Каждый из нас — лишь одна из записей в базе данных. Возможно ли избежать информационных утечек?
Об информационных утечках, о том, почему это происходит и как этого можно избежать - на вопросы отвечают Алексей Лукацкий, эксперт по информационной безопасности Cisco, Владимир Ульянов, руководитель аналитического Zecurion Analytics, Евгений Лифшиц, руководитель «Агентства кибербезопасности», Наталья Касперская, генеральный директор группы компаний InfoWatch.
1. Можно ли говорить о том, что число масштабных утечек данных граждан действительно участилось, или о них просто чаще становится широко известно?
И число увеличилось, и стали больше об этом говорить. В развитых в цифровом отношении странах об утечках говорилось и раньше, и это становилось большой проблемой для бизнеса. Количество утечек действительно растет очень быстрыми темпами вместе с диджитализацией бизнеса, и именно поэтому их становится труднее скрывать. Компании и граждане активно пользуются удобными сервисами, но ни те ни другие до конца не понимают, какие существуют угрозы и какие усилия нужно приложить, чтобы от них защититься. Хороший пример — банки, которые, научившись защищаться от хакеров, по-прежнему беззащитны перед инсайдерами — собственными сотрудниками, решившими продать клиентские данные на черном рынке. Персональные данные стали очень востребованным товаром на черном рынке.
И число увеличилось, и стали больше об этом говорить. В развитых в цифровом отношении странах об утечках говорилось и раньше, и это становилось большой проблемой для бизнеса. Количество утечек действительно растет очень быстрыми темпами вместе с диджитализацией бизнеса, и именно поэтому их становится труднее скрывать. Компании и граждане активно пользуются удобными сервисами, но ни те ни другие до конца не понимают, какие существуют угрозы и какие усилия нужно приложить, чтобы от них защититься. Хороший пример — банки, которые, научившись защищаться от хакеров, по-прежнему беззащитны перед инсайдерами — собственными сотрудниками, решившими продать клиентские данные на черном рынке. Персональные данные стали очень востребованным товаром на черном рынке.
Чем больше данных граждан цифровизуется, тем больше утечек происходит. В 2018 году утекло 7,28 млрд записей. А за первые полгода 2019 скомпрометировано уже 8,74 млрд записей персональных и платежных данных. Статистика говорит, что внешние атаки — причина 44,4% утечек, а внутренние — 55,6%.
2. Какую ценность имеют личные данные граждан для злоумышленников и чем рискует сам гражданин в случае утечки?
Все зависит от конкретных данных. Если это контактная информация, включая e-mail, телефон и так далее, то это замечательный инструмент для социального инжиниринга, когда злоумышленники начинают выдавать себя за сотрудников безопасности банков, других компаний. Мошенникам важно получить доверие «клиента» и побудить его совершить те или иные действия, которые приведут в дальнейшем к потере финансов. А если мы говорим, например, об утечке медицинских данных, то там могут быть совершенно другие, но не менее тяжелые для человека последствия.
Личные данные граждан используются также для получения на имя человека онлайн-кредитов и даже электронной подписи, с помощью которой у него потом отчуждается недвижимость. Гражданин в этом случае рискует всем, что у него есть, но в первую очередь деньгами.
Базы данных, которые утекли из компаний связи, используются для звонков с неизвестных номеров, и человек или отвечает, или перезванивает, а потом с его счета списываются какие-то средства.
Все зависит от конкретных данных. Если это контактная информация, включая e-mail, телефон и так далее, то это замечательный инструмент для социального инжиниринга, когда злоумышленники начинают выдавать себя за сотрудников безопасности банков, других компаний. Мошенникам важно получить доверие «клиента» и побудить его совершить те или иные действия, которые приведут в дальнейшем к потере финансов. А если мы говорим, например, об утечке медицинских данных, то там могут быть совершенно другие, но не менее тяжелые для человека последствия.
Личные данные граждан используются также для получения на имя человека онлайн-кредитов и даже электронной подписи, с помощью которой у него потом отчуждается недвижимость. Гражданин в этом случае рискует всем, что у него есть, но в первую очередь деньгами.
Базы данных, которые утекли из компаний связи, используются для звонков с неизвестных номеров, и человек или отвечает, или перезванивает, а потом с его счета списываются какие-то средства.
3. Какие ошибки допускают люди и компании при попытке защитить свои данные от утечки? Чем нужно руководствоваться, чтобы минимизировать риск утечки данных («правила информационной гигиены»)?
Для минимизации утечек данных есть руководящие документы регуляторов, например ФСТЭК России, которые достаточно неплохо описывают набор защитных и организационно-технических мероприятий. Вопрос в том, что эти требования мало кто реализует. Можно было бы добавить работу с персоналом, поскольку часто основным источником утечки информации является сотрудник, который решил подзаработать, а не хакер.
Еще одна проблема возникает тогда, когда мы отдаем свои данные в какие-то электронные системы. Если возникает подозрение, что доверия нет, нужно искать другой сервис.
Нужно к своим персональным данным, а в случае компаний — к данным своих клиентов, относиться как к большой ценности. Сейчас ваши данные могут нанести больший жизненный и финансовый урон, чем потеря вашего обычного бумажного паспорта.
Сами граждане обычно практически ничего не могут сделать для того, чтобы сохранить свои данные.
Очень часто данные утекают не по вине граждан. Данные хранятся в какой-то базе, но компании не всегда применяют весь комплекс необходимых мер по их защите. И тут гражданин ничего не может сделать, он лишь одна из записей в этой базе данных. Чем база больше и наполненнее, тем она ценнее. Главное, нужно контролировать то, что у тебя в руках,— телефон или облачное хранилище.
Для минимизации утечек данных есть руководящие документы регуляторов, например ФСТЭК России, которые достаточно неплохо описывают набор защитных и организационно-технических мероприятий. Вопрос в том, что эти требования мало кто реализует. Можно было бы добавить работу с персоналом, поскольку часто основным источником утечки информации является сотрудник, который решил подзаработать, а не хакер.
Еще одна проблема возникает тогда, когда мы отдаем свои данные в какие-то электронные системы. Если возникает подозрение, что доверия нет, нужно искать другой сервис.
Нужно к своим персональным данным, а в случае компаний — к данным своих клиентов, относиться как к большой ценности. Сейчас ваши данные могут нанести больший жизненный и финансовый урон, чем потеря вашего обычного бумажного паспорта.
Сами граждане обычно практически ничего не могут сделать для того, чтобы сохранить свои данные.
Очень часто данные утекают не по вине граждан. Данные хранятся в какой-то базе, но компании не всегда применяют весь комплекс необходимых мер по их защите. И тут гражданин ничего не может сделать, он лишь одна из записей в этой базе данных. Чем база больше и наполненнее, тем она ценнее. Главное, нужно контролировать то, что у тебя в руках,— телефон или облачное хранилище.
4. Что можно предпринять, если ваши данные уже утекли?
Если мы говорим о физическом лице, то в современных условиях предпринять ничего не получится. Правоохранительные органы всеми правдами-неправдами будут такие дела забраковывать. Когда речь идет о юридических лицах, то здесь все зависит от их известности. Если результат утечки не может быть выражен материально в каком-то серьезном исчислении, то и суды скорее всего либо прекратят это дело за отсутствием состава или недоказанностью, либо дадут преступникам, если их все-таки поймают, условные сроки.
Можно перевыпустить банковскую карту, но если произошла утечка паспортных данных, то тут вряд ли что можно предпринять. А сейчас мы приходим к разработке биометрической системы, и это создает дополнительные угрозы.
Нужно ужесточать законодательство по отношению к тому, как данные граждан используются не по назначению.
Нужно быть к этому готовым и постоянно помнить, что кто-то знает имена ваших детей, ваши паспортные данные или последние платежи по карте. Нужно всегда самому перезванивать на публичные телефоны учреждений и служб, сотрудники которых якобы пытаются с вами связаться, и никому не называть коды СМС-подтверждений, пароли и другую критичную информацию.
