Эксперты фиксируют рост инцидентов со сливами персональных данных на чёрный рынок, которые стали происходить с незавидной регулярностью. Только за последнее время случилось несколько крупных скандалов такого рода: сообщалось о кражах персональной информации сотен тысяч и даже миллионов человек из баз "Яндекс.Еды", СДЭК, "Гемотеста", Delivery Club, операторов связи и крупных интернет-маркетов. И что? А ничего. Компании получили в "наказание" смешные штрафы, заверили, что усилят безопасность, и только. А на днях украли базы "Почты России". Но, как выяснилось, даже проверить фигурантов громких скандалов невозможно: у них есть щит в виде моратория на проверки. Зато возникли реальные угрозы в сфере национальной безопасности – прежде всего с учётом событий на Украине.
По оценкам аналитиков компании "РТК-Солар", выступающей национальным провайдером сервисов и технологий кибербезопасности, после начала спецоперации на Украине в нашей стране резко выросло число инцидентов в сфере информационной безопасности.
В апреле-июне текущего года зафиксировано свыше 236 тысяч (!) событий, относящихся к этой теме, – почти на треть больше, чем за тот же период 2021-го.
Во втором квартале мы отмечаем почти трёхкратное увеличение количества подтверждённых инцидентов высокой степени критичности,
– говорится в отчёте компании (копия имеется в распоряжении Царьграда).
Указывается, что если годом ранее превалировали сетевые атаки (65%) и заражение вредоносными программами (11%), то теперь подавляющее большинство атак (85%) связаны с вебом.
Подтверждением, что данная массовость спланированная, является то обстоятельство, что большинство таких веб-атак организуются из-за рубежа, то есть налицо консолидация, направленная на то, чтобы посеять панику как среди простых граждан, так и среди представителей бизнеса,
– отмечают специалисты.
Вместе с тем треть от общего числа мошенничеств и сливов в компаниях реализована через различные мессенджеры, причём именно там и зафиксированы мошеннические схемы с наибольшим ущербом.
Одна из учётных записей или всё-таки миллионы строк с данными клиентов?
Самый свежий громкий инцидент со сливом баз данных произошёл буквально на днях. В даркнет утекли персональные данные клиентов.
В самой госкомпании факт хищения массива признали, но – с оговорками:
В Сети появилась информация о масштабной утечке данных пользователей "Почты". Что на самом деле? Одна из учётных записей нашего подрядчика была скомпрометирована в результате хакерской атаки, фрагмент данных действительно попал в руки взломщиков. Ровно этот фрагмент данных сейчас выдают за "пробный". ...Утечка не содержала банковских данных, безопасности и репутации клиентов ничего не угрожает,
– прокомментировали в "Почте России" (цитата по "РИА Новости").
И добавили, что злоумышленники не получили доступ к другим записям, поскольку служба безопасности заблокировала доступ через скомпрометированный аккаунт и перепроверила уровень безопасности по всем возможным точкам доступа.
Других подробностей не приводится – хотя их было интересно услышать именно от государственного оператора почтовой связи.
А вот специалисты сервиса мониторинга утечек DLBI утверждают, что в выложенном на продажу в даркнете образце содержатся 10 млн строк, содержащих трек-номер отправления, ФИО (или название компании) отправителя, телефон получателя, вес и статус отправления, а также дату события.
В СЕРВИСЕ МОНИТОРИНГА УТЕЧЕК DLBI ЗАЯВИЛИ, ЧТО НА ПРОДАЖУ ВЫСТАВЛЕНЫ МИЛЛИОНЫ СТРОК ИЗ БАЗ "ПОЧТЫ РОССИИ". СКРИНШОТ ИЗ ТГ-КАНАЛА "УТЕЧКИ ИНФОРМАЦИИ"/T.ME/DATALEAK
И аккаунт, который предоставляет этот "лот" с базой данных "Почты России", ранее сливал сведения из образовательного портала GeekBrains, "Сколково", Delivery Club, сервиса покупки билетов tutu.ru и ряда других. Более того – проверка трек-номеров на самом сайте компании подтверждает достоверность информации.
Каково?
Неприкасаемые: Преступления без наказания
Но проверить, кто говорит правду, а кто – лукавит, может и не получиться.
По словам депутата Александра Хинштейна, который возглавляет комитет Госдумы по информполитике, а также входит в совет директоров "Почты России" (как представитель нижней палаты парламента), утечка персональных данных клиентов "Почты России" вскрыла серьёзную проблему: оказывается, у Роскомнадзора сегодня нет полномочий для проверки таких инцидентов.
Введённый правительством мораторий на проверки бизнеса до конца 2022 года не сделал исключения и для операторов персональных данных. Это значит, что даже при массовых утечках Роскомнадзор, как регулятор, не вправе проводить проверки и запрашивать необходимые материалы. В свою очередь, без проверки невозможно и привлечь виновных к административной ответственности,
– уточнил Хинштейн, назвав ситуацию "преступлением без наказания".
Он отметил, что до конца года операторы персональных данных могут "вообще не бояться никакой ответственности, так как являются неприкасаемыми". И заявил, что в ближайшее время его комитет направит обращение в правительство с просьбой изменить постановление о моратории №336, дабы изъять из него запрет на проверки, связанные с утечками персональных данных наших сограждан.
Идея, стоит признать, здравая – вполне. Однако случай-то с "Почтой России" – далеко не первый в череде хищений персональных сведений. И надо полагать, не последний.
Дважды за последние несколько месяцев утекли массивы информации у "Яндекс.Еды" (в феврале в открытом доступе оказались данные нескольких десятков тысяч пользователей – с именами, суммами покупок, телефонами, адресами и кодами домофонов; в мае – курьерские профили), Delivery Club (также сотни тысяч строк с данными курьеров и 1,2 млн строк данных о заказах клиентов), оператора экспресс-доставки СДЭК (полный набор по 25 млн пользователей и 30 тысяч контрагентов), лаборатории "Гемотест" (там вообще "вынесли" 31 млн медицинских записей) и других.
Кто-то из компаний-операторов признал факт кражи, кто-то заявил, что ничего не было. Проверить-то, выходит, как заметил депутат Хинштейн, и не получится.
Известно, что "Яндекс.Еду" наказали – штрафом. В 60 тысяч рублей.
Предают, как известно, только свои
Почти всегда за утечками стоят "внутренние истории", объясняет руководитель Фонда развития цифровой экономики, экс-советник президента России по вопросам развития интернета (2016-2018) Герман Клименко. Проще говоря – нечистые на руку работники.
Из своего опыта скажу, что никогда враги не наносили столько вреда, как собственные сотрудники. Потому что, если хакеры проникают снаружи, чтобы вытащить большие массивы информации, это всегда заметно. На такую атаку невозможно не обратить внимания. То есть чаще всего злоумышленники действуют при поддержке изнутри,
– говорит Клименко.
Есть, впрочем, добавляет эксперт, и другие варианты – если вмешательство происходит бессознательно: при открытии каких-то "левых" приложений и электронных писем, но всё равно – присутствует пресловутый человеческий фактор.
Проблема носит системный характер, – согласен с ним специалист по расследованию высокотехнологичных преступлений, директор компании "Интернет-розыск" Игорь Бедеров. – Потому что нет квалифицированных специалистов, нет качественных программных продуктов. И поэтому утечки происходят, во-первых, из-за пробелов в системе информационной безопасности – как технических, так и нормативных, во-вторых, по причине халатности или конкретного умысла сотрудников. При этом не всегда утечка – это просто мошенничество, есть случаи целенаправленного сбора информации с методами поисков по открытым источникам.
Кроме того, не стоит сбрасывать со счетов вариант, когда сами организации продают данные своих клиентов для того, чтобы зарабатывать дополнительные деньги. Речь о кредитных историях, обмене информацией между финансовыми структурами и их партнёрами. Причём не всегда сведения продаются только в одно место: те, кто получили их, взяв нужную информацию, тоже могут перепродавать их дальше – чтобы "отбить" часть понесённых ранее затрат.
"Партнёрские" сливы, к слову, штука вполне обыденная. Порой буквально сразу после выполнения действий с передачей персональных данных в госорганах, продолжает Бедеров, человека начинают беспокоить, условно говоря, из банков с предложением открыть счёт – притом что официально процедура регистрации завершится лишь на следующий день.
Аналогичная ситуация – наоборот, с поступлением крупных сумм (к примеру, с продажи квартиры) на банковский счёт: неведомые лица из "служб безопасности" практически моментально звонят на личный номер новоявленного богатея и интересуются "надёжностью" его сбережений.
Откуда они получают контакты, наверное, объяснять не стоит.
Кому они нужны, эти базы?
Ответ прост – всем. У интересантов разнятся только цели.
Самые дорогие базы – те, что содержат полную конфиденциальную информацию: паспортные данные, домашние адреса, телефоны, электронную почту. Такие стоят по 6-10 рублей за строку, рассказал Игорь Бедеров. Отработанные (актуальные несколько лет назад) или не настолько полные массивы продаются дешевле, но и на них есть свои покупатели: такие базы используют для "пробивов", маркетинга и так далее.
Герман Клименко среди тех, кому нужны массивы с персональными данными, называет (в порядке активности) микрофинансовые организации, коммерческие банки, страховые компании, рекламные "движки", использующие таргетирование (поиск и выделение целевой аудитории, исходя из её запросов).
Как пример – информация по "Яндекс.Еде": можно посмотреть на то, чем питается человек, где делает заказы, а значит – вычислить его уровень доходов. Соответственно, если ему привозят еду из дорогих ресторанов, то есть смысл показывать ему рекламные товары из премиум-сегмента,
– объясняет Клименко.
По его мнению, финансово ёмкость рынка не так уж велика – до 100 млн рублей в год. С одной стороны – да, персональные данные вроде бы и суперценные, но учитывая их "серое" происхождение и, так скажем, узконаправленность заказчиков, вряд ли стоит предполагать большие деньги. А проблемы в "прикладном" применении украденных баз могут получить скорее так называемые селебрити – то есть известные, публичные люди: артисты, политики, бизнесмены. Это сказывается на переговорах, образе жизни и прочем, если кто-то получает конфиденциальную информацию о персонаже, которую использует в своих целях – для оказания давления, в частности.
Сливы вредят СВО
Между тем есть опасность не очень приметная на первый взгляд, однако весьма существенная – более того, государственного масштаба.
Среди огромных массивов обычных обывателей и знаменитостей в них, разумеется, присутствуют и силовики – в том числе высокого уровня: военнослужащие, сотрудники спецслужб, чиновники. Они ведь тоже пользуются услугами сотовой связи, лечатся, заказывают еду на дом из ресторанов. И вот это уже очень серьёзно.
Этот вариант "злоупотребления знаниями", которые профессионалы могут использовать в своих целях,
– уточняет Клименко.
К слову, в пояснительной записке к принятым в середине июля поправкам к закону "О защите персональных данных" такой момент упоминается прямо:
Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов (так называемая деанонимизация), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания.
А ведь подобные нелегальные сервисы как раз и размещаются за рубежом. И достать их там – заблокировать, привлечь к ответственности, по нашему законодательству и особенно теперь, не получится никак.
Далее, в тех же пояснениях к законопроекту указывается на ещё более серьёзные проблемы:
Действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создаёт существенную угрозу в условиях текущей внешнеполитической ситуации. В настоящее время, по данным Роскомнадзора, более 2,5 тысячи операторов персональных данных осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны, где не обеспечивается их должная защита.
Понимаете теперь, какая ловушка существует? И не какая-то отдающая конспирологическим душком, а вполне реальная. Не нужно иметь десятки и сотни шпионов, чтобы выяснить подробности частной жизни условного "ответственного лица" – достаточно прикупить по дешёвке несколько баз данных, отсортировать, зная нужные "объекты", и – готово.
"При возникновении угроз для обороны, безопасности и конституционного строя"
Госдума внесла коррективы в прежнюю версию закона, ужесточив госконтроль в этой сфере. Так, вводится обязанность операторов персональных данных "незамедлительно информировать об инцидентах с принадлежащими им базами" уполномоченные органы власти; устанавливается запрет "на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные (в том числе биометрические)"; втрое (до 10 дней) сокращается срок реагирования на жалобы о незаконном распространении конфиденциальной информации.
Кроме того, при трансграничной передаче данных определяющим фактором стала не организационно-правовая форма получателя, а его нахождение на территории иностранного государства. И в случае, если у "компетентных органов" возникли подозрения на наличие угроз "для обороны, безопасности и основ конституционного строя", отгрузка таких сведений может быть прекращена. Плюс вводится экстерриториальность применения отечественного законодательства о персональных данных – иными словами, Россия вправе вмешаться в вопросы обработки персональных данных своих граждан в других государствах.
Минцифры в свою очередь объявило о подготовке нового варианта закона об оборотных штрафах, предусмотренных за утечки баз: предполагается взыскивать за подобное от 1% до 3% с выручки. Сейчас максимальный штраф – до 500 тысяч рублей, но реально получается значительно меньше. Примером тому – решение по "Яндекс.Еде", отдавшей за свою утечку 60 тысяч.
Правда, есть нюансы.
Так, сначала ещё нужно доказать, что слив конкретной базы произошёл по вине компании-оператора, поскольку это может случиться из какого-нибудь интернет-магазина, выступающего партнёром оператора. Наглядная иллюстрация тому – свежий инцидент с "Почтой России", как мы рассказывали выше, объявившей, что утечка случилась как раз у её партнёра.
Плюс за первую утечку штраф будет фиксированным – примерно как сейчас. А вот за повторную – уже от оборота, но, опять-таки, "соразмерно критичности".
Крупные компании в панике. И занялись шифрованием своих массивов
Решат ли существующие проблемы эти меры? Отчасти – да. Но не полностью.
Персональные данные должны храниться в зашифрованном виде – и именно такие положения Думе следовало принять даже не сегодня, а вчера, – уверен экс-советник президента по вопросам развития интернета Клименко. – Это первое. Но наш законодатель не предъявляет к компаниям серьёзных требований, за исключением наказаний. Второе: необходим специализированный хостинг (например, на базе крупнейшего оператора), значительно более защищённый, доступ к которому строго ограничен, когда видно, кто и зачем "зашёл" и что именно скачал оттуда. Да, это будет дороже. Но повысится надёжность. И в конечном итоге получится выгоднее – с учётом штрафов с оборота. А у нас вместо принятия законов о "регулировании", принимают законы о наказаниях.
По его словам, сегодня многие крупные компании, которые накрыла паника из-за постоянных утечек и сливов – не от боязни штрафов, а от репутационных рисков, – начинают шифровать свои базы.
С другой стороны, учитывая как раз то, что говорил Клименко о наличии у злоумышленников собственных "агентов" в рядах операторов персональных данных, встаёт вопрос о вычислении и привлечении к ответственности ренегатов.
Их, правда, порой задерживают, обычно – усилиями служб безопасности самих операторов. Однако сегодня это регулируется тремя статьями Уголовного кодекса (ст.272 "Неправомерный доступ к компьютерной информации", ст.137 "Нарушение неприкосновенности частной жизни", ст.183 "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну"), и наказание по ним – от двух до пяти лет лишения свободы.
ВОТ ИНТЕРЕСНАЯ СТАТИСТИКА, ОСНОВАННАЯ НА РЕЗУЛЬТАТАХ ОПРОСА О МОШЕННИЧЕСТВАХ СОТРУДНИКОВ КОМПАНИЙ. ОБРАТИТЕ ВНИМАНИЕ НА СЕГМЕНТЫ "СЛИВЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ" И "ПОПЫТКИ УВОДА КЛИЕНТСКОЙ БАЗЫ". СКРИНШОТ ИЗ ОТЧЁТА "РТК-СОЛАР".
Но и то – надо же ещё доказать, что последствия злодеяния оказались значительными. Поэтому – чаще штраф или условный срок.
А "выделенной" уголовной статьи именно за хищение персональных данных – по сути, кражи, если угодно, в настоящее время нет.
Источник: В России создадут киберполицию
К тому же речь идёт о борьбе с последствиями, а установить, для кого конкретно собиралась информация, кто и с какими целями её заказывал, как правило, не получается.
В настоящее время нет системы криминалистических учётов в интернете, идентификации, а главное – нет достаточного количества подготовленных специалистов: банально – некому работать на должном уровне. Безусловно, заниматься этим направлением надо, поскольку Роскомнадзор и Минцифры не имеют полномочий для ведения оперативно-разыскной деятельности,
– полагает директор "Интернет-розыска" Игорь Бедеров.
Сейчас происходит, продолжает он, реформирование МВД – и возможно, появится некое обособленное подразделение по борьбе с киберпреступлениями, которое выделят из существующего сегодня управления "К" – одной из самых закрытых полицейских структур, в чью компетенцию входит в том числе борьба с хакерами и распространением вредоносного программного обеспечения, а также с мошенничеством в IT-сфере. Но слишком широкий круг деятельности при ограниченности штата и дефиците профессионалов по кодированию и шифрованию баз данных не позволяет "кашникам" сосредоточиться конкретно на утечках.
По данным источников Царьграда, государство озаботилось наконец проблемой всерьёз. И подготовка к созданию такой структуры идёт, хоть и не афишируется. Правда, пока непонятно, в каком именно статусе она будет работать.
АЛЕКСАНДР СТЕПАНОВ
ФОТО: GORODENKOFF/SHUTTERSTOCK.COM