В России за два года почти в 40 раз выросло количество утечек персональных данных пользователей. Если в 2021-м таких инцидентов было четыре, то в 2022-м — свыше 140, а за первые семь месяцев 2023-го — уже свыше 150, сообщили «Известиям» в Роскомнадзоре. В связи с этим служба подготовила рекомендации для организаций, которые имеют доступ к личным данным. В случае их утечки суд вправе учитывать неисполнение предписаний надзорного ведомства. Всего в России не менее 5,5 млн структур, имеющих доступ к частной информации. При этом в РКН не считают возросшее количество утечек исключительно виной так называемых операторов персональных данных, поскольку с начала СВО они стали особым объектом внимания хакеров.
Объект внимания
В России существенно вырос спрос на скомпрометированные базы данных россиян, в которых может содержаться чувствительная информация о личной жизни человека: медицинских анализах, выданных займах и даже доставках продуктов. В 2021 году было зафиксировано лишь четыре крупных инцидента с персональными данными, когда в открытый доступ попало 2,7 млн записей. В 2022-м — более 140 случаев, когда утекло около 600 млн записей о гражданах, и только за семь месяцев 2023 года в РКН зафиксировали свыше 150 подобных случаев, уточнили «Известиям» в службе.
— Сегодня законодательство позволяет операторам персональных данных самостоятельно определять необходимый уровень защиты личной информации пользователей и клиентов. Поэтому многие часто выполняют только минимальный уровень требований. Безусловно, есть разница между таким оператором, как, скажем, детский сад, которому действительно не нужны серьезные организационные меры и целый штат сотрудников в сфере IT-безопасности, и большими сервисами вроде маркетплейсов, — сказал «Известиям» заместитель руководителя Роскомнадзора Милош Вагнер.
На фоне растущей угрозы после начала СВО Роскомнадзор разработал рекомендации для всех операторов, осуществляющих обработку персональных данных, — от ИП до крупных компаний. В частности, в службе настаивают на «дроблении» личных сведений, то есть хранении каждой конкретной информации о человеке — имя, номер телефона, покупка — в разных базах вместо одной ячейки. Это уменьшит шансы мошенников привязать данные к конкретному физическому лицу в случае утечки сведений из нескольких баз. Впрочем, в РКН подчеркивают, что полностью исключить угрозу нельзя. Однако подобные меры сильно затруднят деятельность таких людей.
— После того как злоумышленники получают в свое распоряжение новые базы данных, они могут удалить оттуда строки с информацией, не представляющей ценности, и объединить их в одну общую структуру. Это позволяет им искать информацию по всем строкам, где встречается, например, один и тот же номер телефона, адрес электронной почты и так далее. Разные базы данных могут обладать разным контекстом о человеке. Так, из одной можно получить адрес проживания, из другой — информацию об ИНН, из третьей — историю анализов. В результате на выходе у злоумышленников образуется полное досье на человека, — сказал «Известиям» аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц.
В службе в целом предлагают минимизировать перечень персональных данных, используя лишь ту информацию, которая действительно необходима для оказания услуги, продажи товаров и иной деятельности. Операторам также стоит отказаться от накопления сведений о своих клиентах «на всякий случай» и от формирования их профилей, «если это не жизненно нужно для организации». В РКН отдельно настаивают на своевременном уничтожении персональных данных после «достижения цели обработки», к примеру, после оказания услуги.
Среди других рекомендаций — использование технических и программных средств, принадлежащих самому оператору, а не третьим лицам.
— Мы как надзорное ведомство исходим из того, что сегодня никому из обработчиков данных нельзя дистанцироваться от происходящего с конфиденциальностью данных о наших гражданах. Да, организация-оператор действительно выполнила минимальные требования закона и считает, что таким образом обеспечила безопасность личных данных людей, а в случае если они утекают, то они не считают себя виноватыми, — подчеркнул Милош Вагнер.
Всего же, по оценкам РКН, в России насчитывается не менее 5,5 млн операторов личных данных, которые зарегистрированы в ЕГРЮЛ и ЕГРИП.
Имейте в виду
Несмотря на то что такие рекомендации не предполагают изменения законодательства и на первый взгляд не носят обязательного характера, операторам с ними всё же придется считаться, пояснили в службе.
— В отличие от, скажем, нарушений в ПДД, где всё конкретно — штраф за превышение конкретной скорости, — в вопросах личных данных всё более чувствительно, и к ответственности привлекает именно суд. Поэтому судья, разбираясь в ситуации, также может принять во внимание тот факт, что Роскомнадзор предупреждал о возможной угрозе и выступал с рядом рекомендаций, которые позволили бы ее предотвратить. Но организация решила не брать их в расчет, решив сэкономить на безопасности своих клиентов, — подчеркнул Милош Вагнер.
В правительстве РФ рекомендовали обратиться за комментариями об инициативе РКН в Министерство цифрового развития, связи и массовых коммуникаций. «Известия» направили запрос в Минцифры.
Отдельно в службе подчеркнули, что рекомендации не внесут существенных коррективов в функционирование крупных сервисов обработки данных, таких как «Госуслуги».
В Роскомнадзоре обратили внимание: в какой именно форме утечка данных может навредить людям — неизвестно, потому что способов множество. IT-эксперты также предупреждают, что атакующие способны использовать полученные сведения для разных целей. Так, если они заинтересованы в атаках на бизнес, то, основываясь на полученной информации, они смогут совершить более продвинутые схемы мошенничества, сказал аналитик Игорь Фиц. Кроме того, не исключены и другие угрозы, которым могут подвергнуться пользователи: если база с адресами места жительства попадет в руки сталкера — преследователя, — он может использовать ее в злонамеренных целях, предупредил он. Помимо этого, наиболее вероятны и «традиционные» способы мошенничества и махинации с личными данными.
— Поскольку чувствительная информация может включать в себя персональные данные, банковские реквизиты, медицинские сведения, коммерческие секреты и так далее, она дает возможность преступникам быть более убедительными и повышает шансы на успешность их атаки. А жертвы таких атак рискуют не только своими деньгами, но могут лишиться имущества, жилья или даже оказаться на скамье подсудимых, — сказала «Известиям» эксперт «Народный фронт. Аналитика» Александра Пожарская.
В «Народном фронте» напомнили, что также активно ведут борьбу со злоумышленниками, которые постоянно находятся в поиске новых решений: в 2021-м они создали специальную платформу «Мошеловка», о которой ранее писали «Известия». Проект в том числе занимается защитой прав россиян в случае утечки их личных данных.
Справка «Известий»Одной из наиболее крупных в 2022 году стала февральская утечка данных пользователей сервиса «Яндекс Еда». Выложенная в публичный доступ база содержала около 50 млн записей, из них 6,8 млн уникальных номеров из России и Казахстана, 206 тыс. — из Белоруссии.