Бескультурье данных

Алексей Парфентьев, 30/09/20

Разбор "урожая" утечек за первое полугодие¹ показывает, что мошенники без работы в этом году не останутся. В 2020 г. в России уже прошли как минимум шесть крупных утечек, которые скомпрометировали более миллиона записей в каждом случае: пользователей портала госуслуг² Татарстана, покупателей магазинов сети “Красное и белое”³, записи ГИБДД⁴, клиентов двух микрофинансовых организаций⁵. Все эти утечки подтверждены, но в некоторых случаях уточняется источник проблемы.

Автор: Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”

Перебирая все утечки, информация о которых стала публичной, мы видим, что только в 6% случаев они касались относительно безобидных данных, достаточных лишь для идентификации пользователей на конкретном сайте. В случаях с государственными и финансовыми порталами критичность изначально максимальная: даже если злоумышленник не сможет воспользоваться аккаунтом (из-за использования двухфакторной аутентификации), сумма персональных и конфиденциальных данных может быть использована в мошеннических целях. Для коммерческих порталов риски увеличиваются прямо пропорционально объему заполненной пользователем анкеты. Зачастую анкетные данные содержат избыточное количество сведений, которые могут быть использованы мошенниками для поэтапной атаки.

Еще печальнее, что остальные 94% утечек касаются персональных и платежных данных. Затронутыми оказываются данные о здоровье, коммерческая тайна, нарушается тайна переписки. Это чревато большими последствиями, самое опасное из которых – внимание мошенников. Чем больше информации о человеке оказывается у них в арсенале, тем вероятнее, что он станет жертвой.

Примерно треть случаев компрометации данных произошла по вине госслужащих. Это в том числе самые неприятные утечки: информация о заболевших COVID, нарушителях режима самоизоляции, участниках онлайн-голосования.

В очередной раз мы также получили напоминание о том, чего стоит коммерческая тайна, когда в даркнете обнаружилась⁶ полная база сделок участников внешнеэкономической деятельности за семь лет. Из официального сообщения прокуратуры стало известно, что утекла вся информация: полные декларации всех участников внешнеэкономической деятельности России, сведения об оформленных товарах с указанием номеров деклараций, ИНН отправителя, получателя, декларанта, страны происхождения товаров, номера транспортных средств, ФИО, контактные телефоны, а также сведения о рисках.

Завершающий штрих к любому дайджесту об утечках – это сканы паспортов, медкарт или личных дел, по халатности выброшенные на мусорную свалку. 2020 год не стал исключением: подходящая свалка обнаружилась⁷ в Рязани, где страховщик отправил в мусорку ксерокопии паспортов, водительских прав, страховых полисов, рукописных заявлений

Документы на свалке – это, пожалуй, и есть самая лучшая иллюстрация ситуации, которая складывается сегодня с данными.

Какие бы здравые предложения по изменению регулирования ни звучали, сколько бы технических средств ни придумывали для защиты информации, все остается формальностью по причине отсутствия базового уважения к персональным данным. По большому счету ни у общества, ни у бизнеса, ни у государства до сих пор нет осознания, чем может грозить попадание информации в чужие руки. Поэтому исправить ситуацию можно, только если ситуация будет меняться на всех уровнях.

На уровне государства

В поправках к российской Конституции в этом году был однозначно дан ответ на вопрос о том, кому принадлежат персональные данные, – государству. Получается, что государство берет всю ответственность на себя. Но многие утечки оказываются без ответственных, крупные проекты по цифровизации не включают в себя директивы по защите данных, программы для защиты персональных данных если и внедрены, то часто в недостаточном объеме. И на этом фоне в июне 2020 г. вступил в силу¹⁰ закон о создании Единого федерального информационного регистра – так называемого ЕФИР. Это база, которая объединит вообще всю информацию о нас с вами.

На уровне организаций

Пассивность жертв утечек и регуляторов приводит к тому, что у компаний нет никаких причин нести лишние траты на ПО, чтобы обезопасить персональные данные клиентов и собственных сотрудников. Но есть и повод для оптимизма: у менеджмента возникает понимание, что раз уязвимы персональные данные сотрудников и клиентов, то риску утечек подвергается и другая ценная для бизнеса информация – клиентские базы, ноу-хау, условия работы с поставщиками и работы в тендерах и многое другое.

На уровне общества

Видя безразличие на всех уровнях, граждане не верят, что могут защитить свои данные. Истории крупных сливов множатся как под копирку. Случился инцидент – компания заявляет, что утечка неопасна – клиентам стали звонить "сотрудники" – жертвы перечислили мошенникам N тысяч рублей. В этой цепи обычно нет такого звена, что клиенты обратились в суд с иском к организации, допустившей утечку.

"Все всё и так знают". Эта присказка стала отговоркой для всех, кто пытается показать, что защищать что-то в цифровом мире бессмысленно, все и так утечет. Эту логику можно применять к чему угодно. Например, "Любые замки можно взломать, незачем запирать дверь". Но главное, такой подход создает вредное представление, что информация ничего не стоит, ею можно разбрасываться, что своей, что чужой. И хотя ситуация с данными в целом остается сложной, вода камень точит. Пока общество и отдельные энтузиасты продолжают поднимать вопрос, ситуация сдвигается с мертвой точки