Интервью

Данные с переходом наличности

В чем причина массовых утечек персональных сведений

Данные с переходом наличности
Фото: Сергей Коньков/ТАСС
28 января отмечается Международный день персональных данных. В 1981 г. в этот день Совет Европы принял конвенцию об их защите. Во всем мире ежегодно «утекают» данные сотен миллионов человек, и для России эта проблема актуальна: против нашей страны развернута настоящая кибервойна. Кроме того, рост утечек данных россиян обусловлен стремительной цифровизацией, по темпам которой РФ — одна из первых в мире. Слабое звено тут вовсе не законодательство (которое развивается) или ИТ-сектор (который предлагает достойные решения), а сам российский пользователь, который своими персональными данными не дорожит или экономит на средствах защиты.

Мировая проблема, особенно актуальная для России

Рост утечек персональных данных — проблема общемировая. По данным Ресурсного центра по краже персональных данных (ITRC), в 2023 г. в мире произошло 3,2 тыс. утечек, что на 78% больше, чем годом ранее. Эти инциденты затронули более 353 млн физических лиц.

Согласно выводам IBM, в 2024 г. средний финансовый ущерб от одной утечки данных составил $4,88 млн (+10% год к году), а на то, чтобы обнаружить утечку в среднем уходило 194 дня. При этом 82% утечек коснулись данных, размещенных в облачных хранилищах. В Verizon также подсчитали, что причиной 74% утечек прямо или косвенно служит человеческий фактор — от доверчивости до использования ненадежных паролей.

Для России проблема защиты персональных данных стоит особенно остро. С 2022 г. информационные атаки против российских организаций резко участились — их число удвоилось до более 220, подсчитали в Positive Technologies. В результате Россия стала самой атакуемой хакерами страной в мире и сохраняет такой статус до сих пор, сообщали в конце 2024-го в Kaspersky GReAT. Собеседники «Эксперта» с этим выводом согласны.

«Мошенничество на основе утекших персональных данных — одна из частей кибервойны против России, — говорит директор по технологическому консалтингу Axiom JDK Алексей Захаров. — Успешное предотвращение и отражение этих атак помогло российским ИТ- и ИБ-командам наработать беспрецедентный опыт противостояния, возможно, лучший в мире».

Как сообщила «Эксперту» старший аналитик исследовательской группы Positive Technologies Яна Авезова, каждое десятое объявление на тематических теневых площадках, посвященных утечкам данных, связано с покупкой, продажей или бесплатной раздачей данных, похищенных именно из российских организаций.

«Наша страна сейчас подвергается повышенному количеству кибератак из-за геополитической ситуации и действий определенных групп — хактивистов, которые пользуются тем, что нашим правоохранительным органам трудно до них добраться», — отмечает заместитель гендиректора Staffcop (входит в экосистему Контур) Юрий Драченин.

Если говорить об официальной статистике, то Роскомнадзор в 2024 г. зафиксировал 135 случаев утечек баз данных, содержавших более 710 млн записей о россиянах. Для сравнения, годом ранее ведомство сообщало о 168 утечках, содержавших 300 млн записей о россиянах.

Эффективное законодательство

Представители российского ИТ-сектора сходятся в том, что Россия пока далеко до безупречного уровня защиты информационных систем. Одна из сторон этой проблемы — развитие соответствующего законодательства. Так, Яна Авезова из Positive Technologies напомнила, что совсем недавно за утечки персональных данных в РФ были предусмотрены лишь штрафы, причем довольно скромные в сравнении с международными стандартами, например, с тем же Общим регламентом по защите данных (GDPR) Евросоюза.

«Если говорить объективно, то мы в защите персональных данных немного отстаем, — соглашается генеральный директор Zecurion Алексей Раевский. — У нас она начала продвигаться с задержкой, во многом под влиянием Европы и США, где соответствующие законы появились гораздо раньше. Так, оборотные штрафы, закон о которых в России приняли только в конце 2024 года, в США существуют давно».

Законодательные поправки, существенно ужесточающие ответственность за утечки данных, были приняты в ноябре 2024 г. Так, для компаний введены оборотные штрафы за повторные утечки — от 1 до 3% годовой выручки. А за кражу и незаконное использование персональных данных предусматривается уголовная ответственность — вплоть до 10 лет лишения свободы.

Реальный эффект от ужесточения законодательства станет заметен не моментально, а лишь спустя время, уверен эксперт направления безопасности промышленных предприятий Infosecurity (ГК Softline) Александр Метальников: «В России многие компании пока не принимают достаточных мер по защите персональных данных. Данные эти для организаций особой ценности не представляют, а затраты на их защиту многократно превышают возможные риски от их утечки. Не распространена у нас практика, когда граждане, пострадавшие от утечки персональных данных, обращались бы в суды за компенсацией ущерба и суды при этом присуждали бы какие-либо значительные денежные суммы в пользу пострадавших».

Причины законодательного отставания в сфере защиты данных можно трактовать и как следствие различий на уровне менталитетов, отмечает Алексей Раевский из Zecurion: «В нашем обществе традиционно запрос на приватность меньше, чем в западном, которое более индивидуализировано, где данная проблема более остро воспринимается и каждым человеком, и обществом в целом. Мы ближе по менталитету к азиатским странам, к коллективизму».

ИТ-сектор не виноват

Важно понимать, что рост утечек данных россиян происходит не потому, что отечественная ИТ-индустрия отстает от мировой, а наоборот — потому, что обгоняет.

«Утечки в России — не следствие недостаточных мер безопасности, а неизбежный итог тотальной цифровизации, которая на порядки обгоняет большинство других стран, — подчеркивает заместитель генерального директора по инновационной деятельности „СёрчИнформ“ Алексей Парфентьев. — В России традиционно высокий уровень подготовки ИБ-специалистов, нет недостатка и в качественных средствах защиты данных: например, отечественные антивирусы и системы против утечек информации (DLP) — одни из самых функциональных в мире».

Согласно оценке Центра стратегических разработок (ЦСР), российский рынок средств защиты данных является самым быстрорастущим сегментом в отрасли: в 2023 г. он увеличился на 93% до 23 млрд руб., составив 12% от общего рынка ИБ.

«Один из наших опросов показывает: российские организации со штатом более 1000 сотрудников в среднем используют шесть различных решений по защите данных, — отмечает Яна Авезова из Positive Technologies. — Новые законодательные меры подтолкнут организации к еще более активному использованию таких средств».

Впрочем, совсем иначе может выглядеть ситуация в компаниях поменьше, подчеркивает консультант по информационной безопасности AKTIV.CONSULTING Никита Козин: «К сожалению, средний и малый бизнес старается экономить на системах защиты информации и квалифицированных кадрах. Как результат, уровень защищенности персональных данных в стране достаточно низок».

Напомним, именно на малые и средние предприятия приходится пятая часть российской экономики и более 40% рабочей силы страны.

Защита персональных данных — дело самих пользователей

«Технически российский пользователь очень хорошо защищен, — говорит исполнительный директор ITGLOBAL.COM (корпорация ITG) Василий Белов. — Проблема утечек по большей части вызвана человеческим фактором: или сам пользователь недостаточно хорошо осведомлен о мерах защиты и может оказаться, к примеру, жертвой мошенников, или недобросовестные сотрудники, которые в силу служебных обязанностей имеют доступ к персональным данным пользователей, злоупотребляют своим служебным положением».

По словам Юрия Драченина из Staffcop, для защиты персональных данных нужен прежде всего «ответственный подход со стороны каждого отдельного пользователя — не только использование современных технологичных инструментов защиты, а повышение осведомленности людей», причем «начинать необходимо с себя, со своего окружения: семьи, друзей и близких».

Стране следует сосредоточиться на повышении осведомленности через образовательные программы для бизнеса и пользователей, уверена операционный директор WMT Group Наталия Лисицына. По ее словам, «залогом позитивных изменений станет формирование культуры безопасности — на уровне как компаний, так и государственных структур. Прямо сейчас такая культура у нас постепенно зарождается, проходит стадию формирования».

Нужно быть бдительней, наши персональные данные в наших руках, призывает заместитель генерального директора по научной работе АО «СиСофт Девелопмент» Михаил Бочаров. По его словам, воспользовавшись всего лишь интернет-поисковиком можно найти фотографии многих людей с раскрытым паспортом в руках.

«С нашим отношением к персональным данным нужно что-то менять, причем не только к чужим данным, а в первую очередь к своим», — подчеркивает эксперт.

Больше новостей читайте в нашем телеграм-канале @expert_mag

Материалы по теме:
Общество, 26 авг 08:00
Как сотовые операторы борются с мошенниками и спамерами
Общество, 17 апр 17:48
Только 0,05% киберпреступников были привлечены к ответственности
Общество, 21 фев 18:21
В феврале с телефонным мошенничеством столкнулись 67% россиян
Общество, 4 фев 20:26
В каких отраслях и регионах растет потребность в кадрах
Свежие материалы
Повышение откладывается
ЦБ не стал менять ключевую ставку, но риторика осталась жесткой
Санкции не повлияли на экспорт российской нефти
В мире,
Россия увеличила в январе выручку от экспорта нефти и нефтепродуктов