Утечки данных в российском бизнесе за 2023 год: тенденции и меры предупреждения

В 2023 году РКН зафиксировал на 17% больше случаев утечки данных, чем годом ранее — в открытый доступ попало более 300 млн записей с персональной информацией о клиентах российских компаний. В статье разбираюсь, как бизнес может уменьшить риски в наступившем году.

***

Чтобы проанализировать тенденции в утечках, вспомню о нескольких крупных «сливах» за прошлый год.

• СберСпасибо. Бонусная программа зелёного банка подверглась хакерским атакам дважды за март. Суммарно утечки раскрыли почти 52 млн уникальных номеров телефона, 3,2 млн email-адресов, а также хешированные данные карт и даты рождения клиентов. В первом файле были записи с июля 2015 по июнь 2022 года, в следующем с июня 2022 по январь 2023.
• Спортмастер. В результате утечек у крупнейшего спортивного ритейлера в открытый доступ попали почти 46 млн уникальных номеров — мобильных и домашних, 13,4 млн электронных адресов, ФИО, адреса, даты рождения и пол клиентов. Большая часть данных относится к 2010-2013 годам, однако встречаются и относительно свежие записи 2022 года.
• Kassy.ru. Хакеры слили в сеть 13,9 млн записей с данными о зарегистрированных пользователях и заказах с онлайн-сервиса продажи билетов на городские события. Были раскрыты ФИО, даты рождения, города, пол, email, телефоны, хешированные пароли и другие данные об аккаунтах на kassy.ru с 2018 по 2023 годы. В разбитых по городам файлах с данными о заказах были ФИО, телефон, email, а также даты и идентификаторы заказов.
• Zdravcity.ru. Утечка раскрыла данные о клиентах интернет-аптеки — 8,9 млн уникальных номеров и 3,4 млн email-адресов, а также информацию о датах и суммах покупок, адресах аптек и другие.
• СОГАЗ. В открытый доступ попала информация о пользователях, зарегистрированных на сайте страхового общества. В файле 8,3 млн записей с данными из CMS Bitrix: логины, хешированные пароли, ФИО, даты рождения, места работы некоторых пользователей, а также уникальные контактные данные: 7,8 млн номеров и 5,4 млн email

Как видим, утечки происходят в финансах, здравоохранении, ритейле, развлечениях — в сферах, в которые фигурируют данные о доходах или тратах. Это неслучайный тренд: хакеры и покупатели ворованных персональных стремятся как можно быстрее монетизировать информацию, а выгоднее и проще это сделать с данными о доходах.

Условно все персональные данные, которые интересуют мошенников, можно разделить на 3 категории:

• Финансовые — прямо указывают на определенный высокий доход человека: например, статус VIP-клиента в банке, страховой полис на дорогую машину, покупки на большую сумму и др.
• Социально-демографические — позволяют «обогатить» знания о человеке и увеличить влияние тех, кто получил эти данные. Яркий пример — крупная утечка данных Яндекс Еды в 2022 году, которая вскрыла адреса клиентов, на которые они оформляли доставку.
• Авторизационные — содержат логины, а иногда, к сожалению, и пароли пользователей интернет-сервисов. Эти данные используют для взлома и неправомерного использования ИТ-систем от имени пользователя.

Мошенники выбирают те или иные данные в зависимости от цели: это может быть продажа данных, взлом системы и т.д. Как уже говорил выше, всё выше спрос на финансовую информацию, однако, чаще в слитых базах оказываются данные разных типов, включая информацию о днях рождения и контактах клиентов.

Меры по организации хранения и защиты персональных данных разделяются на внутренние и внешние.

Внутренние меры, которые касаются самой компании и её сотрудников:

• Настройте все классические системы информационной безопасности. Используйте разные сети для разных задач, межсетевые экраны, распределение доступа пользователей к серверам с привязкой к конкретным устройствам.
• Настройте двухфакторную авторизацию по разным каналам. В первую очередь это касается пользователей, у которых есть расширенные права на использование приложений с базами данных клиентов.
• Внедрите системы обнаружения вторжений (IDS). Это ПО, которое в постоянном режиме отслеживает различные транзакции к приложениям и базам данных и блокирует их в случае нестандартных ситуаций. Например, когда таблица слишком долго скачивается из баз данных, система выдает сигнал оператору или сама автоматически блокирует такую транзакцию.
• Работайте с персоналом. Сотрудники компании должны знать, что они могут делать с данными, как именно с ними работать, а также какую ответственность (с точки зрения УК РФ) будут нести, если они попытаются распространить их в даркнете. Работодатели должны просить сотрудников подписывать документы по ответственности за работу с данными.

Внешние меры сложнее, потому что контролировать своих контрагентов и партнёров тяжело. Тем не менее, есть действия, которые снизят риск утечки и помогут быстро их обнаружить, чтобы минимизировать последствия:

• Внимательно выбирайте подрядчиков. Найдите и изучите политику компании по работе с персональными данными, выясните, есть ли информация об утечках в проектах этого партнера.
• Указывайте ответственность партнёра за хранение и защиту переданных ему ПД. Прописывайте все условия сотрудничества, в том числе потенциальные штрафы и убытки в случае утечки с его стороны.
• Проводите аудит информационной безопасности подрядчика. Этот долгий и дорогой способ подходит для долгосрочных партнёрств.
• Вставляйте уникальные «трассировочные» строки в передаваемые БД. В случае утечки по этой строке можно будет точно определить, кто слил данные.
• Обезличивайте данные. В самом крайнем случае перед передачей партнёру ПД их можно обезличить.

От сливов данных страдают не только компании и их репутация, но и сами пользователи, оставившие данные. К сожалению, с большой вероятностью те или иные ваши персональные данные в ближайшее годы утекут — об этом свидетельствует растущая статистика инцидентов. Поэтому будьте готовы и примите все возможные меры безопасности. Вот несколько базовых рекомендаций по защите персональных данных:

• Внимательно выбирайте компанию, в которую передаются данные. Особенно это касается финансовых и банковских организаций — риски потерь там выше. Если есть возможность, посмотрите историю утечек организаций и изучите, какие меры по защите данных принимает компания.
• Читайте все документы, которые подписываете. Это касается соглашений и договоров — в них наверняка есть пункты про передачу данных, которые нужно подтвердить вашей подписью.
• Оставляйте минимум персональных данных. Если можно оставляйте только один контакта (телефон или email), или не указывайте фамилию, адрес и другие данные, если это не обязательно.
• Требуйте от компании получить от вас согласие на использование ПД. Согласие может быть письменным (ваша подпись в физическом документе) или электронное (галочка в чек-боксе на сайте и двойное подтверждение). В противном случае данные будут использоваться без вашего согласия безнаказанно.

Особую бдительность стоит проявить бизнесу, связанному со сферой финансов. Внимательно выбирайте поставщиков, сотрудников и не экономьте на юридической поддержке бизнеса.