ТОП 10 лучших статей российской прессы за
Янв. 17, 2025

Совершенно несекретно

Рейтинг:

Роскомнадзор опубликовал итоговую статистику по утечкам данных в 2024 году. Количество инцидентов снизилось, однако каждая атака становится более разрушительной и как следствие - объем утекших данных вырос. Эксперты полагают, что сегодня злоумышленникам доступна практически вся информация о гражданах России.

Роскомнадзор в 2024 году зафиксировал 135 утечек баз данных, всего в сеть "утекло" более 710 млн записей о россиянах. Об этом сообщили "Российской газете" в пресс-службе ведомства.

За весь 2023 год Роскомнадзор зафиксировал 168 утечек персональных данных, при этом в сеть попали только порядка 300 млн записей о россиянах. В 2022 году после начала специальной военной операции в сеть утекли 600 млн записей, тогда ведомство зафиксировало более 140 утечек. Статистика удручающая, проблема растёт, уверен глава комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский.

"Мы продолжаем работу над механизмами противодействия. Один из них уже принят, но вступает в силу 30 мая этого года. Речь идёт о введении оборотных штрафов для компаний, допустивших утечки. Очень рассчитываем, что это в должной мере простимулирует, наконец, представителей отрасли вкладывать необходимые, - а это значит существенные средства и ресурсы в действенное обеспечение безопасности персональных данных граждан на своих платформах. Уголовная ответственность также предусмотрена, но на мой взгляд риск потенциальной потери большого рубля для крупных коммерческих структур может стать даже более эффективным мотиватором", - заявил Боярский "РГ".

Несмотря на то, что количество инцидентов снизилось по сравнению с предыдущими годами, объем утекших данных увеличился в несколько раз, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

"Как мы помним, 500 млн данных в начале прошлого года утекли в сеть в результате одного крупного инцидента. Это свидетельствует о том, что атаки в последнее время стали более масштабными и нацеленными на базы данных с большим объемом информации. Кроме того, это в очередной раз указывает на недостаточные меры безопасности со стороны организаций, ответственных за хранение и обработку персональных данных", - отметил депутат.

Приведенная Роскомнадзором цифра в 710 миллионов записей выглядит достаточно объективно с учетом того, что за первое полугодие прошлого года в сеть, по публичным оценкам, попало порядка 600 миллионов строк персональных данных, отмечает независимый IT-обозреватель Юлия Тишина.

"Можно предположить, что во втором полугодии динамика утечек снижалась. На это мог повлиять вступивший в силу закон об оборотных штрафах за утечки данных. Он предполагает штраф в размере до 15 млн руб. при первом нарушении и до 3% от суммы выручки при повторном. Размер штрафа зависит от объема утечки персональных данных", - говорит она.

Эксперт отмечает, что несмотря на позитивную динамику, значительная часть персональных данных россиян уже давно выложена в открытый доступ, поскольку наиболее массовые утечки происходили еще в 2022 году. "Тут можно привести тот же пример "Яндекс Еды". Они включают в себя как финансовые/платежные данные, так и личную информацию: номера телефонов, электронную почту, адреса и т. д. Так что в последние годы фокус мошенников переключается на свежие базы персональных данных и данные учетных записей сотрудников российских компаний. Чаще всего хакеров привлекают финансовый сектор, IT и сфера логистики", - поясняет Тишина.

Основной причиной роста числа утечек могут быть как внутренние, так и внешние факторы, согласен Немкин.

"С одной стороны, киберпреступники активно используют новые технологии для взлома систем, а с другой стороны, человеческий фактор и ошибки в управлении доступом продолжают оставаться главными уязвимостями. Важным аспектом также является ужесточение законодательства и усиление требований к защите данных, что сегодня приводит к тому, что утечки становятся более заметными и широко освещаются. Это позволяет более точно оценивать масштабы проблемы, но при этом подчеркивает необходимость дальнейших изменений в подходе к безопасности", - добавил депутат.

Эксперты в сфере кибербезопасности полагают, что в случае с данными за 2024 год речь идет не о новом массиве, а компиляциях новых данных с ранее украденными.

"На это косвенно указывает количество записей - весьма большой объем, - а также общемировой тренд: ИБ-специалисты по всему миру отмечают, что в открытый доступ регулярно попадают крупные базы данных, однако при анализе оказывается, что большая их часть уже устарела", - полагает Алексей Коробченко, начальник отдела по информационной безопасности компании "Код Безопасности".

Однако при оценки утечек не стоит полагаться на видимую часть "айсберга". Злоумышленники редко выкладывают на всеобщее обозрение весь массив данных, предпочитая оставлять самую деликатную информацию для достижения собственных целей. Эксперты полагают, что в реальности о каждом гражданине России сегодня известно практически все.

"Важно понимать, что те данные, которые обычно публикуются в даркнете, не содержат всей информации, которая утекает. Так, в утечках, например, из медицинской организации, обычно фигурирует только базовая информация о ее пациентах: ФИО, адрес, контакты. Почти никогда не выкладываются никакие медицинские данные, хотя они утекают. В утечках из банков редко бывает финансовая информация. В утечках у операторов связи нет информации об услугах связи, которые потреблял тот или иной абонент. Это говорит о том, что в публичную плоскость сливаются уже вычищенные базы данных, а вся остальная чувствительная информация используется злоумышленниками для проведения атак на пользователей, для обновления своих скриптов, которые они применяют в мошеннических целях, для того, чтобы делать свои атаки более эффективными и персонализированными", - говорит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

С этим согласен и Коробченко. "Если пользователь соблюдает правила кибергигиены, использует только проверенные, крупные сервисы и при этом предоставляет ограниченное количество информации, то злоумышленники о нем будут знать не слишком конфиденциальные данные, которые можно найти и другими способами. Если же пользователь регистрируется где попало, использует один пароль и при этом совершенно не думает, какую именно информацию он предоставляет на обработку, то да - о нем злоумышленники знают практически все", - отмечает эксперт.

Все происходящее свидетельствует о том, что тема защиты данных не должна уходить из поля зрения регуляторов и законодателей, несмотря на целый ряд принятых в 2024 год инициатив и правовых норм.

"Тема наказаний за утечки данных должна быть в фокусе постоянного внимания", - уверен член Совета Федерации Артем Шейкин. С этим согласен Антон Немкин. "Внедрение современных технологий, таких как искусственный интеллект и машинное обучение, может помочь в обнаружении и предотвращении утечек. Важно понимать, что обеспечение безопасности данных - это не разовая мера, а непрерывный процесс, требующий регулярного обновления систем, обучения персонала и мониторинга угроз", - заключил депутат.

Читать в оригинале

Подпишись прямо сейчас