Утечка персональных данных в России
Излюбленной целью мошенников в России и во всем мире являются финансовые учреждения. Но есть и региональная специфика. В России, например, половина всех утечек данных происходит из-за небрежности с бумажными документами.
Где чаще всего происходят утечки?
В первую очередь мошенников интересуют деньги. Поэтому их основная цель – банки и финансовые учреждения, на которые приходится 25% всех утечек в России (согласно исследованию InfoWatch, российской компании, специализирующейся на информационной безопасности в корпоративном секторе). 18% утечек происходят в государственных и правоохранительных органах. Также хакерам интересны технологические компании (17,1%) и муниципальные учреждения: администрации городов, дома культуры, базы отдыха, выдачи документов и др. (12,5%).
Магазины и общежития также не застрахованы от утечек (4,7%). Утечки также были зафиксированы в российских медицинских (4,7%) и образовательных (3,1%) учреждениях. Наименее дырявым сектором является транспорт и промышленность (1,6%).
А кто виноват?
В подавляющем большинстве случаев (71,8%) виноваты обычные компании и госслужащие. За пределами России этот показатель значительно ниже («всего» 55,7%). Утечки данных совершают и директора компаний (15,6%). Чуть меньшую опасность представляют внешние злоумышленники (7,9%), еще меньше – бывшие сотрудники (4,7%).
Как происходят утечки информации?
В России, несмотря на цифровой прогресс, предпочтительным носителем информации для многих остается старая добрая бумага (а что, если компьютер испустит дух?). Поэтому почти 50% инцидентов сводятся к халатности с бумажными документами. Все остальное происходит через браузеры, электронную почту, облачные сервисы, флешки, смартфоны и мессенджеры.
Например, в августе 2020 года женщина в Москве обнаружила огромную “свалку” персональных данных, переполненную паспортами, полицейскими/миграционными документами, материалами уголовных дел и многим другим. Позже пресс-служба московского управления МВД объявила о начале расследования и пообещала, что виновные в нарушении будут привлечены к ответственности.
Одна из крупнейших утечек в 2019 году связана с российской интернет-компанией Яндекс. В движке Яндекса на короткое время появилась возможность поиска по контенту Google Docs, включая внутренние банковские и правительственные документы. Яндекс заткнул дыру менее чем за 24 часа и объяснил ошибку тем, что в результатах поиска отображаются только файлы, владельцы которых сами предоставили доступ к ним по гиперссылке, не вводя учетные данные для входа.
Всегда ли утечка данных является результатом внешнего воздействия?
Нет, иногда сотрудники делают это, чтобы заработать немного денег. Сергей Голубев, менеджер российского оператора мобильной связи «Вымпелком», прекрасно понимал, что российское законодательство запрещает разглашение телефонных разговоров. Однако неизвестный клиент предположил, что он шпионит за определенным подписчиком. Задача заключалась в том, чтобы сообщить всю личную информацию, раскрытую в звонках и SMS жертвы, за денежное вознаграждение. Голубев согласился, но история плохо закончилась для него, когда его уволили с работы и оштрафовали на 100000 рублей.
Сколько заплатили Голубеву, неизвестно. Между тем, 31-летняя Любовь Аганина из Волгограда, сотрудница местного центра социальной защиты, использовала чужие данные, чтобы украсть 4,1 миллиона рублей. Схема работала следующим образом: она выдавала социальные пособия людям, данные которых были предоставлены ее знакомыми, не имеющим права на получение пособий. Полученные деньги отправлялись на их банковские счета, с которых мошенники их обналичивали. Ее сообщник был приговорен к трем с половиной годам тюрьмы. Аганина была приговорена к четырем годам заключения, но по российскому законодательству ее наказание вступит в силу только тогда, когда ее сыну исполнится 14 лет (сейчас ему почти десять), что дает ей неплохую отсрочку наказания.
Были ли утечки из банков?
Еще бы. Осенью 2019 года киберпреступники выложили базу данных сотрудников Сбербанка на специальный форум phreaker.pro. Это был небольшой текстовый файл на 47 МБ, содержащий более 421 000 записей с именами, фамилиями и данными для входа.
В начале июня этого года были обнародованы клиентские базы трех российских банков (ОТП, Альфа-Банк, Хоум Кредит Банк). Среди информации были имена, номера телефонов, номера паспортов и места работы 900 000 человек. Утечки были обнаружены DeviceLock, российским разработчиком программного обеспечения.
Почему это происходит?
InfoWatch указывает на несколько причин. Во-первых, внедрение средств защиты информации в России в целом происходит медленнее, чем темпы цифровизации. Добавьте к этому тот факт, что российское общество в целом еще не выработало ответственного отношения к чужим данным, говорится в докладе.
Руководители мобильных операторов, банковские служащие, полицейские и сотрудники компании рассматривают такие данные как свои собственные и считают, что они могут делать с ними все, что захотят. И даже если они не могут, кого это волнует.
Что же делать?
Авторы исследования считают, что крупные компании и органы власти в целом неплохо защищают свои данные от внешних атак. Поэтому сейчас основное внимание уделяется обучению сотрудников работе с собственными данными.
Например, российские банки UniCredit, ВТБ и Открытие запретили сотрудникам фотографировать мониторы на свои смартфоны. «Открытие» также запретило снимать официальные документы, презентации и данные клиентов, а также записывать официальные разговоры на диктофон.
Неизвестно, поступили ли аналогичным образом банки, в которых уже произошла утечка.