Утечки обновили базы
В сети растут украденные данные бизнеса
В России выросло число компаний, чьи данные впервые утекли в сеть. В первом полугодии таких организаций стало 150, тогда как годом ранее их было 119. Большая часть данных актуальна на текущий год, что говорит о росте числа новых киберинцидентов. Пока от утечек данных больше страдают пользователи сервисов бизнеса, а не сами компании, признают эксперты. Изменить ситуацию может введение оборотных штрафов для бизнеса за утечки, но соответствующий законопроект пока не продвинулся в Госдуме дальше первого чтения.
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с исследованием разработчика решений для борьбы с киберпреступлениями F.A.С.С.T. (ранее Group-IB) об утечках данных в первом полугодии. По данным компании, за этот период на теневых форумах и в закрытых Telegram-каналах были опубликованы данные 150 компаний, которые ранее нигде не появлялись. В первой половине 2023 года таких компаний было 119. Общее количество строк (непосредственно данных пользователей сервисов компаний), содержащихся во всех опубликованных базах, уже превысило 200,5 млн, тогда как за весь прошлый год специалисты насчитали 397 млн.
Актуальность большинства баз приходится на 2024 год, большая часть из них включает ФИО пользователей, адреса проживания, пароли, даты рождения, паспортные данные, телефоны, говорят в F.A.С.С.T. Утечки баз данных компаний, специализирующихся на розничной торговле (интернет-магазины и другие платформы для онлайн-шопинга), составили примерно 30% от общего числа утечек в 2024 году, уточнила младший аналитик департамента Threat Intelligence F.A.С.С.T. Дарья Городилова. Также жертвами злоумышленников стали российские IT-компании, страховые, энергетические, туристические и транспортные, образовательные, промышленные и медицинские компании. «В начале 2024 года в открытом доступе впервые оказались те базы, которые могли передаваться только в узком кругу злоумышленников»,— отмечает госпожа Городилова.
Милош Вагнер, замглавы Роскомнадзора, 23 февраля, цитата по ТАСС:
«Стараемся сделать так, чтобы россияне пострадали как можно меньше от утечек».
В Роскомнадзоре “Ъ” сообщили, что за первое полугодие ему поступили уведомления о незаконном распространении персональных данных от 93 операторов данных.
В первом полугодии в России больше всего от утечек пострадали промышленность, госучреждения и IT-компании, утверждает руководитель исследовательской группы Positive Technologies Ирина Зиновкина. «Стоит отметить, что утечки именно из IT-компаний зачастую приводят к взломам их клиентов, в том числе организаций из других отраслей»,— отметила она.
Приведенные цифры говорят о росте числа компаний, цифровизирующих свои сервисы, а также выходящих на рынок электронной коммерции, при том, что число кибератак не снижается, а сами компании не смогли повысить уровень кибербезопасности, считает основатель сервиса мониторинга даркнета DLBI Ашот Оганесян.
Утечки позволяют мошенникам осуществлять атаки с использованием социальной инженерии, отмечает генеральный партнер ГК Swordfish Security Юрий Сергеев. Что касается рисков для компаний, то эксперт возлагает надежды на законопроект об оборотных штрафах за утечки данных клиентов, который в начале 2024 года прошел первое чтение в Госдуме.
В конце 2023 года в Госдуму были внесены два законопроекта, ужесточающих порядок работы с персональными данными. Первый вносит поправки к КоАП и устанавливает штрафы для юрлиц в размере 0,1–3% выручки за календарный год, но не более 500 млн руб. Второй касается уголовной ответственности за саму кражу и продажу данных. Весной Минцифры предлагало смягчить условия законопроекта о штрафах ко второму чтению, как это предлагала IT-отрасль, однако администрация президента не одобрила доработанный вариант (см. “Ъ” от 22 апреля).
В Ассоциации больших данных (АБД; входят «Яндекс», «Сбер», маркетплейсы, банки и т. д.) признают, что данные клиентов для крупного бизнеса — основная ценность и компании принимают дополнительные меры для их сохранности. Однако в АБД поддерживают «разумное повышение административной ответственности», учитывая смягчающие обстоятельства и четко определенный состав правонарушения.