Журнал "Information Security/ Информационная безопасность" #4, 2020

• 9 ПРАВО И НОРМАТИВЫ www.itsec.ru Перебирая все утечки, информация о которых стала публичной, мы видим, что только в 6% случаев они касались относи- тельно безобидных данных, достаточных лишь для идентификации пользователей на конкретном сайте. В случаях с госу- дарственными и финансовыми порталами критичность изначально максимальная: даже если злоумышленник не сможет воспользоваться аккаунтом (из-за исполь- зования двухфакторной аутентификации), сумма персональных и конфиденциальных данных может быть использована в мошеннических целях. Для коммерческих порталов риски увеличиваются прямо про- порционально объему заполненной поль- зователем анкеты. Зачастую анкетные данные содержат избыточное количество сведений, которые могут быть использо- ваны мошенниками для поэтапной атаки. Еще печальнее, что остальные 94% утечек касаются персональных и платеж- ных данных. Затронутыми оказываются данные о здоровье, коммерческая тайна, нарушается тайна переписки. Это чревато большими последствиями, самое опасное из которых – внимание мошенников. Чем больше информации о человеке оказы- вается у них в арсенале, тем вероятнее, что он станет жертвой. Примерно треть случаев компромета- ции данных произошла по вине госслу- жащих. Это в том числе самые непри- ятные утечки: информация о заболевших COVID, нарушителях режима самоизоля- ции, участниках онлайн-голосования. В очередной раз мы также получили напоминание о том, чего стоит коммер- ческая тайна, когда в даркнете обнару- жилась 7 полная база сделок участников внешнеэкономической деятельности за семь лет. Из официального сообщения прокуратуры стало известно, что утекла вся информация: полные декларации всех участников внешнеэкономической деятельности России, сведения об оформ- ленных товарах с указанием номеров деклараций, ИНН отправителя, получа- теля, декларанта, страны происхождения товаров, номера транспортных средств, ФИО, контактные телефоны, а также све- дения о рисках. Завершающий штрих к любому дай- джесту об утечках – это сканы паспортов, медкарт или личных дел, по халатности выброшенные на мусорную свалку. 2020 год не стал исключением: подходя- щая свалка обнаружилась 8 в Рязани, где страховщик отправил в мусорку ксероко- пии паспортов, водительских прав, стра- ховых полисов, рукописных заявлений. Документы на свалке – это, пожалуй, и есть самая лучшая иллюстрация ситуации, которая складывается сегодня с данными. Какие бы здравые предложения по изме- нению регулирования ни звучали, сколько бы технических средств ни придумывали для защиты информации, все остается формальностью по причине отсутствия базового уважения к персональным дан- ным. По большому счету ни у общества, ни у бизнеса, ни у государства до сих пор нет осознания, чем может грозить попада- ние информации в чужие руки. Поэтому исправить ситуацию можно, только если ситуация будет меняться на всех уровнях. На уровне государства В поправках к российской Конституции в этом году был однозначно дан ответ на вопрос о том, кому принадлежат персо- нальные данные, – государству. Получа- ется, что государство берет всю ответ- ственность на себя. Но многие утечки оказываются без ответственных, крупные проекты по цифровизации не включают в себя директивы по защите данных, программы для защиты персональных данных если и внедрены, то часто в недо- статочном объеме. И на этом фоне в июне 2020 г. вступил в силу 9 закон о создании Единого федерального информационного регистра – так называемого ЕФИР. Это база, которая объединит вообще всю информацию о нас с вами. На уровне организаций Пассивность жертв утечек и регулято- ров приводит к тому, что у компаний нет никаких причин нести лишние траты на ПО, чтобы обезопасить персональные данные клиентов и собственных сотруд- ников. Но есть и повод для оптимизма: у менеджмента возникает понимание, что раз уязвимы персональные данные сотрудников и клиентов, то риску утечек подвергается и другая ценная для бизнеса информация – клиентские базы, ноу-хау, условия работы с поставщиками и работы в тендерах и многое другое. На уровне общества Видя безразличие на всех уровнях, граждане не верят, что могут защитить свои данные. Истории крупных сливов множатся как под копирку. Случился инцидент – компания заявляет, что утечка неопасна – клиентам стали звонить "сотрудники" – жертвы перечислили мошенникам N тысяч рублей. В этой цепи обычно нет такого звена, что клиен- ты обратились в суд с иском к организа- ции, допустившей утечку. "Все всё и так знают". Эта присказка стала отговоркой для всех, кто пытается показать, что защищать что-то в цифровом мире бессмысленно, все и так утечет. Эту логику можно применять к чему угодно. Например, "Любые замки можно взломать, незачем запирать дверь". Но главное, такой подход создает вредное представ- ление, что информация ничего не стоит, ею можно разбрасываться, что своей, что чужой. И хотя ситуация с данными в целом остается сложной, вода камень точит. Пока общество и отдельные энтузиасты продолжают поднимать вопрос, ситуация сдвигается с мертвой точки. l Бескультурье данных азбор "урожая" утечек за первое полугодие 1 показывает, что мошенники без работы в этом году не останутся. В 2020 г. в России уже прошли как минимум шесть крупных утечек, которые скомпрометировали более миллиона записей в каждом случае: пользователей портала госуслуг 2 Татарстана, покупателей магазинов сети “Красное и белое” 3 , записи ГИБДД 4 , клиентов двух микрофинансовых организаций 5 , заказчиков компании “СДЭК” 6 . Все эти утечки подтверждены, но в некоторых случаях уточняется источник проблемы. Р Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ” Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://searchinform.ru/blog/2020/08/18/itogi-polugodiya-v-94-sluchaev-iz-orga- nizacij-utekli-poleznye-dlya-moshennikov-dannye/ 2 https://cnews.ru/news/top/2020-01-21_na_gosuslugah_novaya_utechka 3 https://www.vedomosti.ru/business/articles/2020/01/27/821576-baza-klientov 4 https://www.vedomosti.ru/technology/articles/2020/05/14/830287-baza-avtovladeltsev 5 https://iz.ru/1005868/2020-04-29/v-set-utekli-dannye-o-12-mln-zaemshchikov- mikrokreditnykh-organizatcii 6 https://meduza.io/news/2020/05/13/v-seti-poyavilas-baza-dannyh-devyati-mil- lionov-klientov-kurierskoy-sluzhby-sdek-v-kompanii-otritsayut-utechku 7 https://tass.ru/ekonomika/8449957 8 https://www.ryazan.kp.ru/online/news/3862192/ 9 https://www.rbc.ru/rbcfreenews/5ede351c9a794710ce94854d