Заметил, что на разных новостных сайтах в последние месяцы расходится информация об аномальном снижении числа утечек персональных данных в России в 2023 году. Почти в два раза! Вот это успех. Неужели мы действительно стали самыми продвинутыми в сфере IT-безопасности в мире?

На самом деле, мне кажется, всё не так просто. Хочу предложить к обсуждению.

По моим субъективным ощущениям, число утечек данных в России за последний год не снизилось, а повысилось. Слышал о новых ситуациях от ряда руководителей. Среди причин — активизация взломщиков, отсутствие обновлений зарубежного ПО, переход на новые системы защиты, у которых не было нужных функций.

Но происходят определенные манипуляции статистикой. Фирмы стали чаще скрывать утечки — из-за принятия нового закона об оборотных штрафах. В нём Минцифры ввело штраф до 3% выручки (или до 15 млн рублей) за подтвержденный случай утечки данных пользователей.

Закон внесли в Госдуму в конце 2023 года, приняли в начале 2024-го. Понятно, что попасть под подобные штрафы не хочется никому. Умные компании подстраховались заранее — как известно, законы у нас всё чаще становятся ретроактивными. 

Чтобы избежать штрафов, часть компаний вывели обработку персональных данных на сторонние аффилированные фирмы с небольшим оборотом. А другие предпочитают тихо договариваться со взломщиками, чтобы те не публиковали информацию о взломе, и ушли, получив откуп.

Злоумышленники тоже хорошо знают об этой тенденции, и пытаются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о наличии взлома. Отсюда — внешняя картинка идиллии в индустрии.

Перспективы роста утечек в этом году?

Количество утечек в целом, видимо, будет расти — как минимум из-за всё большего развития новых технологий, в которых не разбираются ни обычные пользователи, ни даже представители IT-сообщества, если они не работают в конкретной сфере.

Яркий пример — понятно, генеративный ИИ. Никто не знает, как он работает внутри, часто даже его создатели. Это большое непаханое поле для злоумышленников, адаптирующих эти ИИ под свои нужды.

Самой сложной и самой слабой точкой безопасности в любой компании всегда будут оставаться люди. И здесь открывается новое измерение в области социальной инженерии — психологического манипулирования представителями компаний, особенно теми, у кого нет знания последних технологий. Я уже давно не смеюсь над людьми, которые отдают деньги «службе безопасности Сбербанка». Потому что в любой день жду звонка о том, что этими людьми стали мои сотрудники.

Вовсю развиваются ИИ, способные распознавать голос и внешний вид своей «жертвы». Им достаточно пары фото и десяти секунд записи голоса — и они могут воссоздать лицо и голос директора/СЕО настолько эффективно, чтобы вести от имени этого человека видеоконференцию. Технология в простом виде была доступна еще в 2017 году (см. Lyrebird), но в прошлом году её впервые начали использовать мошенники в Китае, Гонконге и Сингапуре — где бухгалтерам компаний «звонил» их босс, и приказывал перевести миллионы на определенный счет.

В 2024 году это вовсю пришло и в Россию. Называется дипвойс-фишинг, но запись может быть в том числе с видео. Только в феврале о таких кражах личности и голоса сообщили мэр Рязани, мэр Владивостока и мэр Краснодара. Компании этим видам фишинга тоже подвержены, как наглядно показали примеры азиатских стран. Единственный полноценный способ защиты — не выполнять никакие приказы, пришедшие через голосовое сообщение или звонок. И не переводить большие суммы денег (или не отправлять важные данные) без личного контакта. Но у многих так работать просто не получается.

Это только мое ощущение, или вам тоже кажется, что с утечками данных всё только начинается, и позитив в СМИ не имеет под собой реальной основы?

Что у вас случалось за последний год?

Комментарии (9)


  1. ITSoftWeb
    21.05.2024 10:03
    +1

    Просто эта тема сейчас под пристальным вниманием государства. Вон, две недели назад даже объявили о запуске Ростехом новой линии производства телефона с "защитой перс. данных". Сейчас на этот Аууа с её ОС "Аврора" принудительно переводят топ-менеджеров госкомпаний. Откуда же данные утекут, если у нас такие крутые новые телефоны и лучшее в мире отечественное ПО?


  1. blik13
    21.05.2024 10:03
    +2

    Почти в два раза! Вот это успех. Неужели мы действительно стали самыми продвинутыми в сфере IT-безопасности в мире?

    Юмор, однако. Сидят гипотетические японцы с одним и тем же количеством утечек каждый год и грустят, плохо у них с безопасностью. В абсолютных цифрах количество меньше раз в 10, но не уменьшается каждый год вдвое.


  1. Valao
    21.05.2024 10:03
    +1

    Только в феврале РКН сообщал про утечку в 500млн. строк.

    "заместитель главы Роскомнадзора Милош Вагнер рассказал СМИ, что с начала 2024 года в сеть утекло 510 млн записей о россиянах. В регуляторе уточнили, что 500 млн из этих записей были скомпрометированы в результате одного киберинцидента".

    Да и по остальному никакого уменьшения не заметно.

    "В 2023 году из российских финансовых организаций утекло 170.3млн. записией персональных данных клиентов (без учета платежных данных) — это в 3,2 раза больше, чем в 2022 году, по сравнению с 2021 годом показатель подскочил почти в 57 раз, показали результаты исследования экспертно-аналитического центра (ЭАЦ) компании InfoWatch".

    https://www.rbc.ru/rbcfreenews/65d7ef3d9a7947d8608dbbb3

    Да и с чего бы им уменьшаться? Компании хотят все больше данных, а серьезно к вопросу хранения относятся немногие.

    В прошлом году меня удивила одна продуктовая сеть. Для карточки клиента у них есть анкета, которая, кроме телефона, мейла и соц. сетей, включает обязательное указание домашнего адреса. Спасибо, без снилса и инн. Потом все это утекает-перетекает и не докажешь, что первопричиной был слив из компании х.


    1. PereslavlFoto
      21.05.2024 10:03

      Однако в таких анкетах не обязательно писать свой домашний адрес. Можно указать чужой.


      1. Dolios
        21.05.2024 10:03

        А доставка тоже будет по чужому адресу приезжать?


        1. PereslavlFoto
          21.05.2024 10:03

          Адрес доставки надо каждый раз указывать в примечании.


          1. Dolios
            21.05.2024 10:03

            Расскажите потом, как всё прошло.


            1. PereslavlFoto
              21.05.2024 10:03

              Очевидно, вы имели в виду случай, когда в профиле один адрес, а в примечании другой? Вы хотели узнать, как всё прошло, если есть путаница?

              Путаницы нет, потому что в профиле не указан адрес. Там записано только название населённого пункта.

              Вы спросите, что делать, когда в профиль требуют записывать точный адрес. Этого требования нет, потому что во многих населённых пунктах нет улицы или нет номера дома (деревня Зелёная, квартал 2, строение б). Поэтому профиль почти никогда не требует размечать адрес, а предлагает записать его в текстовой строке.

              Кроме того, доставка всегда предупреждает, чтобы вы могли выйти на улицу и принять товар. В этом случае вы можете указать любой из соседних домов.


              1. Dolios
                21.05.2024 10:03

                деревня Зелёная

                Я вам только могу сказать, что подавляющее большинство людей живёт в городах. Но вы можете продолжать продвигать свою деревню и её порядки..

                Кроме того, доставка всегда предупреждает, чтобы вы могли выйти на улицу и принять товар.

                Чего? Я за свои деньги ещё должен ходить куда-то? У нас в городах клиент платит деньги, а доставка приносит товар в квартиру. У вс тоже так будет когда-нибудь..