В 2024 год Роскомнадзор зафиксировал 135 утечек баз данных, в результате которых в сеть попало более 710 млн записей о россиянах, сообщает ИА «БСТ» со ссылкой на «Российскую газету». Для сравнения, в 2023 году было 168 утечек и около 300 млн записей, а в 2022 году – более 140 утечек и 600 млн записей. Глава комитета Госдумы по информационной политике Сергей Боярский отметил, что ситуация ухудшается.
«Мы продолжаем работу над механизмами противодействия. Один из них уже принят, но вступает в силу 30 мая этого года. Речь идёт о введении оборотных штрафов для компаний, допустивших утечки. Очень рассчитываем, что это в должной мере простимулирует, наконец, представителей отрасли вкладывать необходимые, – а это значит существенные средства и ресурсы в действенное обеспечение безопасности персональных данных граждан на своих платформах. Уголовная ответственность также предусмотрена, но на мой взгляд риск потенциальной потери большого рубля для крупных коммерческих структур может стать даже более эффективным мотиватором», – заявил Боярский.
Хотя количество инцидентов снизилось по сравнению с предыдущими годами, объём утекших данных значительно возрос, отметил член комитета Госдумы по информационной политике Антон Немкин. Он напомнил, что в начале прошлого года в результате крупного инцидента в сеть слилось 500 млн записей. Это свидетельство более масштабных атак и недостаточных мер безопасности ответственных за хранение и обработку персональных данных организаций.
Поправки к закону, которые начнут действовать 30 мая, предполагают штраф в размере до 15 млн рублей при первом нарушении и до 3 % от суммы выручки при повторном. Размер штрафа зависит от объёма утечки. В старой редакции за незаконное использование и распространение персональных данных компаниями максимальный штраф составлял всего 700 тысяч рублей.
ИТ-обозреватель Юлия Тишина отметила, что, несмотря на положительную динамику, большая часть персональных данных россиян уже давно в открытом доступе, так как массовые утечки произошли ещё в 2022 году.
«Тут можно привести тот же пример „Яндекс Еды“. Они включают в себя как финансовые/платёжные данные, так и личную информацию: номера телефонов, электронную почту, адреса и т. д. Так что в последние годы фокус мошенников переключается на свежие базы персональных данных и данные учётных записей сотрудников российских компаний. Чаще всего хакеров привлекают финансовый сектор, ИТ и сфера логистики», – пояснила Тишина.
Основные причины роста числа утечек могут быть как внутренними, так и внешними, согласен Немкин.
«С одной стороны, киберпреступники активно используют новые технологии для взлома систем, а с другой стороны, человеческий фактор и ошибки в управлении доступом продолжают оставаться главными уязвимостями. Важным аспектом также является ужесточение законодательства и усиление требований к защите данных, что сегодня приводит к тому, что утечки становятся более заметными и широко освещаются. Это позволяет более точно оценивать масштабы проблемы, но при этом подчёркивает необходимость дальнейших изменений в подходе к безопасности», – добавил парламентарий.
Эксперты по кибербезопасности считают, что данные за 2024 год представляют собой не новый массив, а компиляцию новых данных с уже украденными.
«На это косвенно указывает количество записей – весьма большой объём, – а также общемировой тренд: ИБ-специалисты по всему миру отмечают, что в открытый доступ регулярно попадают крупные базы данных, однако при анализе оказывается, что большая их часть уже устарела», – высказался Алексей Коробченко, начальник отдела по информационной безопасности компании «Код Безопасности».
При оценке утечек не следует ориентироваться только на видимую часть «айсберга». Злоумышленники обычно не публикуют все данные, оставляя наиболее деликатную информацию для своих целей. Эксперты считают, что о каждом гражданине России известно практически всё.
«Важно понимать, что те данные, которые обычно публикуются в даркнете, не содержат всей информации, которая утекает. Так, в утечках, например, из медицинской организации, обычно фигурирует только базовая информация о её пациентах: ФИО, адрес, контакты. Почти никогда не выкладываются никакие медицинские данные, хотя они утекают. В утечках из банков редко бывает финансовая информация. В утечках у операторов связи нет информации об услугах связи, которые потреблял тот или иной абонент. Это говорит о том, что в публичную плоскость сливаются уже вычищенные базы данных, а вся остальная чувствительная информация используется злоумышленниками для проведения атак на пользователей, для обновления своих скриптов, которые они применяют в мошеннических целях, для того, чтобы делать свои атаки более эффективными и персонализированными», – рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies («Позитив Текнолоджиз»).
Если пользователь соблюдает кибергигиену: использует только проверенные сервисы и не предоставляет где попало конфиденциальных данных, – мошенникам будет известно о нём меньше. И пусть это ответственность каждого отдельно взятого человека, тема защиты данных не должна уходить из поля зрения регуляторов и законодателей.
«Тема наказаний за утечки данных должна быть в фокусе постоянного внимания. Внедрение современных технологий, таких как искусственный интеллект и машинное обучение, может помочь в обнаружении и предотвращении утечек. Важно понимать, что обеспечение безопасности данных – это не разовая мера, а непрерывный процесс, требующий регулярного обновления систем, обучения персонала и мониторинга угроз», – сказал член Совета Федерации Артём Шейкин.