Дырявая Сеть
Что вы сообщите о себе миру?
К традиционным бедам России – дуракам и дорогам – добавилась утечка персональных данных. Теперь у крупнейших компаний по доставке еды и интернет-магазинов.
Досье на каждого
В марте 2022 года сервис "Яндекс.Еда" со ссылкой на отдел информационной безопасности заявил об утечке номеров телефонов клиентов со сведениями о заказах. Через два месяца в открытом доступе появилась база пользователей агрегатора Delivery Club. Затем произошел слив о курьерах – 700 тысяч строк информации о работниках "Яндекс.Еды" и 520 тысяч строк о доставщиках Delivery Club.
А ГУВД Свердловской области указало на уязвимость площадок AliExpress и Ozon, откуда в сеть периодически сливаются данные банковских карт.
Компании, получившие доступ к персональным данным клиентов, обязаны не распространять их без согласия и не раскрывать третьим лицам. Однако гарантии, что сведения из личного кабинета не попадут в чужие руки, никто не дает. Сервисы, чьи клиенты пострадали от утечек, не ответили на запрос "Уралинформбюро" о проводимой политике в области защиты данных.
"Я бы отметил, что отделы информбезопасности есть далеко не во всех организациях. В крупных компаниях за защиту данных может отвечать один человек. DLP-системы установлены только в трети компаний, файрволлы в 60%. Даже антивирусными программами обеспечены не все. С учетом роста рисков из-за последствий удаленки, роста кибератак, ухода вендоров защитных решений нагрузка на ИБ-отделы значительно выросла", – сообщил ведущий аналитик SearchInform Леонид Чуриков.
.jpg)
Масштабные утечки превращаются в инструмент для формирования досье на людей. Эта информация зачастую попадает в руки аферистов, использующих метод социальной инженерии.
"Людям часто приходится пользоваться теми сервисами, в безопасности которых они не могут быть уверенными. В редких случаях операторами предусмотрены разные защитные инструменты, которые подстрахуют при необходимости – использование сложного пароля, двойной аутентификации, подтверждение действий по альтернативному каналу, например, с помощью SMS, пуш-уведомлений и биометрии", – отмечает Чуриков.
По информации Роскомнадзора, с начала 2022 года на неправомерную обработку ПД поступило 9 135 обращений граждан. Почти девять тысяч жалоб были направлены на действия операторов. По итогам рассмотрения 717 протоколов об административных правонарушениях дошли до судов, 139 записей внесено в реестр нарушителей.
Эксперты выяснили, что инциденты в киберсфере происходят из-за банального человеческого фактора. Большинство (66%) случаев совершались без преступного умысла, были допущены по причине отсутствия профессионализма, непонимания ответственности, лени и так далее.
Это означает, что утечка может произойти из-за небезопасно настроенного доступа к облачному хранилищу, к серверу, к папке с данными, которые сотрудник для своего удобства хранил, скажем, на личном ПК с нарушением регламентов. Инсайдеры, у которых есть умысел, мотивируются чаще всего местью. Они могут быть не согласны с текущей ситуацией, считать, что их недооценивают. Часто навредить компании стремятся увольняемые сотрудники – треть опрошенных нами сталкивались с такой проблемой. Другой умышленный мотив – желание заработать: продать слитые данные или набить себе цену на новом рабочем месте за счет украденных коммерческих секретов прежнего работодателя", – сообщил Леонид Чуриков.
Адвокат Мария Архипова подчеркивает, что "как таковая ответственность для сотрудника за утечку цифровых персональных данных законом не установлена". По ее словам, наказать работника могут за нарушения требований, предъявляемых в части безопасности (часть 6 статьи 13.11 КоАП).
"За утечку такого рода может последовать требование выплатить компенсацию. Работодатель в этом случае может взыскать сумму с сотрудника, который допустил утечку данных (статьи 241-243 ТК РФ). Вообще же ответственный за организацию обработки персональных данных назначается приказом руководителя. Как правило, он отвечает за сохранность информации на бумажных носителях и в электронном виде, – рассказала председатель Ассоциации адвокатов России за права человека Мария Архипова. – Требования к обработке ПД в информационных системах компании перечислены в постановлении правительства от 01.11.2012 № 1119 и приказе ФСТЭК от 18.02.2013 № 21. Чтобы обеспечить контроль защищенности, один раз в три года нужно проводить контрольные проверки. Например, на договорной основе можно привлечь специализированные организации".
Юрист добавила, что в случае взлома электронных площадок хакерами, атаки считаются следствием недоработок оператора. По таким фактам возбуждаются уголовные дела.
Терпение лопнуло
Как отмечают собеседники "Уралинформбюро", участники рынка не любят выносить "сор из избы", боясь навредить своему имиджу. За редким исключением организации, включая финансовые, сами сообщают о произошедших сливах персональных данных.
Между тем авторы законопроекта от "Единой России" задумали обязать компании информировать уполномоченные органы об инцидентах с принадлежащими им базами данных в течение 24 часов.
Президент России Владимир Путин в последнее время неоднократно указывал на важность соблюдения прав граждан в киберсфере. В мае он подписал закон о необоснованном сборе ПД. Согласно документу, продавцам запрещено отказывать в заключении и исполнении договора покупателю, который не предоставил информацию о себе. За принуждение последует штраф в размере 50 тысяч рублей. Кроме того, Роскомнадзор анонсировал инициативу об уголовной ответственности для лиц, продающих базы данных.
"По нашему мнению, только так можно остановить вал преступлений, связанных с утечками и незаконной продажей чувствительной для россиян информации. Сейчас мы видим направления, где можно и нужно принять дополнительные защитные меры. Это, в первую очередь, должны быть законодательные изменения, направленные на защиту граждан, их личной информации, защиту детей, сервисов и инфраструктуры", – подчеркнул руководитель Роскомнадзора Андрей Липов.
Минцифры, в свою очередь, предложило ввести оборотные штрафы для компаний, попавшихся на утечке.
Предполагается, что будут введены оборотные штрафы в размере 1% и 3% от годового оборота компании. Это правильная инициатива, я соглашусь с мнением депутата Александра Хинштейна, что штраф в 60 тысяч рублей для "Яндекс.Еды" – это "насмешка над здравым смыслом", – заявил глава СПЧ Валерий Фадеев. – Считаю, что компании, которые зарабатывают на своих цифровых платформах большие деньги, нужно законодательно мотивировать инвестировать в кибербезопасность через оборотные штрафы. Если такие затраты компании не по карману – значит, ей пока рано работать в этом сегменте, пусть принимают заказы по телефону".
Сайты государственных структур, где также содержится информация о россиянах, являются не менее популярной мишенью злоумышленников. Указ президента РФ № 250 "О дополнительных мерах по обеспечению информационной безопасности" дал старт для развития отдельных подразделений, которые должны заниматься выявлением киберслива в государственных корпорациях, стратегических предприятиях, а также в организациях, являющихся субъектами критической инфраструктуры.
Между тем директор института радиоэлектроники и информационных технологий УрФУ Илья Обабков признался, что для вуза является вызовом наращивание объема подготовки специалистов в области киберзащиты: "В среднем обучение по данному профилю занимает чуть больше пяти лет. При этом есть некоторый дисбаланс: все складывается хорошо для чистого IT-образования. В области информтехнологий мы на радиофак набираем примерно тысячу студентов на первый курс, на инфобез идет примерно 130-150 студентов в год. А их востребованность нарастает".
Сегодняшнее противостояние России и Запада засветило уровень подготовки хакеров. Недавно российская XakNet Teampf в момент положила сервера украинской системы слежки и наведения. Поэтому лучше трезво размышлять, какую информацию о себе вы доверяете Сети.
Мирослава СЕВЕРНАЯ