В ходе исследования эксперты рассматривали данные, публикуемые правоохранительными органами, в момент, когда дела передавались в суд или по ним выносился приговор. «Средний срок следствия составляет около года, в редких случаях шесть-девять месяцев, поэтому нужно понимать, что значительная часть указанных хищений была совершена в 2019 году», — уточнили в DLBI.
Из всех направленных в суд дел, связанных с утечками данных, лидирующую позицию заняли обвинения против сотрудников операторов и салонов сотовой связи: их доля выросла с 44% от общего числа таких инцидентов в 2019 году до 67% в 2020-м, говорится в исследовании. А доля дел в отношении банковских работников упала с 27 до 18%.
При этом общее число переданных в суд дел по продаже данных из госведомств осталось на прежнем уровне, из банков — выросло на 30%, из коммерческих организаций — увеличилось в два раза, а из операторов связи — втрое. Общее число таких дел за прошедший год выросло в два раза — как минимум до 100 инцидентов, сообщили в DLBI.
— Даже с учетом задержки, необходимой для розыска и следствия, количество дел не соответствует числу предложений о продаже данных на черном рынке. Только по сайтам и форумам даркнета можно говорить более чем о 50 постоянно действующих российских магазинах пробива, на каждый из которых работают десятки инсайдеров в различных структурах. При этом ни один такой магазин не прекратил в прошлом году работу, — рассказал основатель сервиса разведки утечек данных DLBI Ашот Оганесян.
Рост хищений из баз сотовых операторов объясняется, во-первых, низким уровнем заработной платы сотрудников фронт-офисов и салонов связи, отмечается в исследовании. Другая причина в том, что работавшие в салонах злоумышленники продавали украденные данные, не конспирируясь, и часто передавали их своим знакомым, что позволяло правоохранителям без труда выявлять таких торговцев, а потом документировать их действия контрольными закупками.
По данным исследования, сотрудники сотовых компаний и салонов связи продают как услуги «пробива», передавая заинтересованным лицам детализацию звонков и SMS-сообщений, так и клонируют SIM-карты по заказу мошенников, взламывающих системы двухфакторной авторизации. Из-за этого в 2020 году выросла доля хищений цифровых активов, помимо денег со счетов в банках — от криптовалютных кошельков до «красивых» доменов и имеющих большую аудиторию групп в социальных сетях, отмечают эксперты DLBI.
В 2020 году на основании 70 судебных решений ограничен доступ к 777 интернет-ресурсам, на которых были размещены персональные данные с нарушением закона, сообщили в Роскомнадзоре. «Известия» направили запрос в Следственный комитет.
Попытки хищения данных, в том числе — со стороны сотрудников банка, фиксируются периодически: любые подозрения в обязательном порядке расследуются службой безопасности, рассказал «Известиям» директор департамента информбезопасности Росбанка Михаил Иванов. По его словам, успешных утечек данных в 2020 году специалистами не зафиксировано. Банки «Зенит», «Открытие» и МКБ также с хищением информации на сталкивались.
Банк «Фридом Финанс» зафиксировал попытку шантажа руководства инвесткомпании со стороны кибермошенников, но они не увенчались успехом, рассказал «Известиям» предправления кредитной организации Геннадий Салыч. По наблюдениям МКБ, большинство утечек данных происходит не из банков, а из интернет-магазинов. К сожалению, некоторые из них уделяют недостаточно внимания вопросам защиты персональных данных.
— Основные превентивные действия нацелены на то, чтобы минимальное количество работников имело доступ к персональным данным: сотрудникам дается доступ только к той информации, которая нужна для выполнения их функций и определенных процессов в банке. Если доступ к персональным данным необходим, то для предотвращения их копирования из инфраструктуры используется промышленная система противодействия утечкам информации, — пояснил директор департамента информационной безопасности МКБ Вячеслав Касимов.
Представители банков добавили, что обучают персонал, который сдает тесты по информационной безопасности, а также доводят до работников сведения об ответственности за попытки нарушить конфиденциальность данных.
В «Мегафоне» действуют аналогичные банковским нормативные, технические и административные меры защиты данных, которые эффективно позволяют предотвращать утечки, заявили в компании. Представители онлайн-ритейлеров и крупнейших российских компаний оперативно не ответили на вопросы «Известий» об утечках в 2020 году и защите информации.
В Минцифры запрос об объемах утечек данных в 2020 году перенаправили в Роскомнадзор.
Из-за перехода многих сотрудников на удаленную работу в период пандемии коронавируса часть утечек ушла в «серую зону» и не была зафиксирована, знает руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. По предварительным данным компании, в глобальном масштабе за год утекло около 11 млрд записей персональных данных и платежной информации, из них в России — порядка 100 млн.
— Злоумышленники могут продавать персональную информацию маркетологам и рекламщикам. Также распространены фишинговые атаки: под видом представителей тех или иных организаций мошенники могут обращаться к человеку с целью обмануть его и получить деньги. Некоторые данные могут использоваться для оформления кредитов, налоговых вычетов, пособий, — рассказал Андрей Арсентьев.
Наказание за незаконный сбор и распространение персональных данных регламентируется Уголовным кодексом: если злоумышленник использовал должностное положение, то оно варьируется от штрафа в 300 тыс. рублей до лишения свободы на срок до четырех лет, пояснил «Известиям» руководитель направления «Разрешение IT & IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. Он пояснил, что доказать причастность сотрудника к утечке можно с помощью спецсистемы, установленной в компании, а также — методом контрольной закупки.
Наталья Ильина