Персональные данные нуждаются в особой защите

В воскресенье, 28 января, отмечается международный день защиты персональных данных (Data Protection Day) — дата, призванная обратить внимание на персональные данные и обеспечение их защиты. Персональные данные (ПДн) постоянно обрабатываются и передаются, а значит, подвержены высоким рискам компрометации без обеспечения должного уровня безопасности. По данным экспертно-аналитического центра группы компаний InfoWatch (ЭАЦ), в последнее время ежемесячно во всем мире утекают несколько миллиардов записей ПДн, то есть единиц личной информации о человеке: имена и фамилии, номера телефонов, электронные адреса, домашние адреса, паспортные данные и другие данные. В этом дайджесте аналитики ЭАЦ приводят примеры крупных утечек ПДн за 2023 год.

Крупнейшая за год утечка персональных данных зарегистрирована в феврале 2023 г., когда на одном из хакерских форумов злоумышленники выложили 4,5 млрд записей ПДн. Предположительно, данные были украдены у китайских служб курьерской доставки, а также платформ электронной коммерции.

Персональные данные — доминирующий тип конфиденциальной информации. Он встречается в более чем 60% случаев утечек данных за 2023 год. Особую опасность представляет компрометация учетных данных и другой аутентификационной информации, то есть данных, которые используются для аутентификации объекта или субъекта доступа. Такие сведения могут открыть злоумышленников к корпоративным информационным системам и широкому спектру пользовательских аккаунтов. Масштабная утечка учетных данных произошла осенью 2023 г., когда был выявлен открытый облачный кластер Elasticsearch, принадлежащий компании DarkBeam, которая специализируется на управлении цифровых рисков. На сервере в открытом доступе оказались несколько миллиардов пар логин/пароль, которые DarkBeam собирала из различных случаев утечек информации.

В 2023 году зарегистрированы ряд инцидентов национального масштаба, когда утекали персональные данные всего населения той или иной страны или по меньшей мере большинства ее граждан. Так, в октябре 2023 г. хакеры завладели данными 815 млн граждан Индии. По словам злоумышленников, конфиденциальная информация получена ими в результате взлома хранилищ Индийского совета медицинских исследований (ICMR). На серверах организации, в частности, хранились результаты тестов на Covid-19.

Наибольшие объемы персональных данных по-прежнему утекают их телекоммуникационных и ИТ-компаний (соцсети, ИТ-сервисы и т.д.). Например, в 2023 году хакеры продавали на форуме в дарквебе персональные данные 630 млн абонентов оператора China Telecom и 700 млн пользователей LinkedIn.

Среди интернет-пользователей большой популярностью пользуются бесплатные сервисы VPN. Однако, многие из подобных приложений не обеспечивают конфиденциальность данных и допускают утечки информации. Так, в мае 2023 г. исследователь безопасности выявил незащищенную паролем облачную базу данных, в которой хранились данные подписчиков SuperVPN и ряда других популярных приложений. В открытом доступе оказались 360 млн записей персональных данных. Скомпрометированы адреса электронной почты, IP, данные геоинформационных сервисов и другая информация.

В 2023 году в России стали чаще утекать крупные базы данных (от 1 млн записей ПДн). Например, в апреле с вероломной и масштабной атакой столкнулся сервис Kassy.ru по продаже билетов на зрелищные мероприятия. Украинские хакеры украли в общей сложности около 14 млн строк данных. Скомпрометированы ФИО, адреса электронной почты, телефоны, идентификаторы и даты приобретения билетов. У некоторых пользователей утекли даты рождения.

Летом 2023 года неизвестный хакер разместил в открытом доступе данные 7,8 млн клиентов сети гипермаркетов «Ашан». В опубликованном файле содержатся имена и фамилии, номера телефонов, адреса электронной почты, адреса доставки и самовывоза.

Сообщения об инцидентах, связанных с утечками персональных данных, становятся основанием для проверок Роскомнадзора. Сумма штрафов, которые взыскали российские суды с компанией за утечки по представлению регулятора выросла в 23 раза по сравнению с 2021 годом и в 2 раза по сравнению с 2022 годом. За неполный год суды рассмотрели 87 протоколов и назначили штрафы на общую сумму 4,6 млн рублей. Однако, сумма типичного штрафа составляет всего 60 тыс. рублей, что является несущественной суммой для крупных и средних компаний. Российские власти намерены значительно ужесточить ответственность компаний за утечку персональных данных, что может рассматриваться как серьезный стимул для организаций к укреплению систем безопасности. Однако, решить проблему только регулятивными методами невозможно. Защита информации требует комплексного подхода, в центре которого должна стать идея бережного отношения к персональным данным каждого человека.