В 2022 году эксперты в сфере кибербезопасности зафиксировали 710 случаев умышленной утечки информации.
Умышленная утечка — это когда данные крадут посторонние люди, например хакеры, или продают сами сотрудники компании. Почти 90% таких инцидентов связаны с персональными данными — речь о той информации, что пользователи постоянно оставляют на сайтах и в приложениях. Это адреса электронной почты, номера телефонов, паспортные и банковские данные. Мы изучили аналитику компаний, которые занимаются информационной безопасностью, поговорили с экспертами и выяснили, почему растет количество таких случаев и как себя защитить.
Что такое персональные данные
По закону персональные данные — это любая информация, которая относится к отдельному человеку, будь то имя и фамилия, паспортные данные или адрес электронной почты. Грубо говоря, это какая-то информация, которая позволяет идентифицировать конкретного человека.
Персональные данные мы оставляем, например, чтобы сделать онлайн-заказ или записаться к врачу. Когда человек вводит на сайте информацию о себе, оператор персональных данных — в нашем случае это владелец сайта или руководство больницы — обязуется обработать и хранить их, как того требует закон «О персональных данных». В том числе не передавать эту информацию кому-то еще, если пользователь не давал разрешения. А если персональные данные попадают в открытый доступ, оператор несет административную ответственность. Причем неважно, кто виноват.
Как часто в России случаются утечки данных
Экспертно-аналитический центр InfoWatch зарегистрировал в 2022 году 710 утечек информации из коммерческих компаний и государственных организаций — вдвое больше, чем в 2021 году. Общее количество утекших данных — 667,6 млн записей. Обычно каждая запись — это информация об одном пользователе.
Это только зарегистрированные утечки, в реальности их, вероятно, намного больше. По данным исследования, которое провела компания по предотвращению и расследованию киберпреступлений F.A.С.С.T., сейчас на российских серверах в открытом доступе находится около 7500 баз данных.
Чаще всего в открытом доступе оказываются именно персональные данные: в 2022 году на их долю приходилось почти 88,9%. На втором месте — коммерческие тайны, на третьем — государственные тайны. Реже всего в открытый доступ попадает платежная информация, то есть данные банковских карт.
В пандемию общее количество утечек информации снизилось, но эксперты InfoWatch считают, что многие инциденты могли оказаться в тени. Контроль над сотрудниками в этот период был ослаблен, в частности из-за того, что многие работали на удаленке. Если в 2019 году зарегистрировали 360 случаев умышленной утечки данных, то в 2020 году — 464. Участились мошеннические схемы, связанные с вакцинацией, QR-кодами и социальными выплатами.
Кроме того, во время пандемии выросло количество самих источников персональных данных, прежде всего медицинского характера: базы заразившихся коронавирусом и информация о вакцинированных. Например, в декабре 2020 года в открытом доступе появились данные 100 тысяч москвичей, переболевших COVID-19.
Также выросли объемы баз различных сервисов, в первую очередь связанных с доставкой. Например, 1 марта 2022 года стало известно о крупной утечке данных сервиса «Яндекс-еда», а за день до этого о подобном происшествии заявили в сервисе доставки «СДЭК».
Как данные утекают в открытый доступ
Если в 2018 году в России преобладали утечки из-за кражи документов или их утери, то в последующие годы резко выросла доля случаев, когда информация хранилась в интернете и мессенджерах — исследователи разделяют эти источники. В первой половине 2022 года большинство данных утекло именно через интернет: 92,8% от всех происшествий. На втором месте — мессенджеры: 3,2% утечек. На третьем и четвертом — электронная почта и бумажные документы: 2,8 и 0,8% соответственно.
Обычно такие утечки происходят из-за преступного умысла, а не вследствие технических ошибок. Виновниками чаще всего становятся хакеры и неизвестные лица — на их долю приходится 89,8% всех утечек. Для сравнения: в 2021 году более чем в половине случаев злоупотребляли полномочиями рядовые сотрудники.
Основная причина того, что такие недобросовестные сотрудники крадут данные, — желание заработать. За пять лет стоимость выросла в семь раз — сегодня каждый «пробив» в среднем стоит около 18 тысяч рублей.
Если рассматривать именно хакерские атаки — часто они происходят из-за того, что многие сервисы, где пользователи регистрируются с собственным паролем, используют для хранения паролей устаревшие алгоритмы или вовсе хранят их в открытом, текстовом виде. Украсть такие незашифрованные данные проще всего.
Кроме того, сами пользователи легкомысленно относятся к созданию паролей. По статистике компаний, которые занимаются защитой данных, подавляющее большинство паролей не соответствует правилам безопасности. Например, всего 3,7% паролей содержат одновременно буквы, цифры и спецсимволы, лишь 16,5% — длиннее 10 символов. Многие пароли состоят из примитивного набора цифр или букв: в рейтинге самых популярных — 123456, 123456789 и qwerty123.
Какие утечки считаются самыми опасными
Кажется, что чем больше украденная база, тем масштабнее утечка. Это не так: в одном файле может быть таблица с миллионом строк о заказах, клиентах или транзакциях, а в другом — с тысячей, но в первой базе окажется меньше полезных для хакеров данных. Ведь там могут содержаться пустые или повторяющиеся строки, а также учетные записи, которые созданы ботами.
Именно поэтому некоторые сервисы по поиску уязвимостей оценивают масштаб утечки по количеству действующих учетных записей, то есть пар «электронная почта — пароль». По данным компании DLBI, которая анализирует утечки информации именно по такому принципу, самый крупный инцидент в мире в 2019—2022 годах — это утечка базы социальной сети MyHeritage: 180 млн строк. На втором месте — сайт виртуальных питомцев Neopets: 68 млн строк. Дальше идут утечки баз социальной сети Netlog — 53 млн, соцсети для видео Dubsmash — 50 млн, трекера физической активности и питания MyFitnessPal — 49 млн, онлайн-сообщества писателей и читателей Wattpad — 48 млн строк.
Как и кого в России наказывают за утечки данных
В 90% случаев попадаются сотрудники салонов сотовой связи, занимающиеся мобильным «пробивом». Им обычно вменяется нарушение тайны связи, это статья 138 уголовного кодекса, и неправомерный доступ к компьютерной информации, статья 272. Наказание по этим делам варьируется от штрафа в 50 000—100 000 ₽ до условного срока в один-два года.
Конкретика в таких делах возникает крайне редко и обычно принимает форму статьи 183 уголовного кодекса: незаконное получение сведений, составляющих коммерческую тайну. Это связано с тем, что чаще всего объект преступления — предприниматель, а заказчик — его конкурент.
В делах «пробивщиков»-госслужащих, которых в среднем 5—7%, чаще всего фигурирует статья 290 — «Получение взятки». Такие дела и расследуются, и рассматриваются в суде довольно долго, а обвиняемые чаще всего получают наказание по нижней границе.
Самые серьезные наказания получают мошенники, которые участвуют в хищении средств со счетов граждан, перевыпуская симкарты. Утяжеляет приговор как фигурирующий в деле ущерб, так и наличие преступной группы и сопутствующих статей. Например, подделка документов: в такого рода схемах чаще всего используются поддельные доверенности. Наказание по подобным делам составляет от двух до шести лет лишения свободы.
Статистика преступлений отражает усилия в борьбе с утечками данных. Например, из-за борьбы банков с утечками число дел о банковском «пробиве» значительно снизилось. Зато мобильный только растет, так как операторы мобильной связи по-прежнему не делают ничего для борьбы с этим бизнесом. При этом уровень заработной платы и возраст персонала в салонах мобильной связи постоянно падает.
До суда доходят практически все дела, поскольку в 90% случаев их возбуждают не по факту реального преступления, а профилактически, например по результатам контрольных закупок. А поскольку мобильных «пробивщиков» с каждым годом все больше, найти преступников и зафиксировать их правонарушения труда не составляет.
Реальные дела касаются в основном хищения денег со счетов, но там чаще всего не находят ни денег, ни всех членов преступной группы. «Пробивщики» же гарантированно садятся на скамью подсудимых, так как технически не могут скрыть свои действия, например при выдаче симкарты без доверенности или по поддельным документам.
Как Россия выглядит на фоне других стран
Уровень кибербезопасности в странах измеряют обычно сами компании, которые занимаются защитой от утечек. Но есть и рейтинги от международных организаций. Например, Международный союз электросвязи составляет глобальный индекс кибербезопасности — Global Cybersecurity Index (GCI). Чем выше этот индекс, тем лучше в стране развита система цифровой безопасности. Самый высокий показатель по итогам 2020 года — у США: 100 пунктов. Второе место делят Великобритания и Саудовская Аравия: по 99,54. Дальше идет Эстония: 99,48. Россия занимает в списке восьмое место с показателем 98,06. Еще два года назад наша страна находилась на 29-й строчке, результат 2020 года — это максимальное значение за все время публикации индекса. Данных за 2022 год еще нет.
Страны с самым высоким уровнем кибербезопасности
США | 100 |
Великобритания | 99,54 |
Саудовская Аравия | 99,54 |
Эстония | 99,48 |
Южная Корея | 98,52 |
Сингапур | 98,52 |
Испания | 98,52 |
Россия | 98,06 |
ОАЭ | 98,06 |
Малайзия | 98,06 |
Страны с самым высоким уровнем кибербезопасности
США | 100 |
Великобритания | 99,54 |
Саудовская Аравия | 99,54 |
Эстония | 99,48 |
Южная Корея | 98,52 |
Сингапур | 98,52 |
Испания | 98,52 |
Россия | 98,06 |
ОАЭ | 98,06 |
Малайзия | 98,06 |
А вот в рейтинге, который составляет Академия электронного государственного управления Эстонии, позиция России оставляет желать лучшего. Эксперты этого вуза выводят национальный индекс безопасности — National Cybersecurity Index. Он показывает, насколько страна готова отражать киберугрозы и справляться с киберинцидентами. Россия по этому показателю занимает 30-е место из 160. На первом месте — Бельгия, на втором — Литва, на третьем — Эстония.
Как защитить свои персональные данные
Полностью защитить информацию о себе невозможно, так как субъект персональных данных практически никогда не контролирует их обработку. Единственное, что можно сделать, — максимально разделить эти данные, чтобы затруднить обогащение различных баз с их помощью.
Например, стоит использовать несколько отдельных почтовых ящиков для рассылок, рабочей и личной почты, а также оповещений от критичных сервисов, таких как банки или портал госуслуг. Аналогичным образом стоит поступать с телефонными номерами — и не использовать для двухфакторной аутентификации телефон, которым вы пользуетесь для звонков. Для регистрации на маркетплейсах, таких как «Авито», лучше использовать отдельный номер, который после использования можно и даже нужно выключить.
Также следует внимательно подходить к установке мобильных приложений, которые получают доступ к вашим личным данным и записной книжке. Особенно таким интересом грешат приложения социальных сетей, а также различные определители номера, немедленно забирающие вашу записную книжку в свое облако. Нужно внимательно следить за разрешениями, которые приложение требует для работы, стараться ограничивать доступ к ненужным опциям и возможности отслеживания.
А вот что совсем не поможет, так это отказ от передачи персональных данных третьей стороне при заполнении различных анкет и регистрации на сайтах. Определить источник данных практически невозможно, поэтому большинство операторов, особенно различных систем лояльности, продадут ваши данные на сторону, что бы вы ни указали.