Данные в открытом доступе
С начала этого года хакеры слили в сеть 286 млн уникальных телефонных номеров и 96 млн адресов электронной почты. Об этом в конце октября 2024 г. сообщает сервис разведки утечек данных и мониторинга даркнета Data Leakage & Breach Intelligence (DLBI).
В то же время объем утекших в интернет данных растет. За три квартала этого года в сеть слили 286 млн уникальных телефонных номеров и 96 млн адресов электронных почт. Как пишут «Известия», для сравнения, за январь–сентябрь 2023 г. было скомпрометировано лишь 213 млн уникальных клиентских записей.
Больше всего утечек зафиксировано из сектора электронной коммерции - 39% от всех попавших в открытый доступ данных, сообщили эксперты. На втором месте - аптеки и медицинские сервисы - 10%, за ними идет сектор финансовых услуг - 9% и ретейлеры - 8%.
По объему слитых данных лидирует финансовый сектор, на который пришлось 42% утекшей информации. Специалисты DLBI связывают это с многочисленными сливами из микрофинансовых организаций в начале года. Второе место по объему попавших в сеть сведений заняли развлекательные ресурсы - 28%.
Основатель DLBI Ашот Оганесян говорит, что даже при общем росте объема утечек ситуация с сохранностью чувствительных персональных данных постепенно улучшается, так как в основном в сливах фигурируют сведения небольших интернет-магазинов или информация, собранная методом парсинга. Однако, по его словам, все еще возможны утечки чувствительной информации в организациях-партнерах.
Как пояснили в СРО «Микрофинансирование и развитие», полную защиту от утечек может обеспечить только отказ от использования персональных данных, но это вряд ли возможно в сфере финансовых услуг. В аптечной ассоциации «Надежда-Фарм» же заявили о том, что не собирают персональные данные на сайте, поэтому защищены от утечек данных в интернет.
По данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), за девять месяцев этого года в России зафиксировано 110 фактов утечек персональных данных. Это на 35 меньше, чем за аналогичный период 2023 г. Чаще всего ИТ-инциденты фиксировали у компаний, работающих в сфере торговли и услуг, сообщили в ведомстве.
Обязательное информирование граждан об утечке данных в России
Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) России планирует ввести обязательное уведомление граждан о случаях утечки их персональных данных. Об этом в конце мая этого года сообщил зампред Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин. Он подчеркнул, что для снижения штрафа оператор должен также избегать отягчающих обстоятельств.
Ранее он направил в Минцифры России обращение с предложением обязать операторов информировать граждан о неправомерной передаче их персональных данных (персданных) третьим лицам, независимо от решения о добровольной компенсации. Законопроект об ужесточении санкций за утечки данных был внесен в Госдуму в декабре 2023 г. и принят в первом чтении в январе 2024 г. Документ предусматривает максимальный штраф до трех процентов от годовой выручки компании.
Минцифры подготовило поправки ко второму чтению законопроекта, предлагая снижение размера оборотного штрафа при выполнении оператором определенных условий. В частности, оператор должен ежегодно тратить средства на мероприятия по обеспечению информационной безопасности (ИБ), компенсировать убытки не менее чем 80% пострадавших граждан и соблюдать требования к защите данных, что должно быть документально подтверждено. Согласно предлагаемым поправкам, размер оборотного штрафа может быть уменьшен только при выполнении всех вышеперечисленных условий.
В этом месяце Минэкономразвития подготовило предложения к поправкам ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных, предложив кратное снижение заложенных в нем штрафов, а также смягчающие вину компаний обстоятельства. Ведомство предложило следующее снижение штрафов: если утечка затронет 1-10 тыс. субъектов персданных, установить штраф для юрлиц в размере 1,5-2 млн руб. (сейчас в законопроекте - от 3 до 5 млн руб.); 10-100 тыс. субъектов - от 2 млн до 3 млн руб. (сейчас в законопроекте - 5-10 млн руб.). За утечку персданных более 100 тыс. субъектов штраф для юрлиц предлагается установить в размере от 3 млн до 5 млн руб. (сейчас в законопроекте - от 10 до 15 млн руб.). Оборотные штрафы за повторные утечки предлагается сохранить в прежнем объеме (от 0,1% до 3% от выручки за предшествующий утечке год либо размера капитала кредитной организации на дату инцидента). Но максимальный размер штрафа за рецидив предлагается снизить в 10 раз - до 50 млн с 500 млн руб. в принятом в первом чтении законопроекте, а минимальный - до 5 млн руб. с 15 млн руб.
Кроме того, Минэкономразвития предложило выделить в законопроекте ответственность за утечку биометрических данных и персональных данных специальной категории (данные о расовой, национальной принадлежности, состоянии здоровья, религиозных убеждениях и др.). Так, за утечку биометрических персональных данных, затронувшую 0,5-5 тыс. субъектов персданных, на юрлиц предлагается накладывать штраф в размере от 3 млн до 5 млн руб.; от 5 тысяч до 50 тыс. субъектов - от 5 млн до 7 млн руб..; более 50 тыс. субъектов персданных - от 7 млн до 10 млн руб. За утечку персданных специальной категории, затронувшую 0,5-5 ты. субъектов, предлагается установить штраф для юрлиц в размере 2-3 млн руб.; за утечку специальной категории персданных 5-50 тыс. субъектов - от 3 млн до 5 млн руб.; более 50 тыс. субъектов - от 5 млн до 7 млн руб. Повторная утечка биометрических и специальных персданных может повлечь оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год, либо капитала банка на дату утечки, но не менее 10 млн руб. и не более 60 млн руб.
При этом на малый и средний бизнес, а также социально ориентированные некоммерческие организации, допустившие утечку персданных, предлагается накладывать штрафы в размерах, предусмотренных для должностных лиц. По мнению Минэкономразвития, заложенные сейчас в законопроекте штрафы создают риски приостановления и прекращения деятельности малых и средних предприятий (МСП) в случае привлечения к административной ответственности за утечки.
В чем опасность утечки данных
Утечка данных происходит, когда неавторизованные лица получают доступ к конфиденциальным данным. Для защиты конфиденциальной информации частные лица и компании используют брандмауэры, шифрование и ИТ-инструменты для редактирования данных. Однако утечка данных все равно может произойти, если эти инструменты не применяются должным образом или если доступ к ним получают не те люди. Такие утечки могут поставить под угрозу безопасность и конфиденциальность частных лиц и бизнес, а также привести к многомиллионным финансовым потерям.
Поскольку большинство из нас ежедневно пользуются интернетом для доступа к сайтам компаний, заказа товаров и управления своими банковскими счетами, легко понять, что утечка данных может доставить неудобства. Однако могут быть и более серьезные последствия, чем создание поддельного профиля в Facebook* (принадлежит организации Meta, которая признана экстремистской на территории России) или невозможность получить доступ к своему аккаунту в течение нескольких дней.
Мошенничество с кредитными картами - один из самых распространенных видов кражи личных данных, связанных с утечкой информации. Когда конфиденциальные данные, такие как номера кредитных карт, даты истечения срока действия и коды безопасности, оказывается под угрозой, злоумышленники могут использовать эти данные для совершения мошеннических покупок в интернете или снятия наличных в банкоматах. Эти незаметные операции могут оставаться незамеченными до тех пор, пока владелец карты не проверит выписку по кредитной карте спустя несколько недель. Сообщить о таких мошеннических операциях может быть непросто, поскольку многие карточные компании не будут покрывать несанкционированные расходы, если владелец карты не сообщил о нарушении в течение определенного срока.
Кража личности происходит, когда человек использует личные данные другого человека для совершения мошенничества или других преступлений. Это основной риск после утечки данных, поскольку преступники могут использовать похищенную информацию для открытия новых банковских счетов на имя жертвы, оформления кредитов или ипотеки, а также для отправки поддельных налоговых документов в государственные органы. Кражу личных данных бывает трудно обнаружить, поскольку она может происходить из нескольких источников, включая финансовые счета и медицинские карты. В итоге жертва может оказаться ответственной за расходы, связанные с кражей, и даже быть обвиненной в преступлениях, совершенных человеком, укравшим ее личность.
Даже если ваши персональные данные не были украдены, хакеры все равно могут использовать ваши данные, чтобы украсть деньги с ваших банковских счетов или открыть новые счета кредитных карт. В отличие от мошенничества с кредитными картами, которое затрагивает только пользовательский кредитный счет, связанный с картой, кража финансовой идентификации позволяет преступнику получить прямой доступ ко всем средствам-жертвы. Он может перевести ваши средства с банковского счета на другие счета или получить аванс наличными под высокие проценты. Поскольку доказать факт взлома или фишинга бывает непросто, а расследование может занять месяцы, жертвы часто остаются один на один со своими финансовыми потерями или непогашенными остатками по кредитам.
Даже если пользователи не понесут никаких финансовых потерь из-за действий хакера, Ф.И.О.-жертвы все равно может оказаться замешанным в преступной деятельности. Например, если у вора есть доступ к вашей частной медицинской информации, он может использовать ее для подачи заявок на медицинские услуги от вашего имени или для получения лекарств по рецепту в незаконных целях. Пользовательские частные данные также могут быть опубликованы в интернете. Подробности вашей личной жизни, которые вы не хотите, чтобы стали достоянием общественности, могут быть раскрыты. Это может испортить вашу репутацию, привести к проблемам в личной жизни и даже лишить вас ценной профессиональной возможности, которой вы добивались.
В случае если личные данные пользователя были украдены, вам придется решать этот вопрос с властями, а также с различными финансовыми учреждениями. Этот процесс может занять много времени, и он может оказаться сложным, если вы не знакомы с правоохранительными органами или судопроизводством. Жертва даже может обнаружить, что ей грозит уголовное наказание, хотя вы всего лишь жертва утечки данных, виновного редко удается найти. Это означает, что в случае уголовного преследования на человека может лечь все судебные издержки, связанные с защитой вашей личности и доказательством вашей невиновности. Эти расходы могут быстро стать непомерными и причинить человеку или его бизнесу еще больший стресс.
Интернет - прекрасное место для общения и развлечений, но важно соблюдать безопасность при его использовании. Следите за обновлением своего компьютера, избегайте подозрительных сайтов и защищайте свою личные данные, чтобы предотвратить их утечку.
*Facebook (принадлежит организации Meta, которая признана экстремистской на территории России).