Эксперты компании Digital Security проанализировали 250 утечек персональных данных, которые были зафиксированы на территории России в 2019 и 2020 годах. Оказалось, что наиболее крупная из них содержала 880 млн. строк персональных данных. При этом наиболее рискованными отраслями по утечкам являются следующие: интернет-магазины, банки, страховые компании и медицинские учреждения. По оценкам экспертов базы из разных секторов имеют разную цену — данные банковского сектора о физических лицах-клиентах банка стоит от 5 до 35 тыс.руб, а информацию об абонентах мобильных операторов можно приобрести от 400 руб. до 45 тыс. руб.
Даркнет и персональные данные
Основной категорией персональных данных является ФИО — оно содержится в 88% всех утекших базах. Менее популярные категории следующие: 51% — электронная почта и телефоны, 33% — домашний адрес пользователя, 10% — паспортные данные и только 5% — учетные данные от информационных систем. Ворованные сведения злоумышленники продают через специальные сайты в так называемом Даркнете — черных закоулках Интернета. Покупают их в основном мошенники, которые с помощью различных техник социальной инженерии провоцируют жертв переводить им свои деньги или другими путями вымогают ценности. Правда, ни объема рынка персональных данных, ни объема мошеннических операций, спровоцированных утечками указанных персональных данных, в отчете нет.
В качестве рекомендаций по защите своих персональных данных эксперты предлагают довольно банальные советы: использовать сложные пароли и никому не сообщать их, проверять утекли ли ваши данные на специальном ресурсе (и это не шутка), не ходить по ненадежным сайтам и ссылкам в письмах и регулярно обновлять свое ПО. Вот только как эти советы отнести к наиболее популярным данных — ФИО — не совсем понятно. Выбирать сложные имена при рождении младенцев? Для полноты картины можно было бы добавить еще два банальных совета: думать головой и проверять данные, присылаемые мошенниками — обычно это спасает от социальной инженерии.
«Оговоримся, что базы данных со временем устаревают, — сказано в отчете. — Тем не менее, утекшая информация довольно долго представляет угрозу, ведь люди не часто меняют номер телефона и паспорт, не говоря уже об имени, фамилии и месте регистрации. Некоторые базы данных оказываются открытыми миру повторно. Это говорит о том, что владельцы не уделяют должного внимания заботе о собственной безопасности и безопасности данных своих клиентов или сотрудников».
Видимость защиты ИСПДн
Опубликованный отчет показывает, что закон №152-ФЗ «О защите персональных данных» в отличии от GDPR не очень работает, поскольку мы не видели информации о 250 уголовных делах, заведенных против владельцев ИСПДн с утекшими персональными данными. В то время как штрафы за разглашение информации по GDPR выписываются регулярно. И хотя ущерб от утечки имен, телефонов и адресов электронной почты сложно компенсировать подобными штрафами, тем не менее компании за рубежом хотя бы боятся подобных штрафов и стараются защитить свои базы данных.
В России же закон не предполагает наказание за утекшую базу данных, но только за несоблюдение требований регуляторов. И даже наоборот — защищает те компании, которые соблюли все требования регуляторов, а данные все-равно упустили. Именно поэтому требования соблюдают формально и не стремятся реально что-то защищать — поэтому и отмечаются повторные утечки баз. Граждане, которые пострадали от утечки персональных данных, вынуждены подавать заявление на конкретных мошенников, а не на компании, которые утечку допустили, поскольку компания тут же показывает сертификат ФСТЭК и аттестацию ИСПДн, что как бы снимает с нее ответственность — они якобы сделали, что могли. Понятно, что мошенников найти сложнее, чем операторов персональных данных, поэтому закон и не приносит нужного эффекта. Так что при существующем законодательстве и правоприменительной практике утечки будут продолжаться, а подобные отчеты будут и дальше публиковаться — у всех будет работа.
