С января по март 2025 г. компания F6 зафиксировала 67 новых случаев публикации баз данных российских компаний, оказавшихся на андерграундных форумах и в тематических Telegram-каналах, пишет Коммерсант.
В сравнении с аналогичным периодом 2024 г. число опубликованных материалов уменьшилось на 29%: в первом квартале 2024 года было размещено 95 баз данных.
Большая часть утечек пришлась на сферу ритейла и интернет-магазины – 46%, еще 13% связаны с утечками в государственном секторе. В зоне риска также находятся ИТ-компании, интернет-сервисы, телеком и образовательные порталы, предупреждают эксперты.
В открытом доступе оказалось 99,7 млн строк пользовательских данных, в том числе чувствительная информация – ФИО, адреса, пароли, даты рождения, паспортные данные и телефонные номера.
Аналитики отмечают, большинство баз данных выложены в публичный доступ бесплатно для нанесения ущерба компаниям и их клиентам, этот тренд наблюдался и в прошлом году.
Основные мишени
Ритейл и онлайн-магазины стали главными мишенями для киберпреступников из-за сочетания нескольких ключевых факторов. По мнению депутата Госдумы Антона Немкина, «прежде всего, эти компании обладают обширными базами данных, содержащими не только стандартные персональные сведения клиентов вроде ФИО и контактной информации, но и крайне востребованную на черном рынке информацию: реквизиты платежных карт, историю покупок, предпочтения и даже геолокацию пользователей. Во-вторых, многие ритейлеры, особенно в условиях жесткой конкуренции, жертвуют безопасностью ради удобства клиентов – внедряют упрощенные процедуры авторизации, используют устаревшие системы хранения данных или практически не проверяют сторонние платежные сервисы на уязвимости. Наконец, для многих компаний в сфере ритейла, кибербезопасность – это издержки, а не необходимость. Как результат, даже крупные организации могут стать легкой добычей хакеров».
Структурная проблема
Низкий уровень информационной безопасности – структурная проблема российского бизнеса. «Основная причина – слабая кибербезопасность на фоне стремительной цифровизации. Многие компании, особенно малый и средний бизнес, экономят на защите данных, используя устаревшее ПО, не проводя аудит уязвимостей и не обучая сотрудников. По данным анализа группы компаний «Солар», в 2024 году 82% утечек в России происходили из-за ошибок сотрудников, только 18% – из-за их умышленных действий. При этом масштабы ущерба часто скрываются самими компаниями, чтобы избежать в том числе и репутационных потерь. Это создает иллюзию меньшей распространенности проблемы, чем есть на самом деле», – пояснил депутат.
Ужесточение ответственности
Прошлой осенью Президент России подписал пакет законопроектов, направленных на ужесточение ответственности за утечки данных.
С 30 мая 2025 г. вводятся оборотные штрафы за допущение утечек персональных данных. В случае первых больших утечек сведений сумма штрафа может достигать 15 млн рублей. При повторных нарушениях штрафы составят от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 25 млн рублей и не более 500 млн рублей.
По словам эксперта, вопросы безопасности должны стать приоритетом для организации любого масштаба. Экономическая логика минимизации издержек в вопросах инфобеза должна остаться в прошлом.
Поделиться:
- ВКонтакте
- Telegram
