К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.
Теперь Forbes можно слушать

Течь на обследование: какими могут быть причины и последствия потерь данных

Фото Chris Ratcliffe / Bloomberg
Фото Chris Ratcliffe / Bloomberg
Новости об утечках персональных данных появляются почти ежедневно. Только за 2024 год Роскомнадзор зафиксировал 135 утечек баз данных, в которых содержалось более 710 млн записей. У многих даже появилось ощущение, что эта регулярность уже не пугает — ведь все равно данные почти всех взрослых россиян уже находятся в открытом доступе. Не пугает напрасно: этим активно пользуются злоумышленники и мошенники разных мастей, не просто похищая деньги россиян, но и вынуждая их совершать поджоги, акты хулиганства и вандализма. Генеральный директор Security Vision Руслан Рахметов разбирает причины утечек и рассуждает о том, как их не допустить и что же делать в этой ситуации гражданам, субъектам персональных данных

Решение проблемы утечек вышло на государственный уровень. В конце 2024 года были приняты резонансные поправки в КоАП, вводящие многомиллионные штрафы за нарушения при обработке персональных данных (ПДн). С одной стороны, штрафные санкции — уже привычный и проверенный стимул, которым пользуются законодатели, а регуляторы подчеркивают, что только такая жесткая позиция в отношении нарушителей сможет повысить ответственность организаций и заставит их заниматься защитой ПДн не для галочки. С другой, кибербезопасность организаций — операторов ПДн не может мгновенно достичь высокого уровня зрелости даже под угрозой значительных штрафных санкций, а коммерческие компании будут вынуждены переложить потенциальные затраты на выплату штрафов на конечных потребителей.

Материал по теме

Пользователи и клиенты, чьи данные утекают и которые являются в итоге пострадавшими, смогут надеяться только на добрую волю компаний и их возможное желание как-то компенсировать ущерб клиентам от утечки их данных, поскольку предложения о введении механизма компенсации пострадавшим от утечек не вошли в принятую версию КоАП, а те самые многомиллионные выплаченные штрафы будут уходить в бюджет. В конце концов, даже новая обязанность операторов ПДн уведомлять Роскомнадзор об утечках не означает, что затронутые инцидентом граждане будут оповещены об утечке и о том, какая именно организация ее допустила. Попробуем разобраться, в чем заключаются причины утечек данных, как их не допустить и что же делать в этой ситуации гражданам — субъектам ПДн.

Причины утечек

Чтобы ответить на вопрос «Почему утекают данные?», нужно понять, кто, как, когда, почему и зачем крадет данные. Персональные данные, так же, как и любая цифровая информация, обладают свойством воспроизводимости — иначе говоря, их можно украсть путем копирования, но пропажа будет неочевидна, поскольку оригинал останется на месте. Утечки могут быть случайными и преднамеренными.

 

Случайные происходят, как правило, из-за халатности или неосведомленности работников, которые, например, могут ошибочно отправить документ с контактными данными клиентов стороннему получателю или ненамеренно сконфигурировать базу с информацией о пользователях так, что она будет доступна из интернета без пароля. Сюда же можно отнести и подрядчиков, которые выполняют работы для компании и могут получить доступ к ПДн ее клиентов: несмотря на то, что такая передача должна быть учтена в подписываемом клиентом согласии на обработку ПДн, а подрядчик должен будет соблюдать меры защиты в рамках поручения на обработку ПДн, случаи непреднамеренных утечек именно от подрядчиков достаточно распространены. Подобные случайные утечки опасны тем, что данные могут быть скопированы (украдены) незаметно и попасть сразу ко многим сторонним лицам в зависимости от того, как именно была допущена утечка.

Материал по теме

Преднамеренные, то есть кража информации, включая ПДн — результат целенаправленного вредоносного воздействия, а источником атаки могут быть инсайдеры или внешние злоумышленники разной степени подготовленности и мотивированности. Инсайдеры — целенаправленно сливающие данные работники компании, которые делают это из чувства мести или корыстной заинтересованности, они также могут быть подкуплены или завербованы внешними злоумышленниками. Атаку могут провести финансово мотивированные злоумышленники, которые потребуют выкуп за неразглашение украденных данных, а потом постараются продать дамп базы в даркнете.

 
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Атаковать могут и хактивисты — политически мотивированные хакеры, которые сразу выложат украденные ПДн в публичный доступ и растиражируют новость об утечке для нанесения максимального репутационного ущерба. Векторами атак год за годом становятся фишинг, социальная инженерия, вредоносное ПО, непропатченные уязвимости, а в последнее время особую популярность получили атаки на цепочки поставок и атаки через доверительные отношения с контрагентами — злоумышленники взламывают слабо защищенную инфраструктуру подрядчиков, поставщиков, партнеров и через них заходят в сеть целевой компании-жертвы.

Взломы чаще всего происходят в нерабочее время, ночью в выходные и в праздники, когда специалисты компании не могут отреагировать на кибератаку — конечно, только если в компании нет своего круглосуточного SOC-центра (Security Operations Center, структурное подразделение, отвечающее за оперативный мониторинг IT-среды и реагирование на киберинциденты) или не подключены услуги ИБ-мониторинга от MSS-провайдера (Managed Security Service, предоставляют услуги аутсорсинга ИБ). В результате утечки персональные данные попадают к мошенникам: они либо покупают базу в даркнете, либо находят недавно выложенные базы в публичном доступе.

Материал по теме

Получив доступ к ПДн, злоумышленники анализируют полученную информацию о субъекте, обогащая ее данными из открытых источников и из соцсетей, которые можно легко найти по его ФИО, номеру телефона или email-адресу из той же утечки. В результате для мошеннических звонков и сообщений используются агрегированные сведения о человеке, которые создают у него иллюзию правдоподобности легенды мошенника. Вероятность успешной атаки повышается, если мошенник представится не просто абстрактным «сотрудником полиции» или «специалистом по безопасности из банка», а участковым уполномоченным по району, в котором проживает жертва, или работником банка, где у человека действительно есть вклады. А если атакующие получили доступ к аккаунту жертвы на «Госуслугах», то они могут сообщить человеку такие детальные подробности о его жизни, что сомнений никаких не останется: с ним действительно разговаривает «майор из ФСБ».

 

Разумеется, одних знаний о человеке недостаточно, чтобы вынудить его отдать все деньги, взять кредиты и совершить акт вандализма, поэтому мошенники используют ряд психологических приемов, описание которых выходит за рамки этой колонки.

Как не допустить утечку

Борьба компаний с преднамеренными утечками, так же, как и с любыми другими актуальными киберугрозами, не должна быть лоскутной и ситуативной. В организациях должны быть выстроены процессы управления кибербезопасностью и киберрисками, а законодательные требования по защите информации не следует воспринимать как искусственно навязываемые ограничения — в конце концов, нормативка по ИБ пишется в том числе с учетом опыта произошедших инцидентов.

Материал по теме

Нужно понимать, что невозможно, например, бороться с одними лишь утечками данных или только с внутренними нарушителями, ведь современные киберпреступники реализуют сразу несколько сценариев атаки — крадут данные, проникают в сети контрагентов, шифруют инфраструктуру и требуют выкуп, уплата которого совершенно не гарантирует восстановление данных. Реализуются также схемы двойного и тройного вымогательства, когда нападающие требуют у компании выкуп за нераспространение украденной информации, за расшифровку инфраструктуры, а затем требуют выкуп уже у клиентов компании, конфиденциальные данные которых оказались в руках злоумышленников.

С введением новых штрафов за утечки ПДн можно ожидать появления новых мошеннических схем, когда атакующие смогут шантажировать компании публичным разглашением инцидента с утечкой данных и обращением в Роскомнадзор. В целом, не нужно недооценивать современных хакеров — у них уже накопился большой опыт успешных кибернападений и они смотрят на привычную всем IT-инфраструктуру под другим углом, находя новые уязвимости и сценарии реализации атак. Даже самой продвинутой и зрелой компании нужно допускать возможность успешной кибератаки и утечки данных и заранее к этому подготовиться.

Избежать случайных утечек в каком-то смысле проще за счет выстроенных IT- и бизнес-процессов, внутреннего контроля и проведения регулярного ИБ-обучения для работников, технических специалистов и руководителей компании. Кроме того, многие современные DLP-решения для защиты от утечек данных позволяют не допустить случайную утечку данных — например, ошибочную отправку персональных данных по электронной почте стороннему лицу. Полезно оценивать свою IT-инфраструктуру, процессы и сервисы с точки зрения рядового клиента, который может случайно обнаружить возможность несанкционированного доступа к данным, а также необходимо корректно обрабатывать сообщения пользователей о подобных находках, которые могут отправляться, например, через форму обратной связи на сайте.

 

Как защититься

Рядовым гражданам прежде всего нужно принять как данность, что все их персональные данные, которые когда-либо обрабатывались любыми компаниями или учреждениями, уже могли утечь и сейчас находятся в руках злоумышленников. Именно поэтому мошенники могут в подтверждение своей легенды сообщить вам конфиденциальную информацию, которая, как вы думаете, может быть доступна только спецслужбам и государственным органам, а от потери денег, недвижимости или даже свободы вас отделяет лишь пришедший только что СМС-код, который вас попросят продиктовать мошенники. 

Материал по теме

Однако есть ряд практических рекомендаций, следование которым сможет снизить вероятность подобного исхода:

  • Минимизируйте сообщаемые о себе данные. Например, маркетплейсу совсем необязательно знать вашу настоящую фамилию и e-mail для доставки заказа, а при оформлении дисконтной карты в магазине можно не указывать адрес проживания и дату рождения. Можно завести себе отдельный номер телефона и даже взять «псевдоним», который и использовать в случаях, когда настоящие паспортные данные не требуются для оказания вам услуги.
  • Если кому-то требуется скан или копия вашего паспорта, проверьте юридическую обоснованность такого требования. Если она имеется, то напишите на передаваемой копии или скане паспорта по диагонали большими буквами, кому и для чего эта копия была предоставлена.
  • Не говорите с мошенниками — они могут записать ваши ответы, а затем с помощью специальных программ и искусственного интеллекта подделать ваш голос в беседе с близкими.
  • Договоритесь с родственниками и близкими об использовании специальных слов-кодов для взаимной идентификации — это должны быть сведения, известные только вам. Злоумышленники научились создавать такие видео и голосовые дипфейки, что отличить подделку от настоящего близкого человека становится все труднее.
  • Старайтесь развивать навыки логического и рационального мышления, вырабатывайте в себе недоверие по умолчанию ко всей входящей информации (звонкам, сообщениям, письмам), а также узнавайте больше про применяемые мошенниками психологические манипуляции.

Мнение редакции может не совпадать с точкой зрения автора

Материал по теме

Информация:

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

СМИ2 SPARROW INFOX
Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2025
16+

Блоги

Среди своих: Альфа-Банк запустил первый проект сетевого маркетинга в финтехе
Наш канал в Telegram
Самое важное о финансах, инвестициях, бизнесе и технологиях
Подписаться

Новости

03.04.2025