В России в 2022 г. кратно выросло количество утечек персональных данных. Хакеры стали работать против российских компаний не только ради наживы, но и с целью их дискредитации и публичного распространения украденных данных. Власти усиливают контроль над сферой персональных данных, в том числе ввели госмонополию на сбор биометрической информации и планируют ввести оборотные штрафы за утечки. Бизнес опасается, что новые меры могут привести к новым негативным последствиям.
Утечек персональных данных становится все больше
По сведениям InfoWatch, в России в 2022 г. было зарегистрировано в 2,6 раза больше утечек, чем в 2021 г. В абсолютном выражении объем похищенной информации составил 667 млн записей. Рост числа утечек продолжился в первом квартале 2023 г. — 350 млн записей (в 2,4 раза больше, чем за аналогичный период прошлого года). Основную долю по-прежнему занимают персональные данные, в среднем 88-90%.
Согласно исследовательской компании DLBI, в 2022 г. в России произошло около 270 утечек персональных данных, в которые вошло 99,8 млн уникальных адресов электронной почты и 109,7 млн уникальных телефонных номеров. При этом в первом квартале 2023 г. года было зафиксировано 31 хищение данных, что вдвое больше по сравнению с аналогичным периодом прошлого года, а суммарный объем похищенной информации составил 118 млн уникальных записей, что в 2,3 раза больше первого квартала 2022 г.
Компания F.A.C.C.T. (бывшая Group-IB) зафиксировала еще более драматический рост числа утечек: за 2022 г. общее количество баз данных российских компаний, размещенных на подпольных интернет-форумах и тематических Telegram-каналах, составило 311, в них находилось 1,4 млрд строк данных. При этом за 2022 г. была зафиксировано лишь 61 похищенная база данных с 33 млн строками кода.
Политический подтекст
В 2022 г., с началом известных геополитических событий, изменился и характер атак. Как отмечает директор по развитию бизнеса компании «РТК-Солар» Алексей Павлов, в первом квартале 2022 г. атаки проводились с целью получения быстрого результата и резонансного отклика у населения. В частности, целью атак было безвозвратное уничтожение данных. С этим утверждением соглашается гендиректор F.A.C.C.T. Валерий Баулин: основным мотивом киберпреступников, бесплатно выкладывающих данные в публичный доступ, стало не заработать, а нанести максимальный репутационный или экономический ущерб российским организациям и их клиентам.
Сооснователь сервиса мониторинга фактов хищения данных DLBI Ашот Оганесян делает акцент на интересном обстоятельстве: ранее на действия инсайдеров приходилось от половины до 70% всех утечек. Сейчас же основным источником утечек стали хакерские атаки, показавшие «крайне низкий реальный уровень защиты российских компаний». Из этого Оганесян делает вывод, что ранее инфраструктура у российских компаний была защищена не столько собственными инвестициями в информационную безопасность, сколько договоренностями хакеров не работать по зоне .ru, которые канули в Лету после изменения геополитической обстановки.
«Среди общего фона актуальными стали новые источники угроз, связанные с активностью политически мотивированных инсайдеров без ясных целей нанесения ущерба — в большинстве своем атаки на репутацию национальных компаний, — добавляет директор департамента по информационной безопасности компании IVA Technologies Евгений Родыгин. — Также особенностью последнего времени стало превращение России и ее ИТ-инфраструктуры практически в открытый полигон «вне закона» для злоумышленников, действующих в информационной сфере. С одной стороны, это плохо, потому что атакам на российские компании не воспрепятствуют, но, с другой стороны, российские специалисты проходят постоянные реальные тренировки и повышают практические навыки предотвращения атак».
В компании «Газинформсервис» полагают, что на рост числа утечек повлиял ряд факторов: общая цифровизация, переход на удаленный формат работы вследствие распространения коронавируса и отсутствие готовности к этому систем и сервисов в части безопасных подключений, относительно низкий уровень грамотности персонала по вопросам информационной безопасности, политические взгляды и внутренние инсайдеры. «К тому же, если еще 7-10 лет назад для взлома периметра или системы нужно было обладать достаточно высокой квалификацией, то сейчас хакером себя может считать условный школьник благодаря доступности в интернете разного рода скриптов», — добавляют в компании.
Уход иностранных ИТ-компаний как фактор роста числа утечек
Росту утечек поспособствовал и массовый уход из России западных ИТ-компаний, в том числе работающих в сфере информационной безопасности. «Если иностранные средства защиты информации вдруг «превращаются в тыкву» или прекращается их обновление, в том числе закрытие выявленных уязвимостей, то это приводит к резкому росту атак, сопровождающихся утечками информации, нарушением работы предприятий и т. д.», — указывает руководитель экспертно-аналитического центра InfoWatch Михаил Смирнов.
В DLBI опасаются, что уход иностранных ИТ-компаний в достаточной мере еще не оказал влияние на состояние дел в сфере информационной безопасности. Однако уже в 2023 г. российские компании столкнутся с уязвимостями в сетевом оборудовании и программном обеспечении (ПО), которое не смогут обновить в силу санкционного режима, а также со сложностями в построении систем защиты, иностранные составляющие которых не смогут приобрести, предупреждает Ашот Оганесян.
Общество становится менее толерантным к утечкам
Сопредседатель кластера Privacy & Legal Innovation Российской ассоциации электронных коммуникаций (РАЭК) Алексей Мунтян отмечает, что утечек персональных данных становится не только и не столько больше, сколько снижается толерантность в обществе к такого рода явлениям. По мнению эксперта, это происходит по нескольким причинам: растут масштаб и разнообразие утечек, упрощается и геймифицируется доступ любопытствующих к обнародованным базам с персональными данными, в некоторых случаях проявляется кумулятивный эффект от объединения нескольких баз в единый массив данных. Так, недавно похищенные данные сервиса «Яндекс.Еда» были объединены с данными из других слитых баз данных, включая базы ГИБДД, СДЭК, Wildberries, Avito, «Вымпелкома». В результате, например, если абонент «Вымпелкома» делал заказ в сервисе «Яндекс.Еда», то можно было узнать его тарифный план (отметим, что ряд из упомянутых компаний отрицают факт утечек).
Краткая история утечек персональных данных
Массовые утечки персональных данных в России стали происходить еще с конца 90-х. На компьютерных рынках появились диски с базами данных абонентов МГТС, номеров ГИБДД, прописками, регистрациями и т. д. В нулевых количество доступных баз данных еще больше увеличилось: в продаже можно было найти базы Пенсионного фонда (с информацией о доходах граждан), Центрального банка РФ (с банковскими проводками), сотовых операторов и т. д. Иногда емкости компакт-дисков не хватало и базы данных продавались на винчестерах.
С распространением широкополосного интернета вопрос ограничения объема распространяемой информации отпал, а вопрос опасности утечек стал острее. Массивы слитых баз данных стали распространяться через файлообменники, торрент-трекеры. Еще хуже ситуация стала с развитием даркнета (теневого, анонимного интернета, в частности, Tor) и криптовалют. Тут уже не просто раздаются базы данных с информацией о гражданах, но и появились услуги по «пробиву» конкретных лиц. Можно узнать, например, на кого зарегистрирован конкретный телефонный номер, его место жительства и паспортные данные, получить журнал телефонных звонков и SMS-сообщений, данные геолокации и другую информацию.
Как в России пытаются отрегулировать сферу персональных данных
Нельзя сказать, что государство ничего не делает для борьбы с утечками. Как раз наоборот: в 2006 г. был принят закон «О персональных данных», который ввел соответствующее понятие и обязывает совершать действия по хранению, обработке и передаче персональных данных только с согласия гражданина. Отдельное согласие стало требоваться на трансграничную передачу данных.
Копьев об этот закон было сломано немало. Против выступали разные группы активистов, правозащитники, коммунисты, религиозные деятели. Чтобы успокоить общественность, из закона было исключено положение о создании единого реестра населения (правда, через 10 лет Федеральная налоговая служба России все равно занялась его созданием, причем без отдельного закона).
Регулятором сферы защиты персональных данных стал Роскомнадзор. Он ведет реестр операторов персональных данных, устраивает проверки, инициирует привлечение к ответственности нарушителей и собирает жалобы от граждан. Еще два ведомства стали регуляторами в сфере технической защиты персональных данных — Федеральная служба безопасности (ФСБ) и Федеральная служба технико-экспортного контроля (ФСТЭК).
Для бизнеса эти нововведения были не очень приятны. Появились новая статья расходов и потребность в профильных специалистах. Стало необходимо вести соответствующие базы, собирать согласия граждан, удалять персональные данные, следить за соблюдением всех необходимых процедур. Зато у компаний, работающих в сфере информационной безопасности, появились новые услуги, связанные с сохранностью персональных данных и выполнением соответствующих требований законодательства.
Закон «О персональных данных» неоднократно менялся. Так, в 2011 г. меры технической защиты персональных данных, изначально подготовленные ФСБ и ФСТЭК для государственных организаций, стали распространяться и на коммерческие компании. Бизнес этому нововведению сопротивлялся.
В 2014 г. был принят закон о запрете хранения персональных данных россиян за рубежом. Интернет-общественность была категорически против этого. За неисполнение требования в России был заблокирован доступ к социальной сети LinkedIn.
Очередные изменения в законе произошли в 2022 г. Был введен срок, в течение которого операторы персональных данных должны информировать Роскомнадзор о произошедших утечках (24 часа), и срок, в течение которого они должны провести расследование и сообщить о его результатах (72 часа). Также в законе было заявлено о необходимости оценивать ущерб. Кроме того, операторы персональных данных теперь должны еще и информировать Роскомнадзор о фактах трансграничной передачи данных, при этом ведомство имеет возможность ее заблокировать.
Оборотные штрафы за утечки персональных данных
Наибольший шум вызывает предложение ввести оборотные штрафы за утечки персональных данных. Над разработкой соответствующего законопроекта сейчас работает Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры). Ожидается, что размер штрафа составит 1% от оборота или до 3%, если компания попытается скрыть факт утечки. Сейчас максимальный размер штрафа за утечку персональных данных составляет 500 тыс. руб. Обсуждается и введение уголовной ответственности за незаконный сбор персональных данных. Обе идеи поддержал президент России Владимир Путин.
Бизнес против таких мер. Как отмечает директор по связям с госорганами Avito Дмитрий Гавриленко, это все равно, как прохожего или инкассатора, ставшего жертвой вооруженного ограбления, будут потом наказывать за это. При решении вопроса о наложении ответственности на компанию за утечку необходимо понять причины произошедшего: была ли это халатность, или причиной стала брешь в используемом программном обеспечении. Во втором случае следует определить, была ли компания в курсе такой ошибки. Если же хищение данных стало следствием спланированной атаки против компании, то при наложении штрафа этот факт тоже следует учесть, полагает Гавриленко.
Алексей Павлов из «РТК-Солар» предупреждает, что для введения такого рода ответственности необходимо сначала разработать процедуры расследования инцидентов, чтобы понять, как именно произошло хищение и когда. Известны случаи, когда в попытках дискредитировать некую компанию старые утечки выдавались за новые. Например, в 2022 г. сообщалось об утечке из главного управления Министерства внутренних дел по городскому поселению Мытищи. Но еще в 2020 г. городское поселение Мытищи было преобразовано в городской округ.
Заместитель директора компании «Гарда Технологии» Рустэм Хайретдинов не понимает, в чем смысл накладывать большие штрафы на государственные структуры, то есть брать их из бюджета, а потом дофинансировать их же для продолжения исполнения государственных функций. Евгений Родыгин из IVA Technologies предупреждает, что практика оборотных штрафов может стать не только средством принуждения, но и средством давления на конкурентов. А оборотные штрафы для госкорпораций и ведомств, по его мнению, могут стать чем-то сродни введения коллективной ответственности за нарушения конкретных лиц.
«Специалисты задают вопрос — как можно вводить такую ответственность при том, что ни один разработчик средств защиты не гарантирует выполнение своих функций и не несет ответственность за то, что произойдет утечка, если его средство пропустит кибератаку, — добавляет Родыгин. — Ведь в такой ситуации ответственность понесет руководитель отдела информационной безопасности и, вероятно, вся компания оборотным штрафом».
«С одной стороны, по новому закону любой работодатель становится оператором персональных данных, и для него защита данных о сотрудниках — это бремя. Компания должна строить системы защиты, которые для малого бизнеса накладны, — рассуждает гендиректор компании IDX Елена Белова. — А штрафы могут поставить под угрозу существование малого бизнеса. Но, с другой стороны, штрафы могут стать сдерживающим фактором для крупного бизнеса, стимулировать его тщательнее отбирать персонал, который имеет доступ к персональным данным. Мы уже видим по примеру Евросоюза, как принятый там Общий регламент по защите данных (General Data Protection Regulation — GDPR) очень сильно стал дисциплинировать бизнес в разных странах».
Михаил Смирнов из InfoWatch полагает, что для стимулирования владельцев охраняемой законом информации и антистимулирования криминала важно не только находить и привлекать к ответственности продавцов данных, но и проводить проверки в организациях, из которых эти данные утекли, выявлять причины, виновных в содействии или халатности, а также тех, кто не уделял информационной безопасности должного внимания.
Сбор биометрических данных
Отдельный вопрос — биометрические данные. В 2017 г. «Ростелеком» в рамках инфраструктуры электронного правительства стал создавать в России Единую биометрическую систему (ЕБС). Ее пользователи, в частности, получили возможность дистанционного открытия банковских счетов.
В конце 2022 г. был принят закон «О единой биометрической системе». Ее развитием займется новая организация — «Центр биометрических технологий», совладельцами которой стали «Ростелеком», Центральный банк РФ и государство. В ЕБС будут храниться два вида биометрии — голос и фотография лица. Главное положение закона: он вводит госмонополию на сбор биометрических данных. Для некоторых компаний это стало неприятным сюрпризом. Например, Сбербанк создавал собственную биометрическую базу данных.
В то же время закон вводит запрет на принудительный сбор биометрических данных. Отказ гражданина от прохождения идентификации с использованием ЕБС не может быть основанием для отказа ему в предоставлении государственных или коммерческих услуг. На этом положении, в частности, настаивала Русская православная церковь.
Эксперты расходятся во мнении относительно целесообразности сбора всех биометрических данных россиян в одном месте. Евгений Родыгин из IVA Technologies напоминает, что работы по централизации в сфере персональных данных начались еще в 2007 г., и сейчас было решено вернуться к этому вопросу. В свою очередь, Елена Белова из IDX отмечает, что все данные, собранные в одном месте, всегда более уязвимы, чем в распределенных системах, и с точки зрения безопасности собирать все в одном месте не нужно.
Что делать дальше?
По мнению директора по маркетингу цифровой платформы «Ракета» Дарьи Зубрицкой, одним из вариантов борьбы с утечками персональных данных может быть передача функции соответствующего надзора в отраслевые ведомства. В качестве примера она приводит Центробанк РФ: ведомство ввело жесткие нормы и требования по обеспечению безопасности данных в финансовом секторе и контролирует их выполнение, в результате чего в 2022 г. утечек из банков не было.
Алексей Мунтян из РАЭК предлагает ряд мер для усиления защиты персональных данных и борьбы с утечками: создание национальной библиотеки методов обезличивания как механизма дополнительной защиты персональных данных; повышение общей культуры информационной безопасности, в том числе через различные формы добровольной оценки защищенности компаний (программы Bug Bounty, тесты на проникновение, аудиты); стимулирование бизнеса к отказу от сквозных идентификаторов субъектов данных (например, номер паспорта или телефона) и к использованию ситуативных (контекстуальных) идентификаторов в частноправовых отношениях.
Валерий Баулин из F.A.C.C.T. выступает за развитие взаимодействия всех участников сферы информационной безопасности и оперативный сбор и обмен данными о киберугрозах, актуальных для той или иной сферы — банков, операторов связи, ритейла, энергетики и т. д. «Если будет атака, например, на финансовую организацию, то с помощью технических индикаторов можно составить рекомендации по превентивному обнаружению потенциальных киберугроз и предотвратить инциденты в смежных организациях», — говорит он.
Ашот Оганесян из DLBI считает перспективной идею, выдвинутую Минцифры РФ, о сокращении объема персональных данных, обрабатываемых государственными ведомствами и доступных их сотрудникам в рамках служебной деятельности. Однако, как полагает эксперт, вероятность реализации этой меры пока крайне мала «в силу небольшого аппаратного веса инициатора на фоне тяжеловесов, которых он предлагает лишить запасов «новой нефти».