Глава IT-компании Виктор Тонконог о ситуации с утечкой данных пользователей ВК

Суд в Москве признал компанию «ВК» виновной в утечке данных пользователей почты на Mail.ru и назначил ей административный штраф в размере 60 тыс. руб. Причиной инцидента признано проникновение внешнего злоумышленника в апреле 2022 года в тестовый контур ИТ-инфраструктуры оператора. О том, зачем взламывают аккаунты пользователей, какие от этого могут быть последствия и как обезопасить себя от хакеров,— «Ъ-Кубань» рассказал директор краснодарской IT-компания «Вангард софт» (занимается разработкой программного обеспечения для аппаратного программного комплекса «Безопасный город») Виктор Тонконог.

«Злоумышленники могут использовать похищенные данные (ID, почтовые адреса, логины, пароли, номера телефонов, адреса, имена фамилии), чтобы через серые базы достать все остальные необходимые сведения: паспортные данные, сведения о прописке, недвижимости, доверенностях и прочее. Гипотетически они могут позвонить в банк с подменного номера, владея полной информаций о жертве, и добиться от банка совершения банком каких-то операций. Банки сейчас борются с этим, но пока это местами все еще возможно. Дистанционно можно даже оформить кредит. Злоумышленники могут украсть у пользователя красивый телефонный номер и потом требовать выкупа, шантажировать иным образом и в итоге доставить человеку массу неприятностей.

Защита от утечек, по сути, это дело общее. Сам пользователь должен стремиться использовать двухфакторную идентификацию, причем желательно не через sms, а через отдельное приложение, где коды авторизации меняются очень часто — такую авторизацию перехватить практически невозможно, если не иметь доступа к его устройству.

Но это не панацея. В случае с ВК мы видим, что утечка произошла через другой канал, то есть эта проблема — уже в зоне ответственности оператора данных. И здесь следует сказать, что современных систем безопасности и используемых ими алгоритмов достаточно для того, чтобы обеспечить безопасность. Просто их нужно использовать и внедрять. И второе: как правило, ведущие компании активно внедряют системы безопасности. Вывод: в основном причиной утечек является человеческий фактор. Так что ответственность компании еще и в том, чтобы снизить его влияние.

И конечно, далеко не последнюю роль в формировании самой культуры информационной безопасности играет государство. Возьмем две ситуации. Первая: у руководителя организации при проверке на рабочем столе выявили ксерокопию паспорта сотрудника — это нарушение закона о персональных данных, штраф от 30 тыс. руб. Вторая: произошедшее в ВК — тоже нарушение закона о персональных данных, штраф тот же. Сопоставимы ли последствия? Стимулирует ли закон к тому, чтобы оператор данных относился к подобным утечкам серьезно? Очевидно, что законодательство в этой части у нас не отработано, что и делает возможными подобные инциденты».

Читайте нас в Telegram