Количество утечек данных в крупных компаниях выросло в 1,5 раза

За первые четыре месяца 2023 г. произошло 75 утечек из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с аналогичным периодом прошлого года, когда было зафиксировано 49 утечек, сообщил «Ведомостям» гендиректор F.A.C.C.T. (бывшая Group-IB в России и СНГ) Валерий Баулин. Тренд подтвердили основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян и аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц. По их оценке, количество утечек в I квартале возросло в 2 и 2,5 раза соответственно.

Оказавшиеся в сети данные принадлежали в основном крупнейшим финансовым и страховым компаниям, госструктурам, а также компаниям в сфере информационной безопасности, перечислил Баулин, не называя конкретных жертв. По словам Оганесяна, в числе крупнейших похищений информации в 2023 г. оказались двойная утечка данных бонусной программы «Сберспасибо» (суммарно 52,5 млн записей), сети магазинов «Спортмастер» (46 млн записей) и интернет-аптеки zdravcity.ru (8,9 млн записей). В апреле 2023 г., по данным DLBI, произошли утечки данных из сервиса по продаже билетов kassy.ru (4,5 млн уникальных e-mail и столько же телефонов), интернет-магазина zoloto585.ru (9,9 млн записей) и страховой компании «Согаз» (8,3 млн записей).

Несмотря на то что утекать данные стали чаще, общее количество строк в утекших базах данных за четыре месяца 2023 г. снизилось и составило примерно 65 млн, заметил Баулин. Для сравнения: в тот же период 2022 г. их число составляло 100 млн, добавил он.

При этом если в 2022 г. активизировались хактивисты, которые крали данные пользователей и компаний по политическим мотивам и выкладывали данные в сеть бесплатно, то в 2023 г. злоумышленники начали возвращаться к прежней тактике, отметил Баулин. Они продают базы данных или зашифровывают и прибегают к шантажу жертвы с целью получения выкупа, отметил эксперт.

В начале 2022 г. преобладали утечки из крупных сервисов доставки, напомнил Оганесян. Речь идет, в частности, об утечке «Яндекс.Еды», о которой компания заявила 1 марта 2022 г. Позже в том же месяце злоумышленники опубликовали интерактивную карту с данными пользователей сервиса, где можно было найти их имена, телефоны, адреса и информацию о заказах. В мае карта пополнилась данными из утечек Delivery Club, СДЭК и других компаний. В первой трети 2023 г. по сравнению с январем – апрелем 2022 г. данные существенно чаще утекали из ритейла, но реже из IT-компаний и госсектора, добавил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.

Одна из причин роста количества инцидентов – прекращение доступа к обновлениям для части зарубежного ПО, рассуждает заместитель генерального директора холдинга Т1 по технологическому развитию Антон Якимов. Это провоцирует большой объем новых уязвимостей и эксплойтов (подвид вредоносных программ. – «Ведомости»), которые были взяты на вооружение злоумышленниками, объясняет он. Помимо этого утечки, случавшиеся ранее, позволили хакерам лучше понять профиль и интересы пользователя, рассуждает технический директор Innostage Антон Кузьмин. Этот фактор повышает вероятность успеха фишинговых атак, говорит он.

Но большинство утечек по-прежнему основаны не на возрастающих возможностях киберпреступников, а на политически мотивированных инсайдерах, заметил директор департамента по информационной безопасности и специальным проектам IVA Technologies Евгений Родыгин. Если раньше злоумышленники пытались проникнуть в информационные системы и украсть данные «снаружи», то сейчас это часто делают инсайдеры, которые руководствуются прежде всего политическими убеждениями, согласился с ним руководитель отдела аналитики «Сёрчинформа» Алексей Парфентьев. Это, в свою очередь, привело к снижению ценности данных, содержащихся в утекших базах, добавил он.

«Участившиеся взломы баз данных и их сливы в публичное пространство – часть гибридной войны, которая ведется против России, – заявил «Ведомостям» представитель Роскомнадзора (РКН). – Характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам».

Так как оборотные штрафы за утечки персональных данных до сих пор не введены, многие предприниматели так и не озаботились защитой информационных активов своих компаний, заметил руководитель направления «Расследование инцидентов информационной безопасности» FBK CyberSecurity Игорь Собецкий. Соответствующий законопроект, который обсуждается с весны 2022 г., предполагает введение в КоАП поправок, по которым компания, допустившая утечку данных, может быть оштрафована на 1% годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб.

«Ведомости» направили запрос в «Сбер», «Спортмастер», zdravcity.ru, kassy.ru, zoloto585.ru.

Уточнение. Представитель «Согаза» уже после публикации материала сообщил, что угрозы персональным данным нет.