Компании стали чаще скрывать утечки персональных данных

Количество объявлений об утечках данных пользователей в 2023 г. уменьшилось на 8% по сравнению с 2022 г., при этом количество опубликованных строк пользовательских данных в 2023 г. увеличилось на 24% и составило 342 млн, следует из статистики команды сервиса Kaspersky Digital Footprint Intelligence. Также на 17,5% год к году увеличилось количество опубликованных записей, содержащих пароли.

По статистике Kaspersky Digital Footprint Intelligence, за прошлый год было зафиксировано 155 случаев публикаций значимых баз данных российских компаний. Чаще всего размещенные на специализированных площадках сообщения указывали на утечки из организаций в сфере ритейла, интернет-сервисов, рассказал аналитик сервиса Игорь Фиц. Заметный рост публичных инцидентов, связанных с утечками информации в 2023 г., произошел в сферах финансов и здоровья, добавил он.

Утечка конфиденциальной информации происходила в каждой второй успешной атаке на организации России в 2023 г., говорит руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Но объявлений об утечках стало меньше, так как часть их все еще скрывается: несмотря на закон, обязывающий оператора сообщать об утечке, эффективного механизма контроля и наказания за нарушения пока нет, поясняет заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. «Компании готовятся выводить обработку персональных данных (ПД) на какие-то сторонние аффилированные компании с небольшим оборотом, репутация которых не играет ни для кого никакой роли. Либо договариваться за спиной со взломщиками, чтобы те не публиковали данные сливов и не дискредитировали эти компании, – считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. – Такие тенденции существуют, и поэтому число объявлений может снижаться».

Ажиотаж вокруг утечек стал менее активным, отмечает руководитель сервиса аналитики и оценки цифровых угроз ETHIC ГК Softline Константин Мельников. По его словам, злоумышленники все чаще стараются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о нарушении безопасности. «Таким образом, количество утечек может увеличиваться, а сам подход к их монетизации и раскрытию может меняться в сторону более скрытых и выгодных для мошенников методов», – считает эксперт.

По словам старшего эксперта по защите бренда Angara Security Виктории Варламовой, киберпреступники начали использовать аргумент «у вас произошла утечка данных» для шантажа и угрозы репутации бизнеса, даже если утечки данных на самом деле нет. «Если законопроект об оборотных штрафах будет принят, то велики риски, что этот аргумент станет трендом 2024 г.», – предполагает она.

Законопроект об оборотных штрафах за утечку ПД обсуждается с весны 2022 г. 23 января 2024 г. он был принят Госдумой в первом чтении. Сейчас компании, допустившие утечку ПД, штрафуются на 100 000–300 000 руб. согласно ч. 1 ст. 13.11 КоАПа. Если законопроект будет принят, то за первый случай утечки данных компании будет назначен штраф в размере от 3 млн до 15 млн руб. в зависимости от количества записей, оказавшихся в открытом доступе. За повторные утечки компаниям будет грозить оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн руб.

В 2023 г. одной из основных площадок для сделок в отношении слитых баз ПД стал Telegram, говорит Варламова, спрос на базы, которые содержат персональные данные (e-mail и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан, вырос на 19%. Кроме того, на 29% вырос объем предложения баз данных, что подтверждает отраслевую статистику по приросту числа утечек и массива данных, добавляет Варламова.

При этом количество строк пользовательских данных, оказавшихся в публичном доступе, действительно увеличилось год к году, подтверждает Мельников. По словам Бедерова, это связано с тем, что с конца февраля 2022 г. больше атаковали при помощи DDoS-атак, стремясь скорее нарушить работу инфраструктуры на территории России, чем просто воровать данные. 2023 год отметился уже переходом в бизнес, где стали не только совершать атаки, нарушающие работу инфраструктуры, но по большей части воровать данные и внедрять вредоносное и иное опасное программное обеспечение, поясняет он.

Но точное количество утечек сложно определить из-за недостатка данных о несанкционированных доступах, добавляет Мельников. Также, по его словам, невозможно определить в каждом случае, является ли утечка, например, сгенерированной или скомпилированной из ранее утекших данных. По данным «Инфосистемы джет», при оказании сервиса мониторинга внешних цифровых угроз информация по корпоративным учетным записям обнаруживается в 98,5% случаев и многие связки «логин – пароль» все еще актуальны и могут быть использованы для несанкционированного доступа, рассказал представитель компании.

По мнению опрошенных «Ведомостями» экспертов, больше всего за 2023 г. от кражи ПД страдали медицинские учреждения, финансовая сфера и госсектор. В ряде случаев утекали данные сотрудников и партнеров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов, уточняет Варламова. Атаки с кражей данных потихоньку начинают осуществляться в отношении региональных и законодательных органов власти, учебных заведений и небольших интернет-магазинов, говорит Бедеров. «Связано это с тем, что крупный бизнес, госсектор позаботились об обеспечении информационной безопасности и вектор атак сместился на более-менее незащищенный сегмент российского интернета», – поясняет он. Это подтверждают данные центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», согласно которым лидерами по количеству инцидентов в 2023 г. стали представители электронной коммерции и сферы услуг.

Согласно данным «Инфосистемы джет» за 2023 г., более 90% анализируемых компаний сталкивались с утечками корпоративных учетных записей. При этом у 72% компаний найдены на периметре критичные уязвимости с публичными эксплойтами, отметили в компании. До тех пор пока не изменится ландшафт внешних угроз, гарантировать снижение количества утечек данных невозможно, считает руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы джет» Руслан Амиров.

Планируемый к принятию законопроект об оборотных штрафах, безусловно, сыграет свою роль в контексте защиты персональных данных клиентов, но вряд ли стоит рассматривать его как панацею, говорит Варламова. Так как помимо утечек информации компании сталкиваются со взломами через подрядчиков, внедрением вредоносного ПО, которое зачастую не используется преступниками в моменте, а просто ждет своего часа, уязвимостями веб-приложений и внешнего периметра, отмечает она.