Объем цифровой информации в мире растет как снежный ком. И в этом коме есть немало информации личного характера, которая представляет всю большую ценность для криминального мира: если раньше преступники воровали кошельки или обчищали квартиры, то сейчас находится немало желающих погреть руки на похищении персональных данных из информационного поля.
Например, сотрудник администрации города Кургана, сетуя на свою маленькую зарплату, обратил внимание на базу данных жителей города, к которой имел доступ по долгу службы. В течение восьми лет он регулярно копировал эти данные с серверов государственного учреждения и продавал их местным банкам, чтобы те, например, знали, кому выдавать или не выдавать кредит либо предложить какую-нибудь новую услугу. В прошлом году злоумышленник был пойман и получил два года лишения свободы.
Всего в России в прошлом году было украдено 5,8 млн записей, относящихся к персональным данным (имена, паспортные данные, адреса электронной почты и т. д.), финансовым данным (реквизиты банковских карт, данные банковских счетов) и другим типам конфиденциальной информации. Об этом говорит исследование российской компании InfoWatch (принадлежит Наталье Касперской и контролирует около 50% рынка систем защиты конфиденциальных данных), которая проанализировала все публичную информацию об утечках персональных данных в России в 2017 году.
Согласно результатам исследования, в прошлом году в России публично было сообщено о 254 случаях утечки конфиденциальной информации из российских компаний и государственных органов, это на 14% больше, чем в 2016-м, в 3,3 раза больше, чем пять лет назад, и в 28 раз больше, чем десять лет назад (см. график 1).
«Рост утечек информации обусловлен активным развитием цифровых ресурсов, с помощью которых пользователям оказывают услуги (интернет-магазины, государственные порталы, городские сервисы), — говорит Алексей Новиков, руководитель экспертного центра безопасности компании Positive Technologies. — Как правило, к личным кабинетам пользователей таких сервисов привязаны личные данные, контакты, данные банковских карт. Сервисы появляются регулярно, а вместе с ними растет количество пользовательских данных, что увеличивает возможности злоумышленников украсть личную информацию, деньги, осуществить разнообразные виды атак».
Финансовый подход
Особенно за последний год увеличилось число похищений персональных данных, связанных с платежной информацией. И это понятно: такого рода хищения при продолжающейся всеобщей цифровизации банковских услуг ничуть не хуже ножа и пистолета дают преступникам возможность быстро обогатиться.
Например, в Волгограде завершено следствие в отношении 26-летней сотрудницы одного из банков, которая занималась обслуживанием клиентов. В частности, по работе она имела доступ к их персональным данным, в том числе к кодовым словам, используемым для управления счетом. Она передавала эту информацию своему сообщнику, который, обращаясь в контактный центр под видом пользователя, похищал деньги. Таким образом, в течение шести месяцев со счетов 11 клиентов было похищено 4,3 млн рублей. На след злоумышленницы вышли сотрудники безопасности банка, которые передали информацию в полицию; девушке грозит лишение свободы на срок до пяти лет.
Еще более серьезный случай хищения на прошлой неделе был обнародован в Санкт-Петербурге, где группа злоумышленников похитила у вип-клиента Сбербанка 40 млн рублей. Следствие установило, что хищение было совершено группой лиц в мае 2017 года. Одна из подозреваемых (бывших сотрудников банка), представившись владельцем вклада и используя подложные документы, обратилась в отделение банка с целью перевода денежных средств и оформления сберегательных сертификатов с их дальнейшим обналичиванием.
В целом доля инцидентов, связанных с кражей и потерей платежной информации, за последний год в России вырвалась на второе место в общем числе утечек: если в 2016 году она составляла лишь 2,8% всех происшествий, то сейчас выросла до 12,9% (см. график 2).
Впрочем, не все утечки личной информации происходят по злому умыслу. Часто ценные персональные данные попадают в чужие руки из-за разгильдяйства ответственных лиц. На языке профессионалов это называется «неквалифицированные утечки», и таких случаев больше всего: по данным InfoWatch, в 2017 году такого рода инциденты составили 67% всех происшествий. Например, в Рязани ведется разбирательство в отношении клиники «Доктор Борменталь», которая на своем сайте разместила персональные данные работников и клиентов. При этом согласие на распространение персональных данных указанных граждан клиникой представлены не были. При проверке выяснилось, что в медучреждении не определены места хранения персональных данных, не установлен перечень лиц, осуществляющих их обработку либо имеющих к ним доступ, нарушены другие нормативы обработки таких данных.
Или еще вопиющий пример российской безалаберности: жители Омской области заметили на свалке горы документов. Здесь оказались копии паспортов и трудовых книжек, информация о прибытии граждан, судебные документы, материалы проверок и даже отпечатки пальцев. Кстати, именно в России крайне высок процент утечки информации на бумажных носителях. По данным InfoWatch, на пропажу данных на бумаге в ушедшем году пришлось 36% всех инцидентов (в мире этот показатель составляет только 8%). Ну а самым распространенным путем утечек в России, как и в мире, являются так называемые сетевые каналы (пропажи через интернет — браузеры, облачные сервисы и проч., см. график 3).
В распределении утечек по отраслям обращает на себя внимание уязвимость государственных органов: по данным InfoWatch, самые значимые утечки в России в прошлом году происходили в муниципальных учреждениях (19,4%). Далее идут банки и финансовые учреждения (17,8% всех утечек), где злоумышленникам легче всего обогатиться. Остро стоит проблема утечек в медицине (13,4%), госорганах (11,9%), в сфере высоких технологий (11,5%). Больше стало утечек в сфере торговли (10,7%, см график 4), где уязвимостями активно развивающихся цифровых сервисов все чаще пользуются хорошо подготовленные и организованные преступные кибергруппировки. Так, в конце прошлого месяца сотрудники управления «К» МВД России при содействии компании Group-IB задержали двух киберпреступников, занимавшихся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. Как сообщают правоохранительные органы, в данном случае от рук мошенников пострадали десятки компаний, в том числе «Юлмарт», «Биглион», «Купикупон», PayPal, «Групон» (теперь ноcит название Frendi) и др. Всего было скомпрометировано около 700 тыс. учетных записей, две тысячи из которых хакеры выставили на продажу примерно по пять долларов за аккаунт. Задержанные признались, что таким путем заработали не менее 500 тыс. рублей. Однако реальную сумму ущерба еще предстоит выяснить. «Внимание киберпреступников сейчас вернулось к России, и количество атак на банки и другие организации здесь и в странах бывшего СССР неутешительно растет, — рассказал “Эксперту” Антон Фишман, директор проектного направления Group-IB. — При этом мы наблюдаем активизацию атак и на компьютеры физических лиц. Информационная безопасность банков и финансовых организаций с каждым годом становится сильнее: оказывает влияние регулятор, международные стандарты, внутренние потребности в защите своих активов, в конце концов. Поэтому организация и успешное проведение целевой атаки на банк становится все более сложной задачей, требующей и навыков, и инструментов, и технологий. А такие методы, как социальная инженерия, фишинг, заражение мобильных и стационарных компьютеров пользователей, несравнимо проще в реализации, поэтому часть злоумышленников переключается на физлиц и берет массовостью. В связи с этим мы прогнозируем рост количества инцидентов с утечками платежных данных».
Кусочек айсберга
Впрочем, бурный рост утечек личной информации происходит не только в России, но и во всем мире, причем мировую динамику потерь личных данных можно назвать даже более интенсивной. Например, по данным InfoWatch, число подобного рода инцидентов в мире в прошлом году увеличилось на 37% (до 2100 инцидентов), а число утекших записей возросло за год в четыре раза, с 3,1 млрд в 2016 году до 13,2 млрд в 2017-м (см. график 5). И в это легко поверить: в развитых странах постоянно гремят скандалы, связанные с утечками персональной информации. Вслед за непрекращающимися обвинениями в адрес Facebook на прошлой неделе в США поднялась волна еще более масштабного инцидента. Речь идет о маркетинговой компании Exactis, которая оставила на незащищенном сервере базу объемом порядка двух терабайт, содержащую 340 млн записей. По предварительным данным, в результате этой утечки скомпрометированы данные едва ли не всех граждан США.
Примечательно, что угроза похищения личных данных для современного человека порой может исходить от совершенно безобидных, казалось бы, вещей — например, от игрушек. В Китае, например, расследуется дело о похищении записей голосов более двух миллионов детей, которые хранились в базе данных компании — производителя «умных» игрушек CloudPets. Эти игрушки позволяет записывать и передавать сообщения от детей родственникам, однако сетевой доступ к этому сервису был недостаточно защищен.
Но особую тревогу вызывает тот факт, что все инциденты с пропажей личных данных, информация о которых просочилась в публичное пространство, это даже не верхушка айсберга, а лишь маленький кусочек глыбы реального числа подобного рода происшествий. Специалисты InfoWatch считают, что достоянием СМИ становится лишь один процент инцидентов, связанных с пропажей личной информации. «Отсутствие явной обязанности для компаний раскрывать факты утечки данных, даже если из-за инцидента пострадали третьи лица, приводит к тому, что львиная доля информации о подобных событиях держится пострадавшими организациями в секрете, — объясняет Андрей Янкин, заместитель директора центра информационной безопасности компании “Инфосистемы Джет”. — Основная причина роста числа утечек из года в год — изменение самого бизнеса, его цифровизация, рост ценности данных для конкурентов, развитие информатизации в госуправлении. Все больше специалистов получают доступ к конфиденциальным данным, а незаконно монетизировать украденную информацию стало на порядок проще, чем еще лет десять назад. Вполне понятно, что на этом фоне растет и число случайных утечек».
Кто виноват и что делать?
Отвечая на извечный вопрос, кто виноват и что делать в случае с растущими объемами утечек частной информации, аналитики обращают внимание, что подавляющее большинство подобного рода хищений связано не с внешними преступниками, а с внутренними угрозами в виде сотрудников компаний или организаций (см. график 6). Поэтому главное направление борьбы с этим распространяющимся злом должно быть сконцентрировано на человеческом факторе. «Предотвращение утечек — комплексная задача, первый и основной компонент которой — работа с людьми. Очень многое зависит от деятельности HR-специалистов при приеме на работу, от качества проверки претендента на должность службой безопасности. В дальнейшем это регулярный мониторинг работы персонала, профилирование, оценка уровня лояльности», — подчеркивает Андрей Янкин.
По словам специалистов, действенным методом борьбы с утечками в компаниях и организациях может стать, например, минимизация прав доступа к ценной информации: сотрудник должен иметь доступ только к той части информации, которая необходима ему по работе, а все критические операции должны контролироваться еще и третьим лицом, что затрудняет реализацию преступления. Понятно, что стоит постоянно совершенствовать ИТ-архитектуру компании, не забывать внедрять современные решения информационного контроля и защиты — для этих целей, в частности, применяются специализированные системы по борьбе с утечками (DLP) и мошенничеством (Anti-Fraud).
На уровне регулятора стоит обратить внимание на совершенствование законодательства. Закон «О персональных данных», где введены базовые нормы обращения с такими данными, был принят в России еще в 2006 году. Однако до сих пор многие считают его слишком общим и призывают доработать с учетом лучших примеров из мирового опыта. Например, в Евросоюзе с мая этого года начали действовать ужесточенные правила обработки персональных данных (GDPR — General Data Protection Regulation), которые могут улучшить ситуацию с сохранностью личных данных. В частности, новые правила усиливают ответственность за нарушение правил обработки персональных данных — теперь штрафы для компаний за подобные нарушения могут достигать 20 млн евро или четырех процентов дохода компании.
Особое внимание в России следует уделить совершенствованию норм и ответственности использования личных данных в госорганах. «На мой взгляд, в зоне наибольшего риска сейчас находятся государственные системы. Данных там все больше, а подходы к защите зачастую чисто формальные. Требования регулятора на бумаге выполнены, а дальше хоть трава не расти, — считает Андрей Янкин. — Впрочем, неверно считать, что здесь нет прогресса. Громкие скандалы с утечкой данных из госсистем заставляют чиновников принимать меры к защите информации, но объемы хранимых о гражданах и бизнесе данных, а следовательно, и связанные с утечками риски растут опережающими темпами».