Количество утекших персональных данных в России за год превысило 667 миллионов записей, что в почти три раза больше, чем в прошлом году, по данным компании InfoWatch.
Преступники выкладывают данные бесплатно, без мотива заработка. Каждая утечка в 2022 году по объему выросла на треть по сравнению с годом ранее и содержала около 940 тысяч записей. Количество скомпрометированных записей более чем в 4,5 раза превысило население страны.
Порядка 80% утечек имеют гибридный вектор воздействия, в которых могут участвовать как внешние, так и внутренние нарушители. Доля утечек информации категории «коммерческая тайна» выросла в два раза. Доля утечек организаций отраслевой группы «Ретейл & HoReCa» выросла почти в пять раз, а среди промышленных, транспортных и энергетических компаний — почти в три раза. На малый бизнес пришлось более 20% утечек — это вдвое больше, чем в 2021 году. Для анализа использовалась база утечек информации InfoWatch, которую пополняют с 2004 года.
Мнение экспертов об утечках за год
Согласно Group-IB, объем персональной информации, скомпрометированной в прошлом году, был выше, чем предполагала InfoWatch, более чем в два раза, заявил генеральный директор компании в России и СНГ Валерий Баулин. По оценкам Group-IB, количество записей утечек прошлого года в десять раз превышало население России. Среди этих записей были имена клиентов, телефоны, адреса, даты рождения, а в некоторых случаях также хеш-пароли, паспортные данные, подробности заказов и другая чувствительная информация.
«Общее количество строк данных пользователей в утечках 2022 года составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн», — отметил Баулин.
Он также отметил, что большинство объявлений было обнаружено на форумах и в Telegram. Массовая публикация объявлений в мессенджерах стала трендом 2022 года, в то время как раньше такие случаи были единичными.
Баулин подчеркнул, что ни одна сфера российского бизнеса не защищена от утечек. По его словам, злоумышленники нападали на финансовые, страховые и IT-компании, сервисы доставки, мобильных операторов, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также на энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.
«Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам», — добавил он.
Сколько будет утечек в 2023 году
В конце 2023 года может быть побит антирекорд по количеству утечек данных, уверен один из экспертов. Однако основатель DLBI, сервиса по мониторингу даркнета и утечек данных, утверждает, что в прошлом году российские компании потеряли меньше данных, чем указано в отчете InfoWatch. Он уточнил, что около 100 млн уникальных адресов электронной почты и 110 млн уникальных номеров телефонов были украдены, а объем неуникальных данных был исчислен миллиардами. Однако этот показатель не является значимым, отметил Оганесян.
Он также высказал сомнения относительно вывода InfoWatch о том, что 80% утечек данных имеют гибридный вектор воздействия, то есть участвовали как внешние, так и внутренние нарушители. По мнению Оганесяна, практически все «источники», публикующие утечки в даркнете, известны и имеют известный профессиональный почерк, который сводится к взлому серверов баз данных через известные уязвимости или захвату контроля над рабочим местом пользователя с административными полномочиями. Он также отметил, что внутренние утечки данных сегодня в основном происходят в результате пробивов.
Согласно оценкам DLBI, малый бизнес по количеству утечек данных превысил 50%, но по суммарному объему утечек составил менее 10%.
Оганесян подчеркнул, что утечки данных будут продолжаться, но нельзя сказать, что какая-то конкретная отрасль станет мишенью. Хакеры атакуют все компании, поэтому вероятность утечки данных зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность.
Оборотные штрафы за утечки
В апреле прошлого года глава Минцифры Максут Шадаев предложил ввести оборотные штрафы для компаний, которые допускают утечки персональных данных. Шадаев пояснил, что сейчас бизнес больше боится репутационных рисков, чем штрафов. Проект разрабатывается совместно с Роскомнадзором и не затронет государственные органы, сказал Шадаев. Предполагалось, что штраф составит до 1% от оборота компании.
Директор экспертного центра по безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков отметил, что введение оборотных штрафов за утечки персональных данных населения станет значительным риском для многих компаний, и они начнут выделять бюджеты на информационную безопасность, чтобы защитить базы данных, которые они собирают.
Самые крупные утечки в 2022
В 2022 году в России произошло несколько крупных утечек данных. В марте пользователи соцсетей начали распространять ссылку на сайт, где были опубликованы личные данные пользователей сервиса Яндекс.Еда. В Сеть было выложено около 49 млн строк информации, включая адрес доставки, номер телефона, электронную почту и сумму заказов за последние полгода. В мае аналогичную утечку сообщил сервис доставки еды Delivery Club, где утекли данные о заказах без банковских реквизитов. По данным телеграм-канала In4security, утекшая база заказов содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
В конце февраля также стало известно о утечке данных клиентов СДЭК. Утечка содержала файл с 466 млн строк с ID и номерами телефонов, а также другой файл с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК подтвердила факт утечки, но заявила, что в базе не было номеров документов и другой важной персональной информации, включая платежную.
В ноябре на продажу была выставлена база данных пользователей сервиса электросамокатов Whoosh. В базе оказалось около 7,3 млн записей, включая имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров после того, как один из сотрудников компании нарушил установленные правила.
Фото: Firestock.