С момента начала СВО в России резко возросло количество утечек персональных данных. По некоторым оценкам, за 2022 год из российских компаний утекло
более 300 миллионов записей персональных данных – то есть суммарный объём утечек превысил численность населения РФ.
При анализе доступной информации об утечках оказывается, что во всех инцидентах много общего. Попробуем обобщить сведения о наиболее громких утечках в таблице:
|
№
|
Компания
|
Утекшие данные
|
Объем утечки
|
Результат
|
|
1
|
Delivery Club
|
имя, номер телефона, адрес доставки, адрес электронной почты, состав, стоимость, дата и время заказа, IP-адрес
|
2.2 миллиона заказов
|
Виновные неизвестны, компания начала внутреннее расследование
|
|
2
|
Geek Brains
|
имя, адрес электронной почты, номер телефона
|
более 200 тысяч пользователей
|
Виновные неизвестны, мер не принималось
|
|
3
|
Kari (ритейл)
|
ФИО, телефон, адрес электронной почты, дата рождения, место жительства (город и регион), номер бонусной карты
|
более 1 миллиона учётных записей
|
Виновные неизвестны, мер не принималось
|
|
4
|
Pikabu
|
логин, адрес электронной почты, номер телефона
|
более 1 миллиона учётных записей
|
Виновные неизвестны, мер не принималось
|
|
5
|
Гемотест
|
ФИО, дата рождения, адрес, номер телефона, адрес электронной почты, серия и номер паспорта, результаты анализов
|
31 миллион строк с информацией, 554 миллиона заказов
|
Виновные неизвестны, компания оштрафована на 60 тысяч рублей
|
|
6
|
Метрополис (московский ТРЦ)
|
телефон, адрес электронной почты, имя, количество бонусов, ссылки на соцсети
|
около 87 тысяч клиентов
|
Виновные неизвестны, мер не принималось
|
|
7
|
Почта России
|
номер отслеживания посылки, ФИО (или название компании) отправителя и получателя, телефон получателя, город отправителя и получателя, вес, статус, дата и время отправления
|
сведения о 10 миллионах посылок
|
Виновные неизвестны, мер не принималось
|
|
8
|
РИА «Новости»
|
имя, фамилия, логин, адрес электронной почты, профили соцсетей
|
665.6 тысячи аккаунтов, 2.2 миллиона заказов
|
Виновные неизвестны, мер не принималось
|
|
9
|
Ростелеком
|
ФИО, адрес электронной почты, телефон, IP-адрес, дата регистрации и последней активности
|
около 713 тысяч пользователей системы «Умный дом»
|
Виновные неизвестны, компания оштрафована
|
|
10
|
СДЭК
|
ID клиента, номер телефона, ФИО, адрес электронной почты, почтовый адрес
|
около 1,5 млрд строк (3 утечки)
|
Виновные неизвестны, имя, фамилия, имя пользователя, адрес электронной почты, номер телефона, Яндекс ID
|
|
11
|
Теле2
|
ФИО, номер телефона, адрес электронной почты
|
более 7 миллионов номеров
|
Виновные неизвестны, компания проводит внутреннее расследование
|
|
12
|
Туту.ру
|
фамилия, номер телефона, адрес электронной почты
|
2,6 миллиона заказов, 2,29 миллиона телефонных номеров
|
Виновные неизвестны, мер не принималось
|
|
13
|
Яндекс.Еда
|
фамилия, номер телефона, адрес доставки, комментарии к заказу, дата заказа
|
почти 50 миллионов заказов, 6,9 миллиона телефонных номеров
|
Виновные неизвестны, компания оштрафована на 60 тысяч рублей, возбуждено уголовное дело
|
|
14
|
Яндекс.Практикум
|
имя, фамилия, имя пользователя, адрес электронной почты, номер телефона, Яндекс ID
|
более 300 тысяч пользователей
|
Виновные неизвестны, компания начала внутреннее расследование
|
Основные выводы
- Во всех случаях лица, непосредственно виновные в утечках, остались безнаказанными – найти никого не удалось.
- Компании явно старались «cпустить на тормозах» случившееся – не обращались (кроме одного случая) в правоохранительные органы, не доводили до конца внутренние расследования или не обнародовали их результаты и не предпринимали никаких видимых мер, гарантирующих прекращение утечек. Вследствие этого в нескольких компаниях утечки происходили регулярно.
- Компании не были оштрафованы. Штраф в 60 тысяч рублей при миллиардных оборотах компании попросту незаметен. Ряд пострадавших клиентов, правда, обратились в суд с требованием компенсировать им ущерб от утечки. Однако их позиция выглядит проигрышной: для того, чтобы компенсировать ущерб, причинённый им мошенниками, потребовалось бы доказать прямую причинно-следственную связь между утечкой данных и деятельностью мошенников, что практически невозможно. Моральный же ущерб оценивается не высоко.
В чем же проблема?
1. Кадры
Как это ни странно, истоки проблемы обнаруживаются в кадровой работе. После изучения объявлений о вакансиях в пострадавших от утечек компаниях (были просмотрены объявления на собственных сайтах компаний, а также на сайтах HeadHunter и SuperJob) оказалось, что:
- Компании Delivery Club, Geek Brains, Kari, Метрополис, РИА «Новости», СДЭК, Туту.ру, Pikabu вообще не нуждаются в услугах специалистов по информационной безопасности – соответствующих вакансий в этих компаниях не имеется.
- Компании Гемотест, Теле2, Ростелеком (23 вакансии специалистов по ИБ, из них зарплата указана для 2), Яндекс (11 вакансий) разместили несколько односторонние объявления о вакансиях – при солидном пакете требований к соискателям в объявлениях отсутствует информация о социальном пакете и, в частности, о размере зарплаты. Вероятно, HR-специалисты в этих компаниях считают, что работа у них – само по себе достаточное вознаграждение для любого специалиста. На самом же деле квалифицированные специалисты при поиске работы рассматривают таких «котов в мешке» в последнюю очередь.
- Наконец, Почта России, хотя и подыскивает специалиста, предлагает за эту работу зарплату ниже рыночной.
Все пострадавшие компании либо предпочитают обходиться вообще без специалистов по информационной безопасности, либо с самого начала рассчитывают на услуги дешёвых недостаточно квалифицированных специалистов, которые просто не сумеют в полной мере обеспечить их безопасность. Что в таком случае может быть сделано для того, чтобы предотвратить повторную утечку?
2. Закупочная политика
Второй фактор, предрасполагающий к утечкам персональных данных – негибкая закупочная политика крупных компаний. Приобретению необходимого оборудования предшествует продолжительная процедура закупки, конкурсы, переторжки. Бюджет же компании свёрстывается, как правило, за год. В результате даже там, где имеются специалисты по информационной безопасности, они практически не имеют возможности приобрести необходимые программные и аппаратно-программные средства под потребности, именно тогда, когда они нужны. Вместо этого поставка средств защиты информации производится в лучшем случае через несколько месяцев с момента заказа. К тому же зачастую приобретаются не лучшие, а наиболее дешёвые средства защиты – ведь главным критерием победы на конкурсе является цена.
Прогноз на 2023 год
Насколько серьезно организации относятся к утечкам? Что ж, мизерные штрафы не побуждают операторов персональных данных менять ситуацию. Однако в настоящее время в Государственную думу уже внесён законопроект об оборотных штрафах за утечки персональных данных. Если этот проект будет принят (а о его принятии уже говорят и даже планируют на сентябрь 2023 года), то компании, допустившие утечку, будут подвергаться штрафам от 5 до 500 миллионов рублей. Максимальная сумма штрафа ждёт компанию, которая повторно допустила утечку данных после вступления закона в силу и нарушила несколько требований закона, например, попыталась скрыть произошедшее. Как это изменит ситуацию? Во-первых, компании гораздо серьезнее начнут относиться к выбору кандидата на проведение аудита, так как от его результатов будет зависеть, будет ли иметь выполнение требований регулятора влияние на конечную сумму штрафа. Во-вторых, компании начнут гораздо серьезнее относиться к поиску виновных и наконец начнут оценивать стоимость тех или иных данных, возможно даже страховаться от рисков утечки так как вопрос перейдет уже в понятную бизнесу финансовую плоскость. В-третьих, организации гораздо серьезнее начнут подходить к подбору персонала в отделы информационной безопасности, так как от их видения и выбора подхода к обеспечению защиты информационных активов компании будет зависеть, получит ли компания оборотный штраф.
Пока компании только готовятся (в единичных случаях) к новым условиям жизни, можно ожидать новых утечек в 2023 году.
Игорь Собецкий
Руководитель направления
«Расследование инцидентов информационной безопасности»
FBK CyberSecurity
