новости
«Гражданин — лишь одна из записей в базе данных»

12 октября 2019

Эксперты о том, как избежать утечек личных данных


В начале октября произошла самая крупная в российском банковском секторе утечка персональных данных — на черном рынке могла оказаться информация о владельцах 60 млн карт Сбербанка. Как стало известно позднее, виновником утечки оказался один из сотрудников кредитной организации. “Ъ” спросил у экспертов, увеличилось ли в последнее время число утечек, почему это происходит и как этого можно избежать.

1. Можно ли говорить о том, что число масштабных утечек данных граждан действительно участилось, или о них просто чаще становится широко известно?
2. Какую ценность имеют личные данные граждан для злоумышленников и чем рискует сам гражданин в случае утечки?
3. Какие ошибки допускают люди и компании при попытке защитить свои данные от утечки? Чем нужно руководствоваться, чтобы минимизировать риск утечки данных («правила информационной гигиены»)?
4. Что можно предпринять, если ваши данные уже утекли?

Алексей Лукацкий, эксперт по информационной безопасности Cisco:

1. Я бы сказал, что скорее всего о них стали просто больше говорить, нежели что участились случаи утечки информации.
2. Все зависит от конкретных данных. Если это контактная информация, включая e-mail, телефон и так далее, то это замечательный инструмент для социального инжиниринга, когда злоумышленники начинают выдавать себя за сотрудников безопасности банков, других компаний. В результате граждане теряют свои деньги, и у них снижается доверие к тем институтам, которые допустили, по их мнению, утечку. Соответственно, это уже удар по экономике и репутации организации в целом.
3. Для минимизации утечек данных есть руководящие документы регуляторов, например ФСТЭК России, которые достаточно неплохо описывают набор защитных и организационно-технических мероприятий. Вопрос в том, что эти требования мало кто реализует, поскольку они требуют существенных финансовых вливаний. Многие компании у нас живут по принципу «пока гром не грянет, мужик не перекрестится» и пытаются бороться со следствием, когда утечка информации уже произошла. Можно было бы добавить работу с персоналом, поскольку часто основным источником утечки информации является сотрудник, который решил подзаработать.
4. Если мы говорим о физическом лице, то в современных условиях предпринять ничего не получится. Правоохранительные органы всеми правдами-неправдами будут такие дела забраковывать. Когда речь идет о юридических лицах, то здесь все зависит от их известности. Если результат утечки не может быть выражен материально в каком-то серьезном исчислении, то и суды скорее всего либо прекратят это дело за отсутствием состава или недоказанностью, либо дадут преступникам, если их все-таки поймают, условные сроки.

Владимир Ульянов, руководитель аналитического Zecurion Analytics:

1. В развитых в цифровом отношении странах об утечках говорилось и раньше, и это становилось большой проблемой для бизнеса. Если СМИ сообщали об утечке, компании должны были сразу принимать конкретные меры, проводить мониторинговые мероприятия, чтобы данные не были использованы в ущерб людям, отчитаться перед регулятором. Сейчас в России внимание к безопасности поменялось, люди более озабочены этой проблемой.
2. Еще несколько лет назад утечку данных было довольно сложно монетизировать. Сейчас в рамках классической социальной инженерии, когда идет обзвон по большому количеству номеров, данные о конкретном человеке намного повышают шансы злоумышленника на реализацию его преступной атаки.
3. К непонятным, немотивированным звонкам стоит относиться настороженно, особенно если неизвестный собеседник начинает морально давить, представляется сотрудником банка, тем более начинает выяснять приватные сведения. Еще одна проблема возникает тогда, когда мы отдаем свои данные в какие-то электронные системы. Если возникает подозрение, что доверия нет, нужно искать другой сервис. Что касается безопасности компаний, то тут главная проблема — собственные сотрудники, а не хакеры.
4. Это большая проблема, поскольку поменять данные не всегда возможно. Можно перевыпустить банковскую карту, но если произошла утечка паспортных данных, то тут вряд ли что можно предпринять. А сейчас мы приходим к разработке биометрической системы, и это создает дополнительные угрозы.

Евгений Лифшиц руководитель «Агентства кибербезопасности»:

1. И число увеличилось, и стали больше об этом говорить. Персональные данные стали очень востребованным товаром на черном рынке.
2. Все зависит от качества и объема этих данных. Мошенникам важно получить доверие «клиента» и побудить его совершить те или иные действия, которые приведут в дальнейшем к потере финансов. А если мы говорим, например, об утечке медицинских данных, то там могут быть совершенно другие, но не менее тяжелые для человека последствия.
3. Нужно к своим персональным данным, а в случае компаний — к данным своих клиентов, относиться как к большой ценности. Сейчас ваши данные могут нанести больший жизненный и финансовый урон, чем потеря вашего обычного бумажного паспорта.
4. С данными, которые ушли, предпринять уже ничего невозможно. Но на будущее нужно государству работать, менять и ужесточать законодательство, создавать единый реестр персональных данных, с их тщательной обработкой и защитой. Есть масса практических примеров, например, в Европе, как там работает «дженерал дата протекшн», насколько суровое законодательство по отношению к тому, как данные граждан используются не по назначению.

Ашот Оганесян, основатель и технический директор компании DeviceLock:

1. Количество утечек действительно растет очень быстрыми темпами вместе с диджитализацией бизнеса, и именно поэтому их становится труднее скрывать. Компании и граждане активно пользуются удобными сервисами, но ни те ни другие до конца не понимают, какие существуют угрозы и какие усилия нужно приложить, чтобы от них защититься. Хороший пример — банки, которые, научившись защищаться от хакеров, по-прежнему беззащитны перед инсайдерами — собственными сотрудниками, решившими продать клиентские данные на черном рынке.
2. Личные данные граждан используются чаще всего для разных видов мошенничеств — от ставшей широко известной кражи средств через названные клиентом якобы сотруднику банка коды СМС-подтверждений до более изощренных схем с получением на имя человека онлайн-кредитов и даже электронной подписи, с помощью которой у него потом отчуждается недвижимость. Гражданин в этом случае рискует всем, что у него есть, но в первую очередь деньгами.
3. Главная проблема компаний — построение недостаточно эффективного контура защиты. Многие думают, что можно просто написать регламент или купить DLP-систему, и проблема решена. А на практике нужно строить комплексную систему из программного обеспечения, регламентирующих документов, постоянного тестирования и перепроверки всего и вся, в том числе сотрудников. Что касается граждан, то они практически ничего не могут сделать для того, чтобы сохранить данные.
4. Нужно просто быть к этому готовым и постоянно помнить, что кто-то знает имена ваших детей, ваши паспортные данные или последние платежи по карте. Нужно всегда самому перезванивать на публичные телефоны учреждений и служб, сотрудники которых якобы пытаются с вами связаться, и никому не называть коды СМС-подтверждений, пароли и другую критичную информацию.


Наталья Касперская, генеральный директор группы компаний InfoWatch:

1. Утечек становится больше, и это не связано с тем, что такая информация чаще становится известной. Чем больше данных граждан цифровизуется, тем больше утечек происходит. В 2018 году утекло 7,28 млрд записей. А за первые полгода 2019 скомпрометировано уже 8,74 млрд записей персональных и платежных данных. Статистика говорит, что внешние атаки — причина 44,4% утечек, а внутренние — 55,6%.
2. Базы данных граждан служат для того, чтобы потом этим гражданам что-нибудь пытаться втюхать. Базы данных, которые утекли из компаний связи, используются для звонков с неизвестных номеров, и человек или отвечает, или перезванивает, а потом с его счета списываются какие-то средства.
3. Очень часто данные утекают не по вине граждан. Данные хранятся в какой-то базе, но компании не всегда применяют весь комплекс необходимых мер по их защите. И тут гражданин ничего не может сделать, он лишь одна из записей в этой базе данных. Чем база больше и наполненнее, тем она ценнее. Главное, нужно контролировать то, что у тебя в руках,— телефон или облачное хранилище.
4. Если речь идет о финансовой информации, то перевыпустить кредитную карточку. Если о паспортных данных или телефоне, то здесь все сложнее, ничего особо-то и не сделаешь, разве что телефон поменять. С точки зрения цифровых утечек кнопочные телефоны и наличные деньги защита, но и это не панацея.

Источник: Газета "Коммерсантъ"