В 2021 году эксперты в сфере кибербезопасности зафиксировали 274 случая умышленной утечки информации.
Умышленная утечка — это когда данные крадут посторонние люди, например хакеры, или продают сами сотрудники компании. Почти 90% таких инцидентов связаны с персональными данными — речь о той информации, что пользователи постоянно оставляют на сайтах и в приложениях. Это адреса электронной почты, номера телефонов, паспортные и банковские данные. Мы изучили аналитику компаний, которые занимаются информационной безопасностью, поговорили с экспертами и выяснили, почему растет количество таких случаев и как себя защитить.
Что такое персональные данные
По закону персональные данные — это любая информация, которая относится к отдельному человеку, будь то имя и фамилия, паспортные данные или адрес электронной почты. Грубо говоря, это какая-то информация, которая позволяет идентифицировать конкретного человека.
Персональные данные мы оставляем, например, чтобы сделать онлайн-заказ или записаться к врачу. Когда человек вводит на сайте информацию о себе, оператор персональных данных — в нашем случае это владелец сайта или руководство больницы — обязуется обработать и хранить их, как того требует закон «О персональных данных». В том числе не передавать эту информацию кому-то еще, если пользователь не давал разрешения. А если персональные данные попадают в открытый доступ, оператор несет административную ответственность. Причем неважно, кто виноват.
Как часто в России случаются утечки данных
Экспертно-аналитический центр InfoWatch зарегистрировал в 2021 году 331 утечку информации из коммерческих компаний и государственных организаций. Общее количество утекших данных — 80,5 млн записей. Обычно каждая запись — это информация об одном пользователе.
Это только зарегистрированные утечки, в реальности их, вероятно, намного больше. По данным исследования, которое провела компания по предотвращению и расследованию киберпреступлений Group-IB, сейчас на российских серверах в открытом доступе находится около 7500 баз данных.
Чаще всего в открытом доступе оказываются именно персональные данные: в 2021 году на их долю приходилось почти 90%. На втором месте — коммерческие тайны, на третьем — государственные тайны. Реже всего в открытый доступ попадает платежная информация, то есть данные банковских карт.
В пандемию общее количество утечек информации снизилось, но эксперты InfoWatch считают, что многие инциденты могли оказаться в тени. Контроль над сотрудниками в этот период был ослаблен, в частности из-за того, что многие работали на удаленке. Если в 2019 году зарегистрировали 360 случаев умышленной утечки данных, то в 2020 году — 464. Участились мошеннические схемы, связанные с вакцинацией, QR-кодами и социальными выплатами.
Кроме того, во время пандемии выросло количество самих источников персональных данных, прежде всего медицинского характера: базы заразившихся коронавирусом и информация о вакцинированных. Например, в декабре 2020 года в открытом доступе появились данные 100 тысяч москвичей, переболевших COVID-19.
Также в 2020 году выросли объемы баз различных сервисов, в первую очередь связанных с доставкой. Например, 1 марта 2022 года стало известно о крупной утечке данных сервиса «Яндекс-еда», а за день до этого о подобном происшествии заявили в сервисе доставки «СДЭК».
По данным Group-IB, в 2022 году количество утечек растет каждый месяц. В мае и начале июня в даркнете появилось рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.
Как данные утекают в открытый доступ
Если в 2018 году в России преобладали утечки из-за кражи документов или их утери, то в последующие годы резко выросла доля случаев, когда информация хранилась в интернете и мессенджерах — исследователи разделяют эти источники. В 2021 году большинство данных утекло именно через интернет: 58,1% от всех происшествий. На втором месте — мессенджеры: 20,8% утечек. На третьем и четвертом — бумажные документы и электронная почта: 16,4 и 4,5% соответственно.
Обычно такие утечки происходят из-за преступного умысла, а не вследствие технических ошибок. Виновниками в 2021 году в основном становились рядовые сотрудники и хакеры — на их долю приходится 90,5% всех утечек. По статистике, чаще всего злоупотребляют полномочиями сотрудники сотовых операторов и салонов мобильной связи. Например, в конце июня 2022 в Новосибирске осудили сотрудницу оператора сотовой связи, которая почти год «пробивала» информацию об абонентах по заказу.
Основная причина того, что такие недобросовестные сотрудники крадут данные, — желание заработать. За пять лет стоимость выросла в семь раз — сегодня каждый «пробив» в среднем стоит около 18 тысяч рублей.
Если рассматривать именно хакерские атаки — часто они происходят из-за того, что многие сервисы, где пользователи регистрируются с собственным паролем, используют для хранения паролей устаревшие алгоритмы или вовсе хранят их в открытом, текстовом виде. Украсть такие незашифрованные данные проще всего.
Кроме того, сами пользователи легкомысленно относятся к созданию паролей. По статистике компаний, которые занимаются защитой данных, подавляющее большинство паролей не соответствует правилам безопасности. Например, всего 3,5% паролей содержат одновременно буквы, цифры и спецсимволы, лишь 16,5% — длиннее 10 символов. Многие пароли состоят из примитивного набора цифр или букв: в рейтинге самых популярных в России — 123456, 123456789 и qwerty.
Какие утечки считаются самыми опасными
Кажется, что чем больше украденная база, тем масштабнее утечка. Это не так: в одном файле может быть таблица с миллионом строк о заказах, клиентах или транзакциях, а в другом — с тысячей, но в первой базе окажется меньше полезных для хакеров данных. Ведь там могут содержаться пустые или повторяющиеся строки, а также учетные записи, которые созданы ботами.
Именно поэтому некоторые сервисы по поиску уязвимостей оценивают масштаб утечки по количеству действующих учетных записей, то есть пар «электронная почта — пароль». По данным компании DLBI, которая анализирует утечки информации именно по такому принципу, самый крупный инцидент в мире в 2019—2021 годах — это утечка базы социальной сети MyHeritage: 180 млн строк. На втором месте — сайт виртуальных питомцев Neopets: 68 млн строк. Дальше идут утечки баз социальной сети Netlog — 53 млн, трекера физической активности и питания MyFitnessPal — 49 млн, онлайн-сообщества писателей и читателей Wattpad — 48 млн строк.
Как Россия выглядит на фоне других стран
Уровень кибербезопасности в странах измеряют обычно сами компании, которые занимаются защитой от утечек. Но есть и рейтинги от международных организаций. Например, Международный союз электросвязи составляет глобальный индекс кибербезопасности — Global Cybersecurity Index (GCI). Чем выше этот индекс, тем лучше в стране развита система цифровой безопасности. Самый высокий показатель по итогам 2020 года — у США: 100 пунктов. Второе место делят Великобритания и Саудовская Аравия: по 99,54. Дальше идет Эстония: 99,48. Россия занимает в списке восьмое место с показателем 98,06. Еще два года назад наша страна находилась на 29-й строчке, результат 2020 года — это максимальное значение за все время публикации индекса.
Страны с самым высоким уровнем кибербезопасности
США | 100 |
Великобритания | 99,54 |
Саудовская Аравия | 99,54 |
Эстония | 99,48 |
Южная Корея | 98,52 |
Сингапур | 98,52 |
Испания | 98,52 |
Россия | 98,06 |
ОАЭ | 98,06 |
Малайзия | 98,06 |
А вот в рейтинге, который составляет Академия электронного государственного управления Эстонии, позиция России оставляет желать лучшего. Эксперты этого вуза выводят национальный индекс безопасности — National Cybersecurity Index. Он показывает, насколько страна готова отражать киберугрозы и справляться с киберинцидентами. Россия по этому показателю занимает 29-е место из 160. На первом месте — Греция, на втором — Чехия, на третьем — Эстония.
Что касается собственно утечек, то, по версии компании Nord Security, именно Россия — самая проблемная страна. Здесь «утекает» 19,9 пароля на человека. Для сравнения: в США, где самый высокий индекс кибербезопасности, — 5,2 пароля на душу населения.
Вспомнилось моё взаимоотношение с альфа-банком)
В 2021 году хотел брать у них ипотеку. Открыл счёт, внёс деньги на первичный взнос.
Прошло минут 40 - звонок с "службы безопасности Альфа-Банка" и называют мои данные с сообщением что мои деньги в опасности.
Положил трубку и ногами дошёл до банка - естественно, никто у меня ничего не пытался увести)
Рад что в конечном счёте ипотеку брал в другом банке.
Влад, всё чаще слышу подобные истории где фигурирует именно альфа банк, один из главных сливателей данных )