Контакты
Подписка 2024

Бескультурье данных

Алексей Парфентьев, 30/09/20

Разбор "урожая" утечек за первое полугодие1 показывает, что мошенники без работы в этом году не останутся. В 2020 г. в России уже прошли как минимум шесть крупных утечек, которые скомпрометировали более миллиона записей в каждом случае: пользователей портала госуслуг2 Татарстана, покупателей магазинов сети “Красное и белое”3, записи ГИБДД4, клиентов двух микрофинансовых организаций5. Все эти утечки подтверждены, но в некоторых случаях уточняется источник проблемы.

Автор: Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”

Перебирая все утечки, информация о которых стала публичной, мы видим, что только в 6% случаев они касались относительно безобидных данных, достаточных лишь для идентификации пользователей на конкретном сайте. В случаях с государственными и финансовыми порталами критичность изначально максимальная: даже если злоумышленник не сможет воспользоваться аккаунтом (из-за использования двухфакторной аутентификации), сумма персональных и конфиденциальных данных может быть использована в мошеннических целях. Для коммерческих порталов риски увеличиваются прямо пропорционально объему заполненной пользователем анкеты. Зачастую анкетные данные содержат избыточное количество сведений, которые могут быть использованы мошенниками для поэтапной атаки.

Еще печальнее, что остальные 94% утечек касаются персональных и платежных данных. Затронутыми оказываются данные о здоровье, коммерческая тайна, нарушается тайна переписки. Это чревато большими последствиями, самое опасное из которых – внимание мошенников. Чем больше информации о человеке оказывается у них в арсенале, тем вероятнее, что он станет жертвой.

Примерно треть случаев компрометации данных произошла по вине госслужащих. Это в том числе самые неприятные утечки: информация о заболевших COVID, нарушителях режима самоизоляции, участниках онлайн-голосования.

В очередной раз мы также получили напоминание о том, чего стоит коммерческая тайна, когда в даркнете обнаружилась6 полная база сделок участников внешнеэкономической деятельности за семь лет. Из официального сообщения прокуратуры стало известно, что утекла вся информация: полные декларации всех участников внешнеэкономической деятельности России, сведения об оформленных товарах с указанием номеров деклараций, ИНН отправителя, получателя, декларанта, страны происхождения товаров, номера транспортных средств, ФИО, контактные телефоны, а также сведения о рисках.

Завершающий штрих к любому дайджесту об утечках – это сканы паспортов, медкарт или личных дел, по халатности выброшенные на мусорную свалку. 2020 год не стал исключением: подходящая свалка обнаружилась7 в Рязани, где страховщик отправил в мусорку ксерокопии паспортов, водительских прав, страховых полисов, рукописных заявлений

Документы на свалке – это, пожалуй, и есть самая лучшая иллюстрация ситуации, которая складывается сегодня с данными.

Какие бы здравые предложения по изменению регулирования ни звучали, сколько бы технических средств ни придумывали для защиты информации, все остается формальностью по причине отсутствия базового уважения к персональным данным. По большому счету ни у общества, ни у бизнеса, ни у государства до сих пор нет осознания, чем может грозить попадание информации в чужие руки. Поэтому исправить ситуацию можно, только если ситуация будет меняться на всех уровнях.

На уровне государства 

В поправках к российской Конституции в этом году был однозначно дан ответ на вопрос о том, кому принадлежат персональные данные, – государству. Получается, что государство берет всю ответственность на себя. Но многие утечки оказываются без ответственных, крупные проекты по цифровизации не включают в себя директивы по защите данных, программы для защиты персональных данных если и внедрены, то часто в недостаточном объеме. И на этом фоне в июне 2020 г. вступил в силу10 закон о создании Единого федерального информационного регистра – так называемого ЕФИР. Это база, которая объединит вообще всю информацию о нас с вами.

На уровне организаций

Пассивность жертв утечек и регуляторов приводит к тому, что у компаний нет никаких причин нести лишние траты на ПО, чтобы обезопасить персональные данные клиентов и собственных сотрудников. Но есть и повод для оптимизма: у менеджмента возникает понимание, что раз уязвимы персональные данные сотрудников и клиентов, то риску утечек подвергается и другая ценная для бизнеса информация – клиентские базы, ноу-хау, условия работы с поставщиками и работы в тендерах и многое другое.

На уровне общества

Видя безразличие на всех уровнях, граждане не верят, что могут защитить свои данные. Истории крупных сливов множатся как под копирку. Случился инцидент – компания заявляет, что утечка неопасна – клиентам стали звонить "сотрудники" – жертвы перечислили мошенникам N тысяч рублей. В этой цепи обычно нет такого звена, что клиенты обратились в суд с иском к организации, допустившей утечку.

"Все всё и так знают". Эта присказка стала отговоркой для всех, кто пытается показать, что защищать что-то в цифровом мире бессмысленно, все и так утечет. Эту логику можно применять к чему угодно. Например, "Любые замки можно взломать, незачем запирать дверь". Но главное, такой подход создает вредное представление, что информация ничего не стоит, ею можно разбрасываться, что своей, что чужой. И хотя ситуация с данными в целом остается сложной, вода камень точит. Пока общество и отдельные энтузиасты продолжают поднимать вопрос, ситуация сдвигается с мертвой точки


  1. https://searchinform.ru/blog/2020/08/18/itogi-polugodiya-v-94-sluchaev-iz-organizacijutekli-poleznye-dlya-moshennikov-dannye/ 
  2. https://cnews.ru/news/top/2020-01-21_na_gosuslugah_novaya_utechka 
  3. https://www.vedomosti.ru/business/articles/2020/01/27/821576-baza-klientov 
  4. https://www.vedomosti.ru/technology/articles/2020/05/14/830287-baza-avtovladeltsev
  5. https://iz.ru/1005868/2020-04-29/v-set-utekli-dannye-o-12-mln-zaemshchikovmikrokreditnykhorganizatcii 
  6. https://tass.ru/ekonomika/8449957 
  7. https://www.ryazan.kp.ru/online/news/3862192/ 
  8. https://www.rbc.ru/rbcfreenews/5ede351c9a794710ce94854d 
Темы:Право и нормативыDLPЖурнал "Информационная безопасность" №4, 2020

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Как архиватор ARZip предупреждает утечки данных
    Дмитрий Слободенюк, коммерческий директор ARinteg
    При интеграции с DLP архиватор ARZip может открывать зашифрованные архивы при условии, что они созданы в нем самом. Поэтому при внедрении ARZip издается приказ об использовании ARZip в качестве единственного корпоративного архиватора.
  • Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor
    Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
    Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.
  • Обзор изменений в законодательстве. Январь, февраль 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.
  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Закон об ИТ-аутсорсинге: как он отразится на ИБ?
    Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
    Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...