Простые граждане и даже весьма крупные компании пока еще не вполне осознали, что информация стала нефтью современности. Личные и корпоративные данные часто оказываются целью для атак мошенников. По данным Роскомнадзора, только в 2022 году произошло около 150 крупных утечек персональных данных. За первое полугодие 2023-го — в сеть «ушло» 177 миллионов записей о гражданах: строки баз данных, содержащие номера телефонов, адреса электронной почты и другое. Порядка 90% утечек связано с деятельностью «специалистов, близких к зарубежным спецслужбам», утверждают в надзорном органе.

От супермаркетов до кинотеатров

Как показывает даже беглый осмотр самых крупных «мест преступлений» 2022 года, благополучно расстаться с личными данным можно при работе и с весьма серьезными компаниями.

В марте 2022 года утечку баз с телефонами клиентов и информацией о заказах выявили «кибер-безопасники» сервиса «Яндекс.Еда». Причиной, как заявили в компании, стали недобросовестные действия одного из сотрудников. Посчастливилось, что в неприкосновенности остались банковские, платежные и регистрационные данные.

В августе с утечкой столкнулся онлайн-кинотеатр Start. Злоумышленники «увели» базы за 2021 год с номерами телефонов и e-mail клиентов. По неподтвержденным официально сведениям, в открытый доступ попали данные порядка 44 миллионов аккаунтов. В компании оперативно заявили, что уязвимость закрыта. И заверили, что логины-пароли, данные банковских карт, а также истории просмотров остались в неприкосновенности.

Меньше чем через месяц сообщение об утечке подтвердил СДЭК. По информации в СМИ, «утекли» базы данных платформы для заказов товаров из-за границы CDEK.Shopping и маркетплейса «CДЭК.Маркет» — почти в 20 тысяч строк и 100 тысяч строк соответственно. Список «ценностей» аналогичный остальным случаям: имена и фамилии, адреса электронной почты, телефоны, даты рождения. Благо, что и тут в неприкосновенности остались данные банковских карт и удостоверяющих личность документов.

В октябре «пробоину» обнаружили у онлайн-ретейлера DNS. В компании утечку подтвердили, а вот о масштабах рассказывали больше в Телеграм-каналах. По информации источников, хакерам удалось «стащить» базу данных, содержащую более 16 миллионов записей с данными покупателей: все те же имена, фамилии, номера телефонов и e-mail.

В декабре 2022 года стало известно об утечке у крупного российского оператора связи. Данные клиентов оказались в безопасности, а вот в открытый доступ «ушли» данные из корпоративного справочника. Источники сообщали о почти 300 тысячах записей — уникальных логинов, мобильных и домашних номерах, e-mail и другой служебной информации.

Буквально через неделю утечку данных покупателей заметил ретейлер «ВкусВилл». Инцидент в компании подтвердили, а вот о масштабах говорить не стали. По данным СМИ, в сеть утекло 242 тысячи уникальных номеров телефонов, 231 тысяча адресов электронной почты, даты и время заказов, а также последние четыре цифры банковских карт покупателей.

«Уфанет» — и личных данных нет?

Интересно, что не всегда данные приходится красть. Порой люди и сами поступают весьма недальновидно, раздавая личную информацию налево и направо.

Например, на прошлой неделе стало известно, что в Сети появились якобы личные данные жильцов казанского ЖК «Палитра». «Пробоина» в кибербезопасности образовалась весьма банальным образом. В новом жилом комплексе работал только один Интернет-провайдер, качеством услуг которого некоторые клиенты оказались недовольны. Кто-то в домовом чате в 2022 году предложил «завести» в ЖК филиал башкирской компании «Уфанет» — организацию «Казгорсеть» (КГС).

Сразу несколько человек принялись расхваливать качество услуг этого провайдера. При этом регулярно напоминая, что не являются представителями КГС, просто уж очень плохо работают конкуренты. А для ускорения процесса самый правильный путь — коллективная заявка. В августе 2022 года данные начали собирать прямо тут же, в открытом чате на 1000 с лишним человек: в «Гугл-документах» надо было оставить ФИО, номер телефона и адрес. Заметим, что ссылки на «Гугл-документы» в открытых каналах можно найти с помощью парсинга (Автоматический сбор данных на открытом ресурсе – Ред.).

Некоторые жильцы, к слову, проявили в этом вопросе благоразумие.

«И так куча спамеров постоянно, еще и в таблице заполнять свои данные на всеобщее обозрение», — написала Ксения Павлова.

И действительно, «стащить» данные в такой ситуации способен даже самый недалекий злоумышленник: просто перейдя по ссылке в открытом чате. Сейчас, правда, владелец переместил файл в корзину. Однако это не означает, что кто-либо раньше не мог сохранить его копию. При переходе по ссылке все еще можно увидеть таблицу: в ней более чем сотня строк. Правда, теперь уже пустых.

Чуть позже ситуации с таким сбором данных, в чате появился и человек, прямо представившийся представителем КГС. Он, собственно, тоже продолжил собирать данные жителей. Но теперь в менее открытом формате: через «Гугл-форму». Хотя от жильцов точно также требовалось заполнить несколько обязательных полей: ФИО, номер телефона, адрес, желаемые услуги. Правда, куда передавалась эта информация в дальнейшем и насколько надежно хранилась — вопрос.

Информация о таком сборе данных и утечке появилась в нескольких Телеграм-каналах 8 августа.

В самой компании на запрос KazanFirst заявили, что информация в постах недостоверна, а обвинения в адрес «Уфанет» безосновательны.

«Никаких утечек персональных данных не было. АО «Уфанет» обеспечивает защиту персональных данных в соответствии с требованиями действующего законодательства», — отметили в организации.

Кроме того, в компании сообщили, что готовят исковое заявление в суд о защите деловой репутации, а также требуют от авторов Телеграм-каналов сделать пост с опровержением.

Ситуация со стороны жителей

На условиях анонимности один из жителей, назовем его Сергей, согласился рассказать о том, как действовали «агенты» КГС. По его словам, сначала сбором данных занимался один из местных жителей.

— Заманивал выгодным тарифом. Объяснял, что нужна коллективная заявка, тогда провайдер решится в дом зайти и нам все подключат, — объясняет Сергей. — Человек это был плюс-минус знакомый. Но у него не получилось народ сагитировать. Позже мне рассказали, что за сбор определенного количества данных можно было получить льготные условия на обслуживание у этой компании.

Данные сосед, утверждает Сергей, особо ни от кого не прятал — таблица была доступна по ссылке всем участникам чата. Позже информацию из нее удалили, хотя ссылку до сих пор можно найти. А через некоторое время появились уже менеджеры.

— Эти уже сразу представлялись представителями КГС. Говорили, что много есть жалоб сейчас на качество Интернета. И что им, чтобы законно зайти в дом, нужно решение собрания жильцов, — рассказал собеседник издания. — Знаю, что еще в нескольких ЖК в Казани такая же история была. Там тоже собирали данные для голосования, где-то в «личку» просили прислать, где-то бюллетени раскидывали по ящикам.

Другая жительница «Палитры» Азалия (имя также изменено по просьбе собеседника KazanFirst — Ред.) была вовсе шокирована, узнав, что какие-то личные данные утекли в Сеть.

— Впервые от вас сейчас это слышу. Коллективную заявку собирали. Потом все как-то стихло. Откуда в общедомовом чате какие-то хакеры? Заполнила да забыла, — рассказала девушка. — Звонить вроде бы чаще не стали, конечно. Но все равно как-то неприятно.

По словам Азалии, позже информацию из таблицы она продублировала и человеку, представившемуся агентом «Уфанета».

— В апреле-мае он писал несколько раз. Тарифы показывал, собирал данные, — вспоминает горожанка. — Сейчас посмотрела, он у нас в чате вообще админом значится. Наверное, какие-то все-таки договоренности с УК или кем-то из жильцов у них есть, раз именно они рекламируются.

Интересно, что КГС на момент подготовки материала, как утверждает Азалия, так в дом и не зашел. Хотя и протянул к ЖК сети.

Законен ли такой сбор персональных данных? Ведь согласно законодательству, исключительным основанием для обработки подобной информации является согласие «субъекта». В ситуации, когда жильцам предложили заполнить некие строки в «облачной» таблице, а они по своей воле и в своих интересах это сделали, можно сказать, что поступок этот осознанный.

Тем не менее закон также предусматривает, что оператор персональных данных обязан обеспечить их конфиденциальность.

 «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством», — говорится в соответствующих пояснениях.

Другими словами, ситуация с жильцами достаточно пограничная. С одной стороны, вносить личные данные в открытую для всех таблицу — практически то же самое, что написать их на стене дома у всех на обозрение. С другой, если позже этой информацией, предоставленной для строго определенных целей — подключению к Интернету, пользовались агенты провайдера, и база якобы утекла в сеть, то уже приходится задуматься и о добропорядочности самой организации либо ее сотрудников.

Сотрудники – самое слабое звено

Как же так получается, что и компании федерального масштаба, и небольшие чаты жильцов какого-либо дома становятся «пробоинами» в «кибер-щите» бизнеса и обычных граждан? По словам руководителя направления кибербезопасности и инфраструктурных проектов компании ILAR group Роберта Низамеева, все текущие атаки строятся двумя путями.

Первый — через использование известных уязвимостей.

— Для того чтобы обезопасить себя от атак этого типа, необходимо поддерживать актуальную версию «программных заплаток» или так называемый «патчинг» от производителя. Как правило, все рекомендации публикуют или сами производители, или экспертные компании, которые выявляют данную уязвимость, — поясняет эксперт.

Второй «угол атаки» — социальная инженерия, когда злоумышленник пытается получить доступ к чувствительным данным путем введения в заблуждение сотрудников компании.

— Один из самых первых и самых популярных в культуре хакеров Кевин Митник именно таким способом взламывал системы еще в конце прошлого века, — рассказал Низамеев. — Это самый популярный тип атаки, когда «жертве» высылают так называемое «фишинговое письмо», которое содержит либо какую-то ссылку, либо зловредный файл, а «жертва» проходит по этой ссылке или открывает данный файл.

Дальше — дело техники: злоумышленники получают необходимую корпоративную, личную, конфиденциальную информацию. И без обученного и соблюдающего правила «кибер-гигиены» персонала считать себя защищенным бизнесу никак нельзя.

— Сотрудники являются самым слабым звеном в данный момент. Можно огородить себя дорогими средствами защиты, но все будет тщетно, так как злоумышленники будут их обходить за счет легитимного доступа, который получат от рядового сотрудника, — поясняет эксперт. — Только обучение персонала, регулярное тестирование знаний, проведение внутренних проверок и запрет на использование корпоративных данных при регистрации на различных ресурсах. Но главное — отучите сотрудникам доверять различным почтовым рассылкам, даже если там обещают быстрый и легкий заработок.

Ответственность за персональные данные лежит только на самих пользователях

По словам эксперта Центра продуктов Dozor ГК «РТК-Солар» Руслана Добрынина, реалии таковы, что любой более или менее серьезной организации уже никак не обойтись без специалистов по информационной безопасности.

— Информационная безопасность — это процесс, причем процесс сложный и комплексный, именно поэтому в любой компании необходимы специалисты, которые обеспечивают бесперебойность и качество этого процесса, — подчеркивает Добрынин. — Утечки данных — лишь одна из угроз, с которыми сражаются специалисты по ИБ, и утечки эти тоже бывают разными: данные могут утечь как изнутри (случайно или намеренно), так и при воздействии на периметр компании снаружи.

Эксперт подчеркивает, что ответственность за персональные данные лежит только на самих «юзерах». Поэтому любые действия в киберпространстве надо совершать осмысленно. А к бытовым ситуациям, требующим передачи какой-либо личной информации, следует относиться с повышенным вниманием.

— Необходимо задумываться о том, действительно ли стоит раскрывать свои персональные данные на сайте, о котором вы забудете через пять минут после того, как им воспользуетесь, — подчеркнул специалист.

Проблема с большинством утечек в недостаточном проектировании информационной безопасности с точки зрения отказоустойчивости, считает эксперт по кибербезопасности Павел Мясоедов. Компания может быть оснащена дорогостоящими продуктами. Но если они сбоят, если не настроены надлежащим образом, то и эффективной такая защита не будет.

Плюс к тому, подчеркивает Мясоедов, зачастую упускается организационный фактор.

— Вы можете находиться в контуре очень безопасном, в периметре безопасности. Но какой-то конкретный сотрудник просто скачивает данные или фотографируют экран, — подчеркивает эксперт. — И уносит, продает их на даркнете, монетизируя эту продажу. И в деньгах зарабатывая в разы больше, чем его зарплата за год. Собственно, многие утечки, так и происходят.

Поэтому для того, чтобы это предотвращать подобные инциденты, требуется комплексный подход к информационной безопасности. Обычно силами внутренних сотрудников, если не выделена специальная команда кибербезопасности, осуществить это невозможно, считает Мясоедов.

Утечка возможна и из «облака», а мошенникам интересны любые данные

С данными компаний все понятно — конфиденциальная информация может быть полезна конкурентам, использоваться мошенниками. Но стоит ли беспокоиться тем самым «жителям ЖК», доверившим свои телефонные номера агенту Интернет-провайдера?

Как поясняет аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц, любые данные, которые попадают в Интернет, могут попасть в руки злоумышленников. Утечка возможна и в бизнесе, и в бытовой ситуации — в любом случае, где речь идет о сборе и хранении данных.

— Мошенникам интересны любые базы. Не только рабочая информация, такая как должность и электронный адрес, но и личная, в том числе номер мобильного телефона и финансовые сведения. Поскольку они могут не только пользоваться ими в собственных целях, но и перепродавать на теневых ресурсах, — подчеркивает Фиц.

Риски для обычных пользователей, однако, можно снизить, подчеркивает эксперт. Правила «кибергигиены» максимально просты. Не заполнять необязательные поля при регистрации. Не оставлять личные данные в полях для комментариев при заказах товаров (информацию о членах семьи, код от домофона). Где возможно — применять двухфакторную аутентификацию. Регулярно менять пароли и не использовать одинаковые при регистрации. Кроме того, весьма желательно завести отдельную электронную почту и номер телефона для всех операций, связанных с теми или иными Интернет-сервисами.

Утечка – это всегда процесс, связанный с людьми. Сами по себе данные не утекают. Поэтому и защищаться нужно, учитывая человеческий фактор, отмечает ведущий аналитик «СёрчИнформ» Леонид Чуриков.

— Утечки данных из облаков – реальность. Для поиска слабо защищенных ресурсов, доступ к которым может быть осуществлен извне, существуют специальные поисковики и приложения, определяющие круг устройств, скажем с заводскими паролями или облачные хранилища, куда можно зайти по прямой ссылке вообще без пароля, — рассказал специалист. — Если люди не дорожат своими или чужими данными, те рано или поздно становятся общедоступными. А затем присоединяются к прочим утекшим базам.

Это повышает стоимость незаконно полученных данных и позволяет тем, кто их приобретает или крадет отбить свои расходы и трудозатраты, подчеркивает Чуриков. Где-то перевести данные в деньги злоумышленники могут напрямую – продав аккаунт, либо сделав через него перевод, оформив кредит. Либо использовать полученную информацию для манипулирования жертвой, шантажа, обмана.

О своих данных необходимо заботиться, продолжает эксперт, понимая их ценности и риски. И если, например, кажется, что требуют что-то лишнее, то можно пожаловаться в Роскомнадзор. В ведомстве сверят цели сбора данных и те категории, которые, по мнению провайдера услуги, ему нужны. И если претензия оправдана – потребуют от оператора умерить аппетиты.

Важно учитывать и возможность получения доступа к личным данным обходным путем, считает ведущий аналитик «СёрчИнформ». Ко многим аккаунтам, можно пробраться с помощью восстановления доступа через электронную почту, либо используя вредоносное программное обеспечение, либо социнженерию

— С учетом этого, необходимо в каких-то случаях отказаться от излишнего «комфорта» – максимально быстрого совершения сделок. Допустим, написав заявление в МФЦ о невозможности совершения никаких дистанционных или очных сделок с вашей недвижимостью без вашего личного участия, — рассуждает специалист. — То же самое касается и ваших финансовых активов – лимиты на операции, на регион, где вы их проводите, отдельные карты для онлайн-покупок и пр. Все это предусмотрено функционалом мобильных банковских приложений и систем интернет-банкинга. Но далеко не все из этого мы используем.

Клиентам бизнеса, как правило, сложно оценить, сможет ли конкретная компания обеспечить безопасность собранных данных, отмечает руководитель направления систем предотвращения утечки информации компании Infosecurity Softline Company Николай Постнов. Исходя из этого, логично предположить, что безопаснее всего предоставлять их как можно меньшему количеству организаций.

— Бывает, что сервисы «покупают» эти данные у своих клиентов. Например, «скидка в 500 рублей при регистрации». Желательно помнить, что здесь 500 рублей не подарок, а плата за предоставление персональных данных. Достойная ли это плата? — рассуждает Постнов.

Если все-таки утечка, что делать?

Если человек подозревает, что его данные все-таки были тем или иным образом скомпрометированы, то необходимо как можно более оперативно выполнить несколько действий, рассказал аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц.

Во-первых, следует сменить «забракованный» пароль. И убедиться, что «утекшие» данные не используются для доступа к другим ресурсам.

— Даже если вы не заходили на взломанный ресурс длительное время, важно быть уверенным, что скомпрометированная информация не будет использована для доступа к вашим личным аккаунтам в других сервисах, — отмечает специалист.

Во-вторых, важно позаботиться о сохранности денежных средств. И если есть хоть малейшие подозрения, что в Сеть утекли данные банковских карт, следует связаться с банком, а при необходимости — сменить пин-код или перевыпустить карту.

Действия компаний в этом плане регламентированы куда строже, объяснил ведущий аналитик «СёрчИнформ» Леонид Чуриков. По закону в течение суток с момента обнаружения утечки необходимо оповестить регулятор.

— Далее и по закону, и по жизни нужно попытаться понять причины и суть произошедшего: что утекло, в каком объеме, кто или что стало причиной. И принять меры для минимизации негатива. В число последних, кстати, как правило, входит оповещение пострадавших, тех, чьи данные утекли – сотрудников компании и клиентов, — продолжает Чуриков. — Им нужно дать разъяснение по поводу того, что из их информационного «имущества» пострадало, чем они рискуют и что делать для уменьшения рисков своими силами. Скажем, отказаться от тех или иных финансовых или других операций, поменять логины и пароли, уведомить государство о компрометации каких-то удостоверяющих документов.

Затем в течение трех суток необходимо вновь связаться с регулятором. И оповестить о подробностях внутреннего расследования и принимаемых для минимизации ущерба мерах.

— Ответы типа «а как я мог узнать» или «а что я могу поделать» регулятора не устроят. Точнее их можно было бы согласовать, привлекая в случае аврала самого регулятора, скажем, если организация относится к критической информационной инфраструктуре (КИИ) и заранее согласовывает меры реагирования с ФСБ и другими структурами. Тогда ответственность действительно можно разделить. Если регулятор это утвердит и выразит готовность помочь, — поясняет эксперт.

Безусловно, в ситуации с утечкой пользовательских данных компаниям необходимо заботиться и о репутационных потерях. И если инцидент связан с пренебрежением к информационной безопасности, то урон в этом плане может быть весьма серьезным.

— Наверное, 70% утечек происходит по халатности, из-за неправильно выстроенных процессов внутри компании, из-за абсолютно некачественных продуктов. То есть какие-то даже крупные корпорации этим грешат. У них может быть сумасшедший бюджет на ИТ, куплено дорогущее решение абсолютно. Но вкупе они не работают, они не настроены, — рассуждает эксперт по кибербезопасности Павел Мясоедов. — То есть, это просто в свое время кто-то занимался веселыми закупками, попробуем, так это назвать. И если это в такой ситуация происходит, и утечки происходят просто потому, что половина не работает и работа и не настроен должным образом, удар по репутации будет серьезный. Здесь надо разбираться, из-за чего изначально проблема произошла.

Если кого-то «хакнули» и работали профессиональные преступники, которые занимались планомерной работой в целях того, чтобы положить сайт или какую-то другую информсистему, сервер, базу, то здесь всегда идет борьба с двух сторон, продолжает специалист. Иногда побеждают преступники, а иногда — побеждают их. Однако в ситуации такой подготовленной атаки удар по репутации будет значительно слабее. «Это определенные реалии»,  — резюмирует эксперт.

---

Читайте также: «Эмоциональный фон у всех разный, мошенники умеют подбирать крючки»: как хакеры атакуют компании и зачем им нужны наши соцсети?

---