Новости

Утечки данных: кто виноват и как защититься? Мнения экспертов

Специалисты прокомментировали возможности защиты данных пользователей.

Вчера в сети появилась информация об очередной утечке сведений о 55 тыс. клиентов банков. В рамках одного из исследований, аналитики компании КРОК пришли к выводу о том, что в первом полугодии 2020 года число инцидентов, в ходе которых мошенники получили доступ к базам данных, выросло на 47%. По их мнению, одна из причин роста статистики – повышение мотивации сотрудников организаций к получению дополнительного дохода. Редакция BloomChain решила узнать мнения экспертов о том, как обстоят дела в сфере обеспечения безопасности данных клиентов компаний.

Одним из первых своим видением ситуации с нами поделился директор департамента развития технологий компании «Аладдин Р.Д.», Денис Суховей. По его мнению, обилие новостей о резонансных утечках больших массивов персональных данных, данных платежных карт или другой конфиденциальной информации стало неотъемлемой частью информационного окружения современного человека.

Специалист отметил, что, в первую очередь всех интересует вопрос последствий подобных утечек. Коммерциализация утечек, как он считает, выходит на совершенно новый уровень своего развития.

«Если на заре эпохи информатизации похищенные выгрузки из СУБД (система управления базами данных) тиражировались на компакт-дисках и продавались в переходах крупных городов России (например, базы государственных номеров авто или базы паспортных данных), то далее процесс криминализации утечек существенно ускорился, а еще сравнительно недавно интернет наводнили электронные сервисы платного доступа к похищенных данным. Таким образом, преступные сообщества вышли на принципиально иной и хорошо масштабируемый уровень «бизнеса»», — так эксперт пояснил свою точку зрения.

По мнению Дениса Суховея, ничего не стоит на месте, и индустрия хищения и использования персональных данных продолжила свое развитие. В настоящий момент, как отметил специалист, масштабные утечки совершаются не для продажи в «розницу», но для перепродажи «оптом». Вследствие экономической сегментации отдельные группы занимаются только скупкой похищенных массивов СУБД и обогащением своих супер-ресурсов.

«Обогащение баз ПДн, как важнейший процесс теневых Big data-ресурсов, позволил предложить совершенно легально участникам рынка очень ценную информацию. Своеобразным примером похожей схемы использования персональных данных является инцидент с Facebook, в котором компания даже не скрывала факты коммерческой передачи данных своих пользователей аналитическим и рекламным агентствам. Собирала и обогащала свою базу BigData компания Facebook, естественно, без ведома пользователей», — пояснил специалист.

Таким образом, по мнению Дениса Суховея, данные, которые похищаются из СУБД различных компаний и сервисов проделывают большой путь и могут быть использованы злоумышленниками не единожды, проходя по звеньям этой цепочки.

«На но всем этом фоне наблюдается интересное явление. Всем интересны последствия, однако крайне мало задаются вопросом «А почему же масштабная утечка стала возможной?». По этому поводу есть сразу несколько полезных наблюдений», — отметил эксперт.

Организации, по его мнению, плохо защищают свои базы данных по ряду причин, среди которых можно отметить следующие:

  • Сложности — СУБД и информационные модели в базах данных очень сложные и зачастую являются «черным ящиком» для самой организации.
  • Загруженности — самые ценные СУБД обычно очень сильно загружены по причине того, что наиболее ценные данные наиболее активно используются бизнесом (именно их обычно и похищают).

Специалистов СУБД, как отметил эксперт, на рынке очень мало, а тех, кто еще в дополнение имеет компетенцию по защите информации, — вообще единицы. В этих условиях, по его мнению, у организации крайне мало шансов найти грамотного защитника СУБД.

Помимо всего прочего, как считает Денис Суховей, существует определенный дефицит решений по защите информации в СУБД, особенно на отечественном рынке.

«Таким образом, сочетание перманентного технического и экономического прогресса преступных групп и безответственное поведение владельцев крупных баз данных ПДн складывается в картину регулярных резонансных утечек, последствием которых являются списания денежных средств с карточных счетов, вездесущая реклама в смартфонах, проникновение на домашние и корпоративные компьютеры пользователей», — подытожил эксперт.

Директор центра противодействия мошенничеству АО НИП «Информзащита» Игорь Шульга, в свою очередь, обратил внимание на проблемы, с которыми сталкиваются жертвы мошенников. В качестве примера, он взял недавний эпизод утечки данных 55 тыс. клиентов российских банков.

Напомним, в руки мошенников попали первые шесть и последние четыре цифры номеров карт, информация о сроках их действия, ФИО клиентов финансовых организаций, их телефоны и даже адреса проживания. Для совершения операций по карте, по мнению Игоря Шульги, угрозы нет. Для того, чтобы мошенники могли проводить операции, как он считает, им не хватает полного номера карты. При этом эксперт отметил, что злоумышленники могут успешно использовать эти данные для социальной инженерии и «развода» граждан на деньги.

Клиенты банков, как он считает, могут перевыпустить карту, чтобы обезопасить себя на случай, если в руках мошенников оказались полные номера пластика.

«Но не факт, что банк сделает это бесплатно. Других компенсаций не будет. Клиент даже заявление в полицию не может подать, потому что ущерба не было», — подытожил Игорь Шульга.

Официальный представитель биржи криптовалют Garantex Татьяна Максименко также отметила, что для оплаты и снятия денег со счетов, прикрепленных к банковским картам, тех данных, которые утекли в сеть, недостаточно. Но подобные данные, по ее мнению, могут использоваться мошенниками для фишинговых атак. Также злоумышленники, как отметила эксперт, могут звонить держателям карт, представляясь сотрудниками банков, и убеждать сообщить какие-то дополнительные данные, а имея на руках столько информации они могут звучать в разговоре очень убедительно, и не очень искушенные в кибербезопасности пользователи могут стать жертвами мошенничества.

«К сожалению, правоприменительная практика в России не очень защищает клиентов. У нас нет практики громких коллективных исков, как в США, где компанию могут оштрафовать на несколько миллионов за подобные утечки. Это связано с американским законодательством, защищающим права потребителей. Там это работает не одну сотню лет, и успешность подобных дел напрямую связана с выгодой, которую видят юрфирмы в подаче коллективных исков», — отметила Татьяна Максименко.

За первые 10 лет 21 века юрфирмы в США, по ее словам, заработали около $16 миллиардов на коллективных исках, а сами истцы при этом могли получить в копейки. В России физлица, как отметила эксперт, получили возможность подавать коллективные иски лишь в октябре 2019 года, и никаких громких дел пока не было.

«К тому же, в данном случае речь идет об утечке не из банков, а из маркетплейса Joom, которому клиенты банков сами передавали данные о своих картах», — подытожила Татьяна Максименко.