Мировая проблема, особенно актуальная для России
Рост утечек персональных данных — проблема общемировая. По данным Ресурсного центра по краже персональных данных (ITRC), в 2023 г. в мире произошло 3,2 тыс. утечек, что на 78% больше, чем годом ранее. Эти инциденты затронули более 353 млн физических лиц.
Согласно выводам IBM, в 2024 г. средний финансовый ущерб от одной утечки данных составил $4,88 млн (+10% год к году), а на то, чтобы обнаружить утечку в среднем уходило 194 дня. При этом 82% утечек коснулись данных, размещенных в облачных хранилищах. В Verizon также подсчитали, что причиной 74% утечек прямо или косвенно служит человеческий фактор — от доверчивости до использования ненадежных паролей.
Для России проблема защиты персональных данных стоит особенно остро. С 2022 г. информационные атаки против российских организаций резко участились — их число удвоилось до более 220, подсчитали в Positive Technologies. В результате Россия стала самой атакуемой хакерами страной в мире и сохраняет такой статус до сих пор, сообщали в конце 2024-го в Kaspersky GReAT. Собеседники «Эксперта» с этим выводом согласны.
«Мошенничество на основе утекших персональных данных — одна из частей кибервойны против России, — говорит директор по технологическому консалтингу Axiom JDK Алексей Захаров. — Успешное предотвращение и отражение этих атак помогло российским ИТ- и ИБ-командам наработать беспрецедентный опыт противостояния, возможно, лучший в мире».
Как сообщила «Эксперту» старший аналитик исследовательской группы Positive Technologies Яна Авезова, каждое десятое объявление на тематических теневых площадках, посвященных утечкам данных, связано с покупкой, продажей или бесплатной раздачей данных, похищенных именно из российских организаций.
«Наша страна сейчас подвергается повышенному количеству кибератак из-за геополитической ситуации и действий определенных групп — хактивистов, которые пользуются тем, что нашим правоохранительным органам трудно до них добраться», — отмечает заместитель гендиректора Staffcop (входит в экосистему Контур) Юрий Драченин.
Если говорить об официальной статистике, то Роскомнадзор в 2024 г. зафиксировал 135 случаев утечек баз данных, содержавших более 710 млн записей о россиянах. Для сравнения, годом ранее ведомство сообщало о 168 утечках, содержавших 300 млн записей о россиянах.
Эффективное законодательство
Представители российского ИТ-сектора сходятся в том, что Россия пока далеко до безупречного уровня защиты информационных систем. Одна из сторон этой проблемы — развитие соответствующего законодательства. Так, Яна Авезова из Positive Technologies напомнила, что совсем недавно за утечки персональных данных в РФ были предусмотрены лишь штрафы, причем довольно скромные в сравнении с международными стандартами, например, с тем же Общим регламентом по защите данных (GDPR) Евросоюза.
«Если говорить объективно, то мы в защите персональных данных немного отстаем, — соглашается генеральный директор Zecurion Алексей Раевский. — У нас она начала продвигаться с задержкой, во многом под влиянием Европы и США, где соответствующие законы появились гораздо раньше. Так, оборотные штрафы, закон о которых в России приняли только в конце 2024 года, в США существуют давно».
Законодательные поправки, существенно ужесточающие ответственность за утечки данных, были приняты в ноябре 2024 г. Так, для компаний введены оборотные штрафы за повторные утечки — от 1 до 3% годовой выручки. А за кражу и незаконное использование персональных данных предусматривается уголовная ответственность — вплоть до 10 лет лишения свободы.
Реальный эффект от ужесточения законодательства станет заметен не моментально, а лишь спустя время, уверен эксперт направления безопасности промышленных предприятий Infosecurity (ГК Softline) Александр Метальников: «В России многие компании пока не принимают достаточных мер по защите персональных данных. Данные эти для организаций особой ценности не представляют, а затраты на их защиту многократно превышают возможные риски от их утечки. Не распространена у нас практика, когда граждане, пострадавшие от утечки персональных данных, обращались бы в суды за компенсацией ущерба и суды при этом присуждали бы какие-либо значительные денежные суммы в пользу пострадавших».
Причины законодательного отставания в сфере защиты данных можно трактовать и как следствие различий на уровне менталитетов, отмечает Алексей Раевский из Zecurion: «В нашем обществе традиционно запрос на приватность меньше, чем в западном, которое более индивидуализировано, где данная проблема более остро воспринимается и каждым человеком, и обществом в целом. Мы ближе по менталитету к азиатским странам, к коллективизму».
ИТ-сектор не виноват
Важно понимать, что рост утечек данных россиян происходит не потому, что отечественная ИТ-индустрия отстает от мировой, а наоборот — потому, что обгоняет.
«Утечки в России — не следствие недостаточных мер безопасности, а неизбежный итог тотальной цифровизации, которая на порядки обгоняет большинство других стран, — подчеркивает заместитель генерального директора по инновационной деятельности „СёрчИнформ“ Алексей Парфентьев. — В России традиционно высокий уровень подготовки ИБ-специалистов, нет недостатка и в качественных средствах защиты данных: например, отечественные антивирусы и системы против утечек информации (DLP) — одни из самых функциональных в мире».
Согласно оценке Центра стратегических разработок (ЦСР), российский рынок средств защиты данных является самым быстрорастущим сегментом в отрасли: в 2023 г. он увеличился на 93% до 23 млрд руб., составив 12% от общего рынка ИБ.
«Один из наших опросов показывает: российские организации со штатом более 1000 сотрудников в среднем используют шесть различных решений по защите данных, — отмечает Яна Авезова из Positive Technologies. — Новые законодательные меры подтолкнут организации к еще более активному использованию таких средств».
Впрочем, совсем иначе может выглядеть ситуация в компаниях поменьше, подчеркивает консультант по информационной безопасности AKTIV.CONSULTING Никита Козин: «К сожалению, средний и малый бизнес старается экономить на системах защиты информации и квалифицированных кадрах. Как результат, уровень защищенности персональных данных в стране достаточно низок».
Напомним, именно на малые и средние предприятия приходится пятая часть российской экономики и более 40% рабочей силы страны.
Защита персональных данных — дело самих пользователей
«Технически российский пользователь очень хорошо защищен, — говорит исполнительный директор ITGLOBAL.COM (корпорация ITG) Василий Белов. — Проблема утечек по большей части вызвана человеческим фактором: или сам пользователь недостаточно хорошо осведомлен о мерах защиты и может оказаться, к примеру, жертвой мошенников, или недобросовестные сотрудники, которые в силу служебных обязанностей имеют доступ к персональным данным пользователей, злоупотребляют своим служебным положением».
По словам Юрия Драченина из Staffcop, для защиты персональных данных нужен прежде всего «ответственный подход со стороны каждого отдельного пользователя — не только использование современных технологичных инструментов защиты, а повышение осведомленности людей», причем «начинать необходимо с себя, со своего окружения: семьи, друзей и близких».
Стране следует сосредоточиться на повышении осведомленности через образовательные программы для бизнеса и пользователей, уверена операционный директор WMT Group Наталия Лисицына. По ее словам, «залогом позитивных изменений станет формирование культуры безопасности — на уровне как компаний, так и государственных структур. Прямо сейчас такая культура у нас постепенно зарождается, проходит стадию формирования».
Нужно быть бдительней, наши персональные данные в наших руках, призывает заместитель генерального директора по научной работе АО «СиСофт Девелопмент» Михаил Бочаров. По его словам, воспользовавшись всего лишь интернет-поисковиком можно найти фотографии многих людей с раскрытым паспортом в руках.
«С нашим отношением к персональным данным нужно что-то менять, причем не только к чужим данным, а в первую очередь к своим», — подчеркивает эксперт.
Больше новостей читайте в нашем телеграм-канале @expert_mag