Перейти к основному контенту

Новейшие практики цифрового обслуживания бизнеса

Обслуживание счета

Снятие в банкоматах

Переводы физлицам

Реклама. ПАО «Промсвязьбанк».
Генеральная лицензия Банка России № 3251.

Технологии и медиа ,  
0 

В России за год утекло более 660 млн записей с персональными данными

InfoWatch: число утекших персональных данных в 4,5 раза превысило население России
За 2022 год в России утекло более 667 млн записей с персональными данными, что почти в три раза больше уровня 2021-го, подсчитали в InfoWatch. Тренд прошлого года — преступники выкладывают данные бесплатно, без мотива заработка
Фото: Владимир Гердо / ТАСС
Фото: Владимир Гердо / ТАСС

За 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch «Россия: утечки информации ограниченного доступа в 2022» (есть в распоряжении РБК).

Таким образом, констатируют эксперты, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны. Причем каждая утечка в 2022 году по объему выросла на треть по сравнению с периодом годом ранее и содержала около 940 тыс. записей.

Эксперты по кибербезопасности также отмечают:

  • порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители;
  • вдвое выросла доля утечек информации категории «коммерческая тайна»;
  • заметнее всего выросла доля утечек среди организаций отраслевой группы «Ретейл & HoReCa» — практически в пять раз, среди промышленных, транспортных и энергетических компаний — почти в три раза;
  • на малый бизнес пришлось более 20% утечек — этот результат вдвое больше, чем в 2021-м.

Как считают объем утечек

Анализ проводится на основе собственной базы утечек информации InfoWatch, которую специалисты пополняют с 2004 года. Источником сведений для этой базы становятся публичные сообщения в интернете о случаях утечек из различных организаций во всех странах мира, а также данные из закрытых источников (интернет-форумы, чаты, каналы в мессенджерах и соцсетях, в том числе доступ к которым осуществляется только с разрешения модераторов или с применением специализированного программного обеспечения). В базу вносится количество скомпрометированных записей, содержащих только персональные данные и/или платежную информацию, так как в остальных случаях количественные характеристики обычно отсутствуют или не отражают размер утечки. Например, объемы файлов и/или количество файлов, содержащих коммерческую тайну, ноу-хау в виде чертежей, описаний, формул и т.п., не отражают ценность утекшей информации.

В Group-IB считают, что объем скомпрометированной в прошлом году персональной информации был выше оценок InfoWatch больше чем в два раза, отметил гендиректор компании в России и СНГ Валерий Баулин. По подсчетам Group-IB, количество утекших записей в прошлом году в десять раз превысило население России: строчки включают имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти хеш-пароли, паспортные данные, подробности заказов и другую чувствительную информацию. «Общее количество строк данных пользователей в утечках в 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн», — отметил Баулин.

По его словам, больше всего объявлений было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными.

СК возбудил уголовное дело после утечки данных пользователей «Яндекс.Еды»
Общество
Фото:Владислав Шатило / РБК

От утечек не защищена ни одна сфера российского бизнеса, отметил Баулин. Жертвами злоумышленников, по словам собеседника РБК, становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании: «Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам».

По итогам 2023 года антирекорд может быть побит, уверен он.

Минцифры задумало ввести штрафы за утечки данных до ₽500 млн
Технологии и медиа
Фото:Morris MacMatzen / Getty Images

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, в свою очередь, считает, что из российских компаний в прошлом году утекло значительно меньше данных, чем приводится в отчете InfoWatch, — около 100 млн уникальных e-mail адресов и 110 млн уникальных телефонных номеров. Объем не уникальных данных, таких как записи о транзакциях, исчисляется миллиардами, но это не слишком осмысленный показатель, уточнил Оганесян.

Он также усомнился в выводе, что 80% утечек имеют некий «гибридный вектор воздействия» — когда в краже информации могли участвовать как внешние, так и внутренние нарушители: «Практически все «источники», публикующие утечки в даркнете, известны и имеют известный профессиональный почерк. И для 80% «источников» этот почерк сводится к взлому серверов баз данных через известные уязвимости или захват контроля над рабочим местом пользователя с административными полномочиями. Инсайдерские же утечки сегодня сосредоточены в сегменте пробива, поскольку компании научились бороться с массовыми выгрузками данных».

Что касается малого бизнеса, то, по оценкам DLBI, на него пришлось более 50% утечек количественно и менее 10% по суммарному объему утекших данных.

«Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут, поэтому вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность», — подчеркнул Оганесян.

В апреле прошлого года глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота.

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков в беседе с РБК подчеркнул, что если введут оборотные штрафы за утечки персональных данных населения, то для многих компаний это станет значительным риском и они начнут выделять бюджеты на информационную безопасность, для того чтобы защитить те базы, которые они сейчас собирают.

Какие крупные утечки были в 2022 году

  • В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным телеграм-канала «Утечки информации» от DLBI, в Сеть было выложено порядка 49 млн строк. Позднее руководитель «Яндекс.Еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше. Маресов также назвал утечку беспрецедентным случаем.
  • В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов. По информации телеграм-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
  • В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, телеграм-каналы сообщали об утечке о клиентах доставки, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
  • В ноябре была выставлена на продажу база данных пользователей сервиса электросамокатов Whoosh. По данным профильных телеграм-каналов, в базе оказалось около 7,3 млн записей, в том числе имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров, после того как один из сотрудников компании нарушил установленные правила.
СберПро Интересное

Упал — поднялся.
Как быстро восстановить бизнес после кибератак

СберПро Интересное

Заряд для автопрома. Как развивается индустрия электромобилей

СберПро Туризм

Притяжение Арктики. Как туристический бренд помогает развивать индустрию путешествий

СберПро АПК

Барометр отрасли: рыболовство и аквакультура

СберПро Транспорт

Эпоха ренессанса.
Что движет российский рынок лизинга

СберПро Главное

Азиатский уклон: новые перспективные пути для экспорта российских технологий

СберПро Главное

Цифровой кодекс:
как будет выглядеть новая концепция регулирования ИКТ

СберПро Промышленность

Как развиваются промышленные кластеры в России и чем они выгодны бизнесу и регионам

СберПро Интересное

Пять глобальных технотрендов в области искусственного интеллекта

СберПро Интересное

Как избежать коммуникативных трудностей в распределённой команде

Авторы
Теги

Новейшие практики цифрового обслуживания бизнеса

Обслуживание счета

Снятие в банкоматах

Переводы физлицам

Реклама. ПАО «Промсвязьбанк».
Генеральная лицензия Банка России № 3251.

Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 15 июня
EUR ЦБ: 95,15 (+0,32)
Инвестиции, 14 июн, 17:22
Курс доллара на 15 июня
USD ЦБ: 89,07 (+0,86)
Инвестиции, 14 июн, 17:22
Путин назначил жену министра энергетики замминистра обороны Политика, 16:36
Украина пропустила гол. Что происходит на Евро Спорт, 16:32
Украина пропустила гол. Что происходит на Евро Спорт, 16:32
Le Monde узнала о планах Франции обучить 26 украинцев управлению F-16 Политика, 16:31
Выручка, прибыль, убыток: при каком их соотношении пора бить тревогу Pro, 16:22
Штаб Байдена выделил $50 млн на дискредитацию Трампа перед дебатами Политика, 16:20
Акции майнинговых компаний в июне опередили биткоин по темпам роста Крипто, 16:09
Онлайн-курс Digital MBA от РБК
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Третья ракетка мира Арина Соболенко отказалась ехать на Олимпиаду Спорт, 16:05
Новым гендиректором «Глория Джинс» стал экс-глава СУЭК Максим Басов Бизнес, 16:00
Румыния — Украина. Онлайн матча первого тура Евро Спорт, 16:00
Сборные Украины и Румынии назвали составы на матч Евро Спорт, 15:56
«Русская Медиагруппа» — о роли медиа в международных отношениях РБК Компании, 15:55
Девять человек пострадали при взрыве на военном полигоне в Чехии Политика, 15:45
Шри-Ланка заявила о безответных запросах Киеву об участии граждан в боях Политика, 15:44