В России резко выросло число утечек персональных данных и коммерческих сведений из транспортных и промышленных компаний. За первую половину года украдено 9,5 млн записей — в 10 раз больше, чем за то же время в прошлом году. Об этом «Известиям» сообщили в компании InfoWatch. Рост числа утечек связан с высокими темпами цифровизации экономики. При этом наказание и для компаний, не защищающих данные клиентов, остается незначительным, считают эксперты.
Плата за цифровизацию
Из российских промышленных, энергетических и транспортных компаний в первой половине этого года «утекло» 9,5 млн записей. Это в 10 раз больше, чем годом ранее. Большая часть из этих записей пришлась на одну крупную утечку из службы доставки СДЭК, рассказали «Известиям» в компании InfoWatch. Ранее СМИ сообщали, что в Сети появились предложения приобрести данные более 9 млн клиентов курьерской службы за 70 тыс. рублей. В самой компании СДЭК тогда утверждали, что никакой утечки данных не было. Мошенники предлагали не готовые базы, а доступ сотрудника с возможностью просмотра данных, но это уловка — скачать или экспортировать данные нельзя, утверждал представитель курьерской службы.
Данные о клиентах СДЭК были обнаружены в даркнете, пояснили в пресс-службе InfoWatch. Невозможно полностью проверить подлинность всех персональных данных, которые оказались в публичном доступе, так как эта информация является конфиденциальной и компания, допустившая их утечку, не может ее предоставлять третьим лицам, добавили в пресс-службе.
За весь 2019 год на черном рынке оказалось 2,2 млн записей — персональных данных клиентов и коммерческих секретов организаций. Это произошло в результате 25 утечек. Для сравнения: в 2018-м было только восемь таких случаев, то есть втрое меньше. Общемировые темпы роста числа утечек гораздо ниже. За 2019 год аналитики InfoWatch насчитали 158 случаев утечек в мире. Это на 42% больше, чем годом ранее.
Детальной информации об утечках этого года пока нет. В 2019 году 82% из всех украденных записей пришлось на транспортную отрасль. Причем утечки у таких компаний довольно большие по объему, отметили в InfoWatch. В результате одного инцидента из этой сферы «утекает» в среднем 1,15 млн записей. Три четверти из них — персональные данные клиентов.
Предприятия из транспортной сферы в большей степени подвержены хакерским атакам, тогда как в промышленных, добывающих и энергетических компаниях основные риски связаны с действиями внутренних нарушителей, отметили в InfoWatch. 43% всех утечек в сфере транспорта произошло из-за активности хакеров, тогда как в промышленных предприятиях только 22,4% из них спровоцировано внешними злоумышленниками. Остальные случаи связаны с недобросовестностью сотрудников самих организаций, сказали специалисты.
Рост количества утечек в промышленных и транспортных компаниях связан с тем, что всё больше организаций хранят данные в цифровом виде — и на своих серверах, и в облачных сервисах. А значит, без должных систем защиты эту информацию можно потерять, считает руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев.
В России персональные данные из промышленности и транспорта в основном «утекают» из-за халатности и ошибок персонала. При этом отечественные предприятия в этих сферах не обладают широким спектром привлекательных информационных активов в категориях «ноу-хау» и «коммерческая тайна». А там, где этих активов много, они защищены как от хакеров, так и внутренних нарушителей, добавил Андрей Арсентьев.
Транспортный отток
В 2019 году наблюдался серьезный рост числа утечек из транспортно-логистических компаний, согласен менеджер по развитию направления DLP Solar Dozor компании «Ростелеком-Солар» Алексей Кубарев. По его мнению, это связано с ростом востребованности доставки товаров и, соответственно, с расширением клиентских баз транспортных компаний. Как следствие, растет и привлекательность этой отрасли для злоумышленников.
Персональная информация клиентов пользуется спросом на черном рынке — хакер может выгодно продать украденные данные в даркнете. Поэтому количество утечек продолжает расти, добавил Алексей Кубарев.
Стоимость данных различается на криминальном рынке, уточнил глава компании «Интернет-Розыск» Игорь Бедеров. 5–10 рублей стоит информация о пользователе кредитной карты вместе с паспортными и контактными данными, пояснил он. Базы с украденными паролями от различных сервисов стоят до 5 рублей за строку и используются для мошенничества, создания ботнетов, вымогательства, попрошайничества, добавил специалист.
В системах транспортных компаний также обрабатывается большой объем информации, представляющей интерес для хакеров. Главным образом это персональные данные клиентов, а если у компании есть сервис онлайн-бронирования, то злоумышленники попробуют похитить данные платежных карт, пароли от личных кабинетов, отметила руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. Полученную информацию хакеры используют как для мошенничеств, так и для шантажа компании и требования выкупа за неразглашение данных, добавила она.
Без особого подхода
Реальное число утечек не поддается исчислению, поскольку нет инструментов, позволяющих выявить их все до одной, отметил Игорь Бедеров.
В России число утечек выше из-за халатного отношения к защите данных в некоторых компаниях и ведомствах. Ответственность за появление личной информации клиентов в Сети настолько незначительная, что расходы на защиту этих данных несравнимо больше, считает руководитель аналитического центра Zecurion Владимир Ульянов.
Единственное, чем рискует компания при утечке, — это своей репутацией. Но имиджем дорожат далеко не все предприятия, а ведомства и вовсе могут им пренебречь, пояснил он.
Финансовый ущерб от утечек персональных данных для транспортных компаний невелик, поскольку штрафы незначительны, согласен Андрей Арсентьев. Значительно больший урон получают граждане, данные которых злоумышленники активно используют в мошеннических схемах, отметил он.
Например, утекшие сведения из одной базы могут дополнять другую. Такая сводная информация дает мошенникам больше возможностей для применения методов социальной инженерии, чтобы обманом выманить деньги у граждан, добавил Андрей Арсентьев.
По КоАПу максимальный штраф за утечку персональных данных составляет 75 тыс. рублей и его размер не зависит от объема скомпрометированной информации, отметил председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России (АЮР) Александр Журавлев. В то же время в Евросоюзе штрафы для компаний, допустивших утечки, могут достигать 4% от годового оборота, добавил он.
Граждане, чьи личные данные оказались в открытом доступе, могут обратиться в суд и потребовать, чтобы виновник возместил убытки и компенсировал моральный вред, пояснил эксперт. По последнему пункту обычно удается получить не больше 15–20 тыс. рублей, рассказал Александр Журавлев. При этом дел о возмещении реальных убытков за все 14 лет существования закона «О персональных данных» ни разу не возбуждали, утверждает он. Это связано с непрозрачным оборотом информации, а также с тем, что пострадавший должен доказать, что потерял деньги из-за мошенников, завладевших персональными данными, пояснил эксперт.