Число украденных данных в России выросло в 2,5 раза

За 2022 год в России утекло более 667 млн записей с персональными данными, что почти в три раза больше уровня 2021-го, говорится в исследовании InfoWatch. Эксперты отмечают, что увеличение числа компаний малого и среднего бизнеса, работающих с данными пользователей, привело к корректировке целей для злоумышленников. Теперь похищать данные можно у наименее защищенных организаций.
Вектор атак злоумышленников сместился на малый и средний бизнес.
Вектор атак злоумышленников сместился на малый и средний бизнес. / Сергей Михеев/ РГ

За 2022 год в России количество утекших записей выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch "Россия: утечки информации ограниченного доступа в 2022-м". В результате число скомпрометированных записей более чем в 4,5 раза превысило население страны. Обращает на себя внимание рост масштаба и веса утечек - каждый взлом по объему слитых в Сеть данных вырос на четверть. Средний размер утечки составил порядка 940 тыс. записей.

Крупными базами уже оперируют даже небольшие региональные компании, и утечка подобной информации может затронуть многие тысячи людей. Злоумышленникам больше нет необходимости атаковать лидеров рынка. Именно этим обусловлен рост почти в два раза числа атак на компании малого бизнеса.

Такие оценки разделяют и в Group-IB.

В компании сообщили "РГ", что общее количество баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в 2022 году, составило 311 (в 2021 году число баз было 61). Общее количество строк данных пользователей в утечках в 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн.

Еще один обращающий на себя внимание фактор - порядка 80% утечек имеют гибридный вектор воздействия.

Все дело в том, что на основе найденных сведений определить причины утечки становится все сложнее. В ряде случаев имеющиеся сведения указывали на то, что на конфиденциальные данные той или иной организации нарушители воздействовали как изнутри, так и снаружи информационного контура, то есть находясь в сговоре. Или же причиной утечки могло быть что угодно. Определить с приемлемой достоверностью источник таких утечек становится все сложнее.

Почти в пять раз выросла доля утечек в группе "Ритейл&HoReCa", что, по мнению экспертов, свидетельствует о низком уровне защиты информационных активов среди ряда розничных сетей, в общепите и службах доставки. Эти компании не относятся к стратегическим, однако в их базах содержится значительное количество персональных данных и платежной информации, объемы этих данных сильно выросли во время пандемии. Существенный рост - почти в три раза - среди промышленных, транспортных и энергетических компаний, которые так же не относятся к критической информационной инфраструктуре (КИИ).

Вместе тем число атак на крупные предприятия снизилось с 68 до 54%. Это аналитики связывают с тем, что многие из этих предприятий относятся к КИИ и сумели обеспечить необходимый по закону уровень защиты.

В Group-IB соглашаются с тем, что говорить о неизбежности взлома не приходится. "Более половины инцидентов происходит в результате уязвимостей периметра сетей компании и могут быть предотвращены. К утечке могут привести, к примеру, неправильная настройка серверов компании или уязвимость в коде", - сообщил представитель компании.

Еще одним фактором риска может стать партнер или подрядчик крупной компании, имеющий доступ к ее данным. Они могут быть украдены и у него. Это требует более серьезного отношения к выбору подрядчиков и возможной сертификации его инфраструктуры на предмет защищенности обрабатываемых данных.

Сказываются и усилия государства. Так, глава минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных. По его словам, компании должны быть материально заинтересованы в защите данных. Сейчас же зачастую проще заплатить штраф, чем вкладываться в дорогостоящую инфраструктуру. Как отмечается, штраф может составить до 3% от оборота компании и может достигать 500 млн рублей. Ожидается, что финальная версия инициатив минцифры будет сформулирована в апреле. Об этом, в частности, говорил глава Комитета Госдумы по информполитике Александр Хинштейн.

У компаний есть все возможности для того, чтобы обеспечить необходимую защиту данных

Компании могут сделать так, чтобы кража данных стала слишком трудновыполнимой, ресурсозатратной и рискованной задачей для киберпреступников, добавляют в Group-IB. "Организациям необходимо внимательно относиться к инфраструктуре и регулярно проводить аудит безопасности. Максимально обезопасить данные позволяют решения, которые в режиме реального времени оперативно анализируют киберриски, к примеру, выложены ли данные о компании на теневых ресурсах, есть ли открытые порты, уязвимости и другие факторы".

В то же время наличие человека в цепочке обработки данных делает практически невозможной стопроцентную защиту данных, уверены в "Лаборатории Касперского". "Теоретически обеспечить сохранность таких баз технологическими средствами можно: важно их шифровать, использовать хеши, устанавливать защитные решения и так далее. Однако практически обеспечить 100% безопасность, к сожалению, невозможно из-за человеческого фактора. Намеренно или случайно сотрудники, участвующие в сборе и обработке персональных данных, могут поставить их сохранность под угрозу, а исключить участие человека в этом процессе пока невозможно", - отмечает Александр Гостев, главный технологический эксперт "Лаборатории Касперского".