В России за полгода в интернет «утекло» более 300 млн строк персональных данных

Глобальные мировые экономические и политические изменения в первом полугодии 2022 года не могли не повлиять на киберпреступность. Как показывает статистика, в кризисы растет офлайн преступность, онлайн также следует этой тенденции. По всему миру за это время количество утечек выросло на 93%, в России – на 45%, говорится в исследовании компании-разработчика решений для обеспечения информационной безопасности InfoWatch.

В России работают над законом для защиты персональных данных 

В первой половине года практически каждый день в новостях появлялись сообщения об очередных крупных сливах данных как российских компаний, так и госорганов: РЖД, авиакомпания «Победа», телекоммуникационные компании «Ростелеком» и «ВымпелКом», информационный портал Ykt.ru, сервисы «Мир Тесен», Fotostrana.ru и Text.ru, развлекательный ресурс Pikabu, сервисы доставки «Яндекс.Еда», Delivery Club и 2 Berega, школа управления «Сколково», образовательный портал GeekBrains. Всего более 40 крупный утечек, сообщили в Роскомнадзоре. При этом компании наказывают незначительными штрафами. Так, «Яндекс» за утечку 6 млн записей несколько месяцев назад оштрафовали на 60 тыс рублей.

В этих слитых файлах помимо ФИО и номеров телефонов могли содержаться логины и пароли от различных сервисов, домашние адреса, даже банковские сведения и сканы паспортов – такова плата современного человека за цифровизацию.

Персональные данные россиян защищает кодекс административных правонарушений. За крупный слив, согласно этому закону, компания заплатит до 500 тыс рублей – учитывая миллиардные доходы крупных корпораций, это несущественные суммы. В середине сентября Минцифры представит новый закон о защите персональных данных, сейчас ведомство ищет компромисс с бизнесом.

Наказание по новому закону будет зависеть от ряда факторов. Например, если утечка данных будет менее 10 тыс строк, компании грозит фиксированный штраф по старой статье. Если больше – организацию оштрафуют на определенный процент от прибыли компании. Также в министерстве обсуждали возможное увеличение штрафа за сокрытие произошедшей утечки – до 1% от годовой выручки. Если компания приложила максимум усилий для защиты данных, это будет смягчающим обстоятельством. Если скрыла факт утечки – отягчающим.

«Бороться экономическими мерами с террористами неэффективно»

Многие эксперты IT-отрасли и правоведения назвали законопроект лояльным и несвоевременным, тем более после череды глобальных утечек – все, что нужно было мошенникам, в сеть уже попало. Председатель комитета по информационной политике Госдумы Александр Хинштейн вообще предложил привлекать виновных к уголовной ответственности в случае, если хищения привели к серьезным последствиям. Кроме того, Хинштейн заявил, что штрафовать можно и нужно и госорганы, из баз которых также крадут сведения.

Игорь Ашманов, специалист по информационным технологиям и искусственному интеллекту СПЧ, считает, что к госкомпаниям, ключевыми акционерами которых являются госслужащие, применима уголовная статья о халатности.

«Сейчас придумали интересный трюк – сделать в каждой компании ответственного за сохранность персональных данных. Прямо сказали – мы создаем должность мальчика для битья, он будет отвечать если что, а гендиректор все равно будет иметь иммунитет. На мой взгляд, пока не будет персональной ответственности, пока не будут сажать, экономические меры действовать не будут», – сказал специалист.

Что касается юрлиц, оборотный штраф в 1% или даже 5% – это настолько мизерные санкции, что не влияют даже на настроение акционеров крупной компании, уверен Ашманов. Кроме того, штраф для компаний – это не наказание реальных воров.

«Сисадмины, разработчики, IT-директора… Вот, допустим, сотрудник выкачал 20 млн записей и кому-то продал. Получил за это десятки окладов и уволился. Его что, беспокоит оборотный штраф компании? И думать, что генменеджер, зная, что ему грозит оборотный штраф, внезапно начнет контролировать данные – тоже вряд ли. Закон давно существует, по нему никого не наказывают, вообще», – заявил Readovka Ашманов. 

Кто ворует персональные данные?

В прошлом году в интернет попало около 100 млн строк личных сведений, основными причинами утечек тогда стали сливы от своих же сотрудников – обычных работников (61%) и руководства компании (9,1%), которые решили подзаработать. В этом году в открытый доступ попало 187 млн строк, но почти 90% сливов спровоцировано хакерскими атаками, говорится в исследовании компании InfoWatch. Однако стоит учитывать, что подсчитать объективно количество слитых данных практически невозможно, цифра Роскомнадзора вообще отличается от статистики InfoWatch в два раза.

То, что Хакеры «охотятся» в основном за вашими банковскими данными, – миф

Если вы думаете, что хакеры нацелены на воровство банковских данных физлиц – вы глубоко ошибаетесь. Так, из всей слитой в сеть информации на банковский сектор приходится лишь 8,5%. За аналогичный период 2021 года – 9,6%. Зато с 4% до 7,5% выросла доля данных промышленных предприятий.

«Судя по всему, организованная киберпреступность выполняет заказы по добыче ценных производственных сведений, в том числе оборонного характера. Старается похитить клиентские базы, заручившись поддержкой инсайдеров в торговых компаниях, сетях отелей и общепита», – считают в InfoWatch.

Самым «лакомым кусочком» в России для хакеров является информация из категории «высокие технологии» – 28%. В других странах в совокупности хакеров больше интересуют данные о коммерческих предприятиях – 22%.

За полгода спецоперации в процентном соотношении террористических хакерских атак стало больше, чем материальных, подтвердил статистику член СПЧ. Злоумышленники это делают, чтобы навредить, а не нажиться.

«В этой ситуации думать, что мы поборемся с террористами за счет материальной мотивации – это наивно. Поправки в 152 ФЗ правильные, но надо включать статью о халатности и персональную ответственность», – подвел итог Игорь Ашманов.

Россия на втором месте по количеству «слитых» данных в Даркнет после США

В мировых масштабах утечек доля России составляет 7% (или 187 млн строк) от 3 млрд слитых в сеть строчек за первые шесть месяцев 2022 года. При этом в Даркнете 30% слитой информации – это базы данных компаний США, на втором месте количество данных из России – 13%. На Великобританию, Германию, Индию, Канаду приходится по 3%, на Бразилию, Испанию, Италию, Китай, Украину и Францию – по 2%. 

Ранее Readovka писала о том, что данные СДЭК снова утекли в сеть.