За весь 2022 год специалисты ведомства подтвердили около 150 эпизодов, когда персональная информация россиян оказывалась в свободном доступе или выставлялась на продажу. Наибольший резонанс получили утечки данных пользователей сетевых доставок еды, логистических компаний, сетей медицинских лабораторий, сервисов по онлайн-продаже билетов.
"Очевидно, что это спланированные хакерские атаки, инициированные из-за рубежа. Более того, характер и масштабы взломов позволяют говорить о "помощи" специалистов, близких к зарубежным спецслужбам. Хакеры используют для атак уязвимости в софте, серверах и телекоммуникационном оборудовании. Многие уязвимости используются впервые", - заявила пресс-служба Роскомнадзора.
По прогнозам, данным в исследовании "Лаборатории Касперского" " Значимые утечки данных в 2022 году", в 2023 году рост количества инцидентов составит 20%, а объем скомпрометированных данных увеличится на 10%. Один из авторов исследования, аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц говорит, что утечка данных может затронуть любую компанию, но основное внимание злоумышленников будет сосредоточено на тех, которые накопили большие объемы данных о пользователях: "Мы ожидаем, что в 2023 году их количество может вырасти на 20%. При этом велика вероятность, что злоумышленники продолжат обращать внимание на сферу ритейла, которая исторически хранит колоссальные объемы информации. Компаниям важно выстроить комплексную систему защиты IT -инфраструктуры, а также разработать план, который будет включать шаги по трем основным направлениям: расследование инцидента и реагирование, а также грамотная и своевременная коммуникация с клиентами, партнерами и регуляторами".
В компании DLBI, которая занимается мониторингом утечек данных, еще в 2022 году констатировали, что основной причиной утечек стал взлом серверов баз данных, дампы (копии баз данных) которых хакеры выставляют на продажу. В 2023 году самые крупные инциденты также связаны с данной причиной. Среди них утечка данных покупателей сетей "Спортмастер" и "СберЛогистика", за которой стоят украинские политизированные злоумышленники. Объем данных из двух файлов превышает 100 млн записей. Также на соответствующих форумах и телеграмм-каналах аналитики DLBI обнаружили "сливы" из Mail.RU, сети аптек "Здравсити", интернет-магазина ушедшего из России производителя спорттоваров Puma, розничных сетей "Дикси" и "Бристоль", Агентства стратегических инициатив.
Менеджер по продукту система управления базами данных Jatoba АО "Газинформсервис" Константин Семенчук прямо связывает рост количества инцидентов с политической ситуацией: "Но при этом и частота попыток мошенничества с помощью украденных увеличилась до беспрецедентной величины. Людям поступают мошеннические звонки по 2 раза в неделю, представляясь банками. При том мошеннические схемы постоянно развиваются. На данный момент злоумышленники уже умеют отправлять смс, маскируясь под официальные номера банков. Мы живем во времена, когда развитые технологии требует то нас быть бдительными".
Однако руководитель аналитического центра Zecurion Владимир Ульянов призвал обращать внимание на другие причины утечек данных, которые никуда не делись, скорее, наоборот, растут: "Любая нестабильность, нервозность повышает как вероятность ошибок со стороны персонала, которые могут привести к утечке информации, так и целенаправленной кражи информации. В свою очередь к краже информации может подтолкнуть внешнее финансовое стимулирование, а также неувереность в завтрашнем дне, стремление подстраховаться, получить возможное преимущество при трудоустройстве на новое место. Значительная доля утечек происходит по случайности, и даже когда данные воруют прицельно, нередко это делают "на всякий случай", не понимая до конца как их использовать. Так что помимо целевых и политически мотивированных атак в корпоративной среде остаётся большое количество факторов риска, которые приводят к утечкам информации".
Директор Центра информационной безопасности "Ланит-Интеграция" Николай Фокин считает, что основная мотивация киберпреступников, как правило, связана с получением финансовой выгоды: "Полагаем, что общий рост количества атак привел к увеличению киберинцидентов с персональными данными (ПнД). Особое внимание компаниям стоит уделять внутренним нарушителям".
Руководитель отдела аналитики "СерчИнформ" Алексей Парфентьев считает, что нельзя игнорировать все виды угроз, как внешние, так и внутренние: "Внешних угроз действительно стало больше. В рамках нашего ежегодного исследования 35% опрошенных организаций заявляли о том, что в 2022 году такие атаки стали чаще. Однако с внутренними утечками по-прежнему сталкиваются 44% компаний. Да и 14% из внешних атак проходят через сотрудников, отметили респонденты. В любом случае, человек – практически всегда "входящее окно" в любых атаках. И мотивы инцидентов, связанных с человеческим фактором, как правило, одни и те же: деньги, убеждения, неграмотность и халатность. Например, люди идут на мошенничество или продают корпоративные данные конкурентам из алчности или личных финансовых трудностей. Или мстят экс-работодателю при увольнении, забирая с собой клиентские базы. Порой все проще: сотрудники попадаются на фишинг или цепляют вирусы в Сети из-за цифровой безграмотности, а ИТ-специалисты ошибаются в настройках корпоративных баз данных, так что они оказываются в открытом доступе. Это, кстати, самая частая причина компрометации данных в мире".
"Мотивы для проведения целевых атак по-прежнему могут быть самыми разными – хактивизм (политический, экологический и т.п.), нажива, политическое и/или военное противоборство и т.д. Несомненно, на рост числа утечек в прошлом году для ряда стран повлияла СВО, в том числе тот факт, что стали доступны некоторые виды кибероружия. Но в то же время, отмечается значительный рост утечек в странах, никак с НАТО или Россией не связанных, - такие данные приводит директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. - Одной из тенденций за последние годы стало уменьшение сведений об утечке, позволяющей ее идентифицировать. Например, многие аналитики все утечки, опубликованные в т.н. "теневом Интернете" (ДаркВеб), где минимум сведений об источнике, относят к внешним. Тем не менее, все больше появляется сведений о том, что хакеры не только ищут уязвимости в системах интересующих их компаний, но и целенаправленно покупают сведения о сотрудниках этих компаний, о структуре сетей и систем, аутентификационную информацию ("доступ в системы"). То есть помимо прямого "киберпротивоборства", "кибервзломов", растет доля так называемых гибридных атак, когда хакеры действуют совместно с недобросовестным сотрудником или подрядчиком. Кроме того, на повышение эффективности атак влияет не только знание "дыр" системы и паролей, но и мест хранения наиболее ценной информации, что тоже проще узнать от сотрудников, прямо обратившись после взлома к ней, оставляя время на качественную зачистку следов".
Бизнесу же до сих пор не хватает понимания поддержания норм информационной безопасности на должном уровне. "Часть опрошенных нами респондентов с сожалением отметили, что пока руководству российских компаний не хватает понимания важности снижения рисков привилегированного доступа. Другие посетовали на нехватку бюджетов на информационную безопасность в целом и управление доступом в частности. Между тем более половины всех нарушений прав доступа приводят к утечкам конфиденциальной информации, наказание за которые руководство страны сейчас стремится ужесточить. А украденные привилегированные учетные записи используются при проведении подавляющего большинства кибератак", – подчеркнул директор центра компетенций управления доступом Solar inRights ООО "Ростелеком-Солар" Дмитрий Бондарь, комментируя результаты исследования "Угрозы привилегированного доступа в российских организациях".
Как отмечает адвоката коллегии адвокатов Pen and Paper Алена Гришкова, российское законодательство по защите персональных данных близко к европейскому: " Как и в 152-ФЗ, в GDPR используются такие понятия, как "обработка персональных данных", "обработчик", "оператор" (англ. controller), "трансграничная обработка", "псевдонимизация" (обезличивание) и подобные универсальные термины. Таким образом, международный опыт нормативного правового регулирования, в том числе правоприменения, распространения общедоступной информации, содержащей персональные данные, показал, что для вторичного использования персональных данных, должны быть правовые основания, а также цель обработки должна коррелироваться с целью, ради которой личные данные были собраны".
Владимир Ульянов также считает, что проблема не в отсутствии практик и действенных технических решений, а в недостатке внимания со стороны руководства организаций, что усугубляется недостаточной ответственностью для нарушителей: "Ничтожная ответственность в некоторых случаях делала экономически нецелесообразным внедрение средств предотвращения утечек. Особенно в низкоконкурентных сферах. Проект по защите информации требует немало ресурсов, а утечка может вовсе остаться незамеченной, тогда зачем затевать этот проект?".
По данным исследований, полностью готовы к соблюдению требований обновленного законодательства не более 3-4% опрошенных российских компаний.
Для предотвращения утечек персональных данных в Роскомнадзоре предлагают привлекать к уголовной ответственности тех, кто торгует данными в сети.
Соответствующие изменения нужно внести в Уголовный кодекс РФ, работа над этим уже ведется. Информация о том, что соответствующие предложения уже внесены в Госдуму, появились в ряде СМИ уже 17 марта, однако глава профильного комитета нижней палаты Александр Хинштейн в официальном телеграмм-канале данный факт опроверг: "В ИТ-Комитет Госдумы не поступали из Минцифры законопроекты об ужесточении административной и введения уголовной ответственности за утечки персональных данных. На заседании Комитета вчера (16 марта 2023 г. – ред.) министр Максут Шадаев пообещал представить инициативы к апрелю. Депутаты и сенаторы активно участвуют в их доработке совместно с Минцифры".
Заместитель директора Департамента обеспечения кибербезопасности Минцифры России Айсалу Бадягина, выступая на вебинаре Роскомнадзора, заявила, что вопросы, связанные с размером штрафов, а также возможностью добровольной компенсации находятся на стадии обсуждения, и соответствующие предложения будут внесены "в ближайшее время".
Константин Семечук видит основную проблему с соблюдением законодательства в том, что исполнители атак находятся за пределами юрисдикции российских правоохранительных органов: "Так как современные технологии позволяют проворачивать такие схемы из любой точки мира без особых затрат, иностранные мошенники вне юрисдикции наших правоохранительных органов. А организациям, ставшим жертвами взломов, проще заплатить штраф и жить дальше".
По мнению Алены Гришковой, действующие законодательство Российской Федерации защищает права граждан на сохранность их конфиденциальной информации: "В Уголовном кодексе РФ предусмотрена ответственность за разглашение такой информации и её передачу третьим лицам, например, по ст. ст. 137, 183, 272 УК РФ. За совершение указанных преступлений предусмотрено наказание в виде реального лишения свободы. Таким образом, в настоящее время в российском уголовном законодательстве содержаться нормы, регламентирующие ответственность для лиц, занимающихся незаконной продажей и распространением персональных данных. Согласно данным Судебного департамента при Верховном Суде Российской Федерации в 2021 году, только по ст. 137 УК РФ осуждено 235 человек, из которых 9 чел. приговорены к реальному лишению свободы, 13 чел. – осуждены к условному лишению наказания, 113 чел. – приговорены к штрафу, а остальные к иным различным видам наказания, в зависимости от степени общественной опасности совершенного преступления. При этом 2 чел. были признаны невменяемыми и им назначено принудительное лечение в медицинских организациях. Эти статистические данные свидетельствуют как о повышения эффективности работы правоохранительных органов по данной категории дел, так и об ужесточении принципиальной позиции судов к лицам их совершивших. В структуре правоохранительных органов есть специальные подразделения, занимающиеся исключительно выявлением и расследованием киберпреступлений, и имеют соответствующих специалистов и технические возможности для осуществления как оперативно-розыскной деятельности, так и эффективного расследования данной категории уголовных дел. Для сравнения, в иностранных государствах в качестве меры ответственности применяются в основном штрафы, а также приостановление обработки персональных данных и аресты (1-3 лет)".
Николай Фокин предупреждает, что эффект от ужесточения санкций для нарушителей будет отложенным: "У бизнеса будет возможность оценить реальный эффект от принятия мер по ужесточению ответственности за утечку данных и их продажу только через некоторое время. К тому же российское законодательство довольно лояльно: у бизнеса появится возможность снизить штраф до одного процента в случае уведомления Роскомнадзора об утечке персональных данных до того, как это обнаружит регулятор".
Алексей Парфентьев обратил внимание на то, что необходимо разделять ответственность организации и непосредственного виновника инцидента: "Считаю, что за утечку данных в первую очередь отвечает организация её допустившая, а штрафы и другие последствия должны зависеть от уровня информационной безопасности в ней, масштаба утечки, частоты таких инцидентов в конкретной компании и других факторов. Если отвечать именно на поставленный вопрос о санкциях применительно к конкретным людям – инсайдерам, хакерам, торговцам украденными ПДн – то уже сейчас существуют законы, по которым их можно привлечь к ответственности. Но проблема в том, что наказание не всегда настигает таких преступников. В случае с киберпреступлениями есть серьезные сложности с проведением следственных действий, оценкой причиненного ущерба, выявлением конечных бенефициаров, потому что все дальнейшие действия по компоновке данных и их продаже происходят к даркнет. Таким образом, приструнить инсайдеров и других мошенников перспективой получить тюремный срок можно только в том случае, если в организации налажен высокий уровень информационной безопасности – есть ИБ-специалисты, используются защитные средства, соблюдаются требования и регламенты по контролю за данными. В таком случае преступника выявят практически стопроцентно, а значит и ответственность он точно понесет".
Генеральный прокурор РФ Игорь Краснов на коллегии ведомства 15 марта 2023 года призвал активизировать внедрение технических средств предотвращения утечек данных. Однако, как предупреждает Владимир Ульянов, эффект от их внедрения будет не мгновенным: "Если говорить об эффекте от внедрения технических средств контроля информационных потоков и предотвращения утечки, он не может проявиться мгновенно. Это достаточно длительный процесс выбора, внедрения и настройки решения, поэтому даже при желании пройдёт немало времени после принятия решения об их использовании до запуска в промышленную эксплуатацию и получении результата".
Алексей Парфентьев призывает действовать комплексно: "Во-первых, нужно грамотно внедрять системы защиты данных – как от внешних угроз, так и от внутренних, и не забывать о средствах аудита, которые помогут найти потенциальные бреши в защите. Во-вторых, нужно заниматься повышением ИБ-грамотности людей, не связанных с этой темой по служебным обязанностям. Хорошо, когда у систем контроля есть "открытый режим", который уведомляет пользователей о действующих ограничениях и правилах безопасности. Кроме того, нужна просветительская работа: ликбезы, вебинары, киберучения. Можно привлекать в помощь экспертов в инфобезе, вендоров ИБ-решений – они разрабатывают обучающие курсы об актуальных угрозах и мерах противодействия им на уровне пользователя. Многие из таких программ бесплатные".
Яков Шпунт