиент может быть уверен, что его персональные данные не будут использованы для получения мошенниками кредита или «разводки» его родственников.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>