Утечки данных в российском бизнесе за 2023 год: тенденции и меры предупреждения

В 2023 году РКН зафиксировал на 17% больше случаев утечки данных, чем годом ранее — в открытый доступ попало более 300 млн записей с персональной информацией о клиентах российских компаний. В статье разбираюсь, как бизнес может уменьшить риски в наступившем году.

Утечки данных в российском бизнесе за 2023 год: тенденции и меры предупреждения

***

Что утекло в 2023 году

Чтобы проанализировать тенденции в утечках, вспомню о нескольких крупных «сливах» за прошлый год.

  • СберСпасибо. Бонусная программа зелёного банка подверглась хакерским атакам дважды за март. Суммарно утечки раскрыли почти 52 млн уникальных номеров телефона, 3,2 млн email-адресов, а также хешированные данные карт и даты рождения клиентов. В первом файле были записи с июля 2015 по июнь 2022 года, в следующем с июня 2022 по январь 2023.
  • Спортмастер. В результате утечек у крупнейшего спортивного ритейлера в открытый доступ попали почти 46 млн уникальных номеров — мобильных и домашних, 13,4 млн электронных адресов, ФИО, адреса, даты рождения и пол клиентов. Большая часть данных относится к 2010-2013 годам, однако встречаются и относительно свежие записи 2022 года.
  • Kassy.ru. Хакеры слили в сеть 13,9 млн записей с данными о зарегистрированных пользователях и заказах с онлайн-сервиса продажи билетов на городские события. Были раскрыты ФИО, даты рождения, города, пол, email, телефоны, хешированные пароли и другие данные об аккаунтах на kassy.ru с 2018 по 2023 годы. В разбитых по городам файлах с данными о заказах были ФИО, телефон, email, а также даты и идентификаторы заказов.
  • Zdravcity.ru. Утечка раскрыла данные о клиентах интернет-аптеки — 8,9 млн уникальных номеров и 3,4 млн email-адресов, а также информацию о датах и суммах покупок, адресах аптек и другие.
  • СОГАЗ. В открытый доступ попала информация о пользователях, зарегистрированных на сайте страхового общества. В файле 8,3 млн записей с данными из CMS Bitrix: логины, хешированные пароли, ФИО, даты рождения, места работы некоторых пользователей, а также уникальные контактные данные: 7,8 млн номеров и 5,4 млн email

Как видим, утечки происходят в финансах, здравоохранении, ритейле, развлечениях — в сферах, в которые фигурируют данные о доходах или тратах. Это неслучайный тренд: хакеры и покупатели ворованных персональных стремятся как можно быстрее монетизировать информацию, а выгоднее и проще это сделать с данными о доходах.

Поэтому взломы любых ИТ-систем сменились тенденцией к похищению персональных данных из финансовых структур и информации о покупках из крупных сетей магазинов — эти данные косвенно свидетельствует о доходах.

Какие персональные данные нужны мошенникам

Условно все персональные данные, которые интересуют мошенников, можно разделить на 3 категории:

  • Финансовые — прямо указывают на определенный высокий доход человека: например, статус VIP-клиента в банке, страховой полис на дорогую машину, покупки на большую сумму и др.
  • Социально-демографические — позволяют «обогатить» знания о человеке и увеличить влияние тех, кто получил эти данные. Яркий пример — крупная утечка данных Яндекс Еды в 2022 году, которая вскрыла адреса клиентов, на которые они оформляли доставку.
  • Авторизационные — содержат логины, а иногда, к сожалению, и пароли пользователей интернет-сервисов. Эти данные используют для взлома и неправомерного использования ИТ-систем от имени пользователя.

Мошенники выбирают те или иные данные в зависимости от цели: это может быть продажа данных, взлом системы и т.д. Как уже говорил выше, всё выше спрос на финансовую информацию, однако, чаще в слитых базах оказываются данные разных типов, включая информацию о днях рождения и контактах клиентов.

Как защитить системы от взломов

Меры по организации хранения и защиты персональных данных разделяются на внутренние и внешние.

Внутренние меры, которые касаются самой компании и её сотрудников:

  • Настройте все классические системы информационной безопасности. Используйте разные сети для разных задач, межсетевые экраны, распределение доступа пользователей к серверам с привязкой к конкретным устройствам.
  • Настройте двухфакторную авторизацию по разным каналам. В первую очередь это касается пользователей, у которых есть расширенные права на использование приложений с базами данных клиентов.
  • Внедрите системы обнаружения вторжений (IDS). Это ПО, которое в постоянном режиме отслеживает различные транзакции к приложениям и базам данных и блокирует их в случае нестандартных ситуаций. Например, когда таблица слишком долго скачивается из баз данных, система выдает сигнал оператору или сама автоматически блокирует такую транзакцию.
  • Работайте с персоналом. Сотрудники компании должны знать, что они могут делать с данными, как именно с ними работать, а также какую ответственность (с точки зрения УК РФ) будут нести, если они попытаются распространить их в даркнете. Работодатели должны просить сотрудников подписывать документы по ответственности за работу с данными.

Внешние меры сложнее, потому что контролировать своих контрагентов и партнёров тяжело. Тем не менее, есть действия, которые снизят риск утечки и помогут быстро их обнаружить, чтобы минимизировать последствия:

  • Внимательно выбирайте подрядчиков. Найдите и изучите политику компании по работе с персональными данными, выясните, есть ли информация об утечках в проектах этого партнера.
  • Указывайте ответственность партнёра за хранение и защиту переданных ему ПД. Прописывайте все условия сотрудничества, в том числе потенциальные штрафы и убытки в случае утечки с его стороны.
  • Проводите аудит информационной безопасности подрядчика. Этот долгий и дорогой способ подходит для долгосрочных партнёрств.
  • Вставляйте уникальные «трассировочные» строки в передаваемые БД. В случае утечки по этой строке можно будет точно определить, кто слил данные.
  • Обезличивайте данные. В самом крайнем случае перед передачей партнёру ПД их можно обезличить.

Например, для запуска таргетированной рекламы в Stream Target клиенты подбирают аудиторию среди абонентов четвёрки мобильных операторов, которые дали согласие на получение рекламы. Но операторы передают на платформу номера в обезличенном виде, поэтому они не доступны ни пользователю, ни сервису.

Как пользователю защитить свои персональные данные

От сливов данных страдают не только компании и их репутация, но и сами пользователи, оставившие данные. К сожалению, с большой вероятностью те или иные ваши персональные данные в ближайшее годы утекут — об этом свидетельствует растущая статистика инцидентов. Поэтому будьте готовы и примите все возможные меры безопасности. Вот несколько базовых рекомендаций по защите персональных данных:

  • Внимательно выбирайте компанию, в которую передаются данные. Особенно это касается финансовых и банковских организаций — риски потерь там выше. Если есть возможность, посмотрите историю утечек организаций и изучите, какие меры по защите данных принимает компания.
  • Читайте все документы, которые подписываете. Это касается соглашений и договоров — в них наверняка есть пункты про передачу данных, которые нужно подтвердить вашей подписью.
  • Оставляйте минимум персональных данных. Если можно оставляйте только один контакта (телефон или email), или не указывайте фамилию, адрес и другие данные, если это не обязательно.
  • Требуйте от компании получить от вас согласие на использование ПД. Согласие может быть письменным (ваша подпись в физическом документе) или электронное (галочка в чек-боксе на сайте и двойное подтверждение). В противном случае данные будут использоваться без вашего согласия безнаказанно.

Выводы

Особую бдительность стоит проявить бизнесу, связанному со сферой финансов. Внимательно выбирайте поставщиков, сотрудников и не экономьте на юридической поддержке бизнеса.

55
Начать дискуссию