До 30% персональных данных утекает по вине сотрудников

Причины утечек персональных данных (ПД) из государственных информсистем (ГИС) за год изменились. Это выяснили эксперты компании «Серчинформ», опросив 1300 сотрудников госучреждений. К персональным данным относятся не только ФИО и сведения из различных документов, удостоверяющих личность и статус, но и информация из электронных аккаунтов, факты о состоянии здоровья и личных убеждениях/предпочтениях, используя которые можно установить личность человека.

Большинство утечек по-прежнему связаны с неосмотрительностью самих граждан, которым принадлежат персональные данные: в 2022 г. на них приходилось 43,6%, а в 2023 г. – 38,6%, говорится в исследовании. Респонденты признают, что пользователи стали внимательнее относиться к сохранности их ПД. Одной из основных причин утечек опрошенные считают внешние атаки на ГИС, но доля выбравших указанный вариант медленно снижается – с 32,7% в 2022 г. до 31% в 2023 г.

Выросла же доля тех, кто считает главной причиной действия сотрудников госучреждений: с 20% в 2022 г. до 30,04% в 2023 г. Это связано с ужесточением нормативного регулирования безопасности ГИС, считает эксперт «Серчинформ» Алексей Парфентьев. Национальная политика направлена на противодействие внешним атакам в части как наращивания инструментария их предотвращения, в том числе антивирусов и фаерволов, так и ускоренного перехода на использование российского программного обеспечения, уточняет он.

Сейчас госорганы используют не менее 500 информсистем. Данных отдельно по утечкам персональных данных из ГИС Роскомнадзор не приводит, а также «не комментирует опросы госслужащих». Но общее количество утечек, по данным регулятора, выросло: за первое полугодие 2023 г. их количество выросло в 4 раза в сравнении с аналогичным периодом 2022 г.

«За первое полугодие 2023 г. специалисты Роскомнадзора зафиксировали 76 инцидентов, в сеть попало около 177 млн записей о гражданах. Для сравнения: за первое полугодие 2022 г. было зафиксировано 19 фактов утечек персональных данных, в ходе которых в открытый доступ попало около 45 млн записей», – говорилось в сообщении ведомства. Роскомнадзор связывал участившиеся взломы баз данных и их сливы в публичное пространство с «частью гибридной войны, которая ведется против России».

Число утечек по вине инсайдеров выросло, подтверждает основатель компании «Интернет-розыск», эксперт инжинирингового центра SafeNet НТИ Игорь Бедеров. Один из ярких примеров – задержание в апреле 2023 г. сотрудников УВД Центрального административного округа Москвы, которые занимались пробивом ПД спецконтингента – прокуроров, судей и представителей прочих силовых ведомств в интересах украинских спецслужб, напоминает он. Число утечек действительно выросло, согласен советник по вопросам информационной безопасности FBK CyberSecurity Андрей Курило.

Количество утекших персональных данных в 2023 г. удвоилось по сравнению с прошлым годом, а объем как минимум утроился с 1 ТБ в конце 2022 г. до 3 ТБ к октябрю 2023 г., знает Бедеров. В 2023 г. объем утекших данных в денежном выражении оценивается в несколько миллиардов долларов, оценивает замдиректора Центра компетенций национальной технологической инициативы «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков.

С увеличением внимания к этому вопросу со стороны законодательства факты утечек начинают тщательнее скрывать или выступать с опровержениями, объясняет руководитель технического отдела «Айти бастион» Владимир Алтухов. В то же время внутренний нарушитель действительно чаще становится реальной угрозой в части не только распространения данных, но и работы организаций, подтверждает он.

Виновниками инсайдерских инцидентов более половины (50,7%) респондентов считают сотрудников младшей группы специальностей, говорится в исследовании «Серчинформ». У такого персонала зачастую работа может быть связана с обработкой корреспонденции, персональных данных граждан, приемом обращений. Чаще всего они допускают компрометацию служебной информации в силу недостаточного опыта или квалификации, объясняет Парфентьев. Действительно, виноват в утечках чаще всего линейный персонал или IT-службы, обладающие доступом к части информационных систем, согласен Алтухов.

В 2022 г. резко выросло количество инцидентов, вызванных действиями так называемых хактивистов (совершение противоправных действий в сфере ИКТ, мотивированное морально-этическими, политическими, религиозными убеждениями нарушителей), а в 2023 г. из-за них могло произойти до четверти (19,2%) утечек персональных данных из ГИС, говорится в исследовании.

Основная мотивация инсайдеров, имеющих доступ к ГИС, действительно деньги, согласен основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Все внутренние утечки происходят либо по конкретному заказу с рынка пробива, либо массив украденных данных затем выставляется на продажу в даркнете, указывает он. Среди причин намеренных сливов персональных данных сотрудниками в последнее время можно назвать также активизм, несогласие с проводимой политикой, работу иностранных разведок и проч., перечисляет Алтухов.

Основными каналами утечек ПД 80,3% респондентов считают интернет-ресурсы (облачные хранилища, файлообменные сервисы, социальные сети). Следом идут мессенджеры (55,2%) и электронная почта (50,4%). Также сотрудники часто используют съемные носители: телефоны и флешки, говорит коммерческий директор «Кода безопасности» Федор Дбар. Чаще всего данные утекают в виде скриншотов или фотографий, которые потом оцифровываются в массив, добавляет Бедеров.

В то же время деление на «внутренние» и «внешние» утечки условно и установить конкретных виновников достаточно сложно, обращает внимание заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов. Помимо намеренного саботажа или беспечности самих сотрудников ответственность может лежать на системных администраторах организаций (неправильные настройки приложений и систем их защиты, уязвимости проприетарного кода и т. п.), указывает он. Также собственники данных могут устанавливать слабые или повторяющиеся пароли или быть чувствительными к социнженерии, что приводит к компрометации информации, говорит он.

Впрочем, в случае введения оборотных штрафов для должностных лиц, работающих с персональными данными, такие сотрудники научатся оценивать риски и будут реже прибегать к компрометации ПД, резюмируют авторы исследования.