Как происходят утечки персональных данных и что нужно знать о кибербезопасности
Уже несколько лет утечки персональных данных в России являются проблемой, которую нужно решать, и борьба с ними идет уже на законодательном уровне — с 30 мая 2025 года вступили в силу обновленные, возросшие штрафы за нарушения при обработке данных. О том, когда начнутся первые санкции, существуют ли компании, которых можно оштрафовать на 500 млн рублей, а также о текущем уровне киберграмотности населения и отношении компаний к утечкам в преддверии конференции "Цифровая индустрия промышленной России" в интервью ТАСС рассказал главный эксперт "Лаборатории Касперского" Сергей Голованов.
— Стало ли утечек с ноября 2024 года меньше?
— За последние полгода точно нет. Есть официальные цифры Роскомнадзора, и по ним видно, что каждые несколько дней случаются крупные утечки персональных данных. Та же тенденция прослеживается по количеству инцидентов — за эти полгода я был на инцидентах (проводил расследования утечек данных — прим. ТАСС) столько же, сколько и за весь прошлый год, суммарно. Если посмотреть статистику правоохранительных органов, то там рост количества преступлений в 2–4 раза. С этим надо что-то делать.
Не все компании раньше могли себя защитить, бюджеты, выделяемые на безопасность, часто были совсем небольшими, потому что штраф в 50–60 тыс
Почему на текущий момент ничего не изменилось по утечкам? Потому что планирование бюджета в компаниях идет в III–IV кварталах года, и принятие закона в конце 2024 года не повлияло на текущий год. Все ждут IV квартала 2025 года, чтобы заложить в бюджет те самые деньги, которые компания должна будет потратить на защиту и штрафы. Первые штрафы, вероятно, пойдут как раз в IV квартале 2025 года.
На текущий момент, понятно, люди не успели ни приобрести средства защиты, ни заказать их, ни провести их пилотирование, ни провести аудиты безопасности. Но бюджет — несколько миллионов рублей, он уже должен быть заложен на тот момент. Когда начнутся рассылки писем от Роскомнадзора по поводу штрафов, все компании должны быть к этому готовы.
"Кросс технолоджис" при поддержке "Лаборатории Касперского" сделали калькулятор, где каждая компания, ответив на вопросы "Были ли инциденты за прошлый год?", "Уведомляли ли Роскомнадзор об утечке?", "Приходил ли Роскомнадзор к вам до этого?", "Какие штрафы уже платили?", может узнать, сколько ей денег заложить в бюджет на случай утечки данных и на случай оплаты штрафа и сколько компания может позволить себе выделить на защиту, чтобы нивелировать утечку. Например, если утечка у компании происходит в первый раз и в РКН она никогда не обращалась, а количество персональных данных — от 100 до 1 тыс. единиц, то штраф будет 3 млн рублей.
— Реальны ли штрафы по верхней границе — 500 млн рублей? Вероятно, в действительности они будут меньше, так как не во всех компаниях происходят повторные утечки?
— Да. Максимальный штраф будет, если утечки происходили несколько раз, если в украденной информации содержалось большое количество полей с персональными данными, а также если компания не реагировала на предыдущие штрафы, не защищалась и игнорировала их. Учитывая то, что законодательно все уже принято, пугать бизнес такими суммами — уже странно. Речь идет о бюджетах и штрафах, которые компаниям по силам.
Конечно, есть крупные, известные бизнесы с большими оборотами, у которых есть проблемы с информационной безопасностью. Сейчас все зависит от руководства этих компаний: если они продолжат экономить на безопасности, то за полгода оштрафовать их 2–3 раза не составит труда. Такие компании есть, но их благо единицы.
— Где случается больше всего утечек данных?
— Обычно страдают небольшие организации, которые, условно, есть в каждом доме: цветочный магазин, стоматология, аптека, кофе-шоп и пункты выдачи заказов. Когда в них заходишь, там могут предложить скидочную карту, попросив номер телефона. Отсюда и появляются те самые поля в базах данных, и у каждого бизнеса они свои.
Соответственно, списки с данными у бизнеса аккумулируются, хранятся, а еще ими можно обмениваться. Если брать у клиентов согласие на обработку данных и на передачу третьим лицам, этими данными можно даже вполне официально торговать. И появляются компании, которые этими базами данных друг с другом обмениваются.
— Стали ли сами люди на местах в компаниях более ответственно относиться к своим данным из-за возросшей на уровне закона ответственности?
— Ответ на текущий момент — нет, ничего не поменялось с тех пор, как изменения в законодательство были внесены. Единственное, что компании сделали, так это заложили себе потенциально в ущерб оплату новых штрафов. А изменений в отношении специалистов в компаниях к утечкам в массе своей не произошло.
— Что сейчас в топе способов проникновения в организации?
— В топе, если посмотреть на первопричины проникновений и утечек, сейчас находится необновленное ПО — это практически половина всех инцидентов, связанных с утечкой персональных данных. На втором месте — слабые логины и пароли (треть всех инцидентов), на третьем — компрометация удаленного доступа через подрядчиков. Если брать фишинг, то он не был в топ-1 среди способов проникновения в организацию уже последние лет пять. Лет 10 назад это была правда.
Что касается слабых паролей, если посмотреть на списки самых популярных, то последние лет 20 в топе, насколько я помню, пароль "пароль". Кто-то может написать "parol", кто-то может написать "p@rol" или "password", или par0l, или paro1. Дальше каждый придумывает, скажем, "в меру своей изобретательности". Но важно, что таких комбинаций ограниченное количество.
Когда хакеры подбирают пароли, они понимают, что нужно брать примерную базу и дальше ее "мутировать". Существуют специальные "мутаторы", которые как раз и придумывают вариации, которые человек мог использовать.
— Пароль из скольких знаков можно подобрать за несколько секунд?
— Длиною в пять, шесть или семь знаков.
— И неважно, числовой он, буквенный, с вариациями и так далее?
— Без разницы. Пароли не хранятся в открытом виде, они хранятся в виде контрольных сумм. Хакер похищает базу с ними, и дальше возникает вопрос, за сколько времени он восстановит их. Может быть и так, что сразу будут готовы таблицы паролей. То есть даже ничего перебирать не надо. Если разработчики и администраторы добавили какую-то дополнительную защиту и хакеру приходится пароли перебирать, то возникает вопрос, как эта защита была выстроена. Если она слаба, то на обычном компьютере с хорошей видеокартой, который позволяет делать 15 млн попыток подбора паролей в секунду, можно вычислить пароли из семи цифр менее чем за одну секунду.
Есть более-менее среднее значение "по больнице", график, который начинается со взлома пароля из 5–7 знаков, что исполняется мгновенно. А от длины пароля в районе 15 символов начинается уже приемлемое, в плохом для хакеров смысле слова, время — тысячи лет взлома.
Но в случае с компаниями, к сожалению, нужно убедить 10 тыс. их сотрудников придумать такие пароли.
— Какова сейчас ситуация с телефонным мошенничеством в России, каково его будущее?
— У физлиц больше всего инцидентов, связанных, например, с хищением денежных средств, происходит из-за социальной инженерии. Это в топ-1 методов уже много лет. Это, допустим, то самое телефонное мошенничество. В феврале 2022 года у фрода цифры были около нуля, а пик случился в июле 2022 года. Сначала рост был двукратный по отношению к 2021 году, потом рост был еще в два раза, и на текущий момент — примерно такой же уровень, что и в 2024 году. Однако в разы выросло количество звонков в мессенджерах.
В целом, рост продолжается. Чуть-чуть замедляется, но на плато еще не вышел. После этого, по идее, должна начаться стагнация, и мы потихоньку должны возвращаться к тем цифрам, которые у нас были в 2021 году. Мы ожидаем, что через пять лет рост телефонного мошенничества выйдет на плато и потом начнет стагнировать — падение должно составить где-то 50% за год — это касается и фрода, и вишинга.
— Из-за чего?
— Из-за произошедших изменений. Например, в середине 2022 года можно было совершенно спокойно использовать подмену номера, а на текущий момент — практически невозможно. Сложно, очень дорого и муторно. Каков был ответ злоумышленников? Использование сим-боксов и мессенджеров. Но с мессенджерами тоже изменения произошли. Начиная с 2023 года просто так дозвониться человеку в WhatsApp и Telegram со включенной защитой от звонков не из книги контактов уже сложно. Использование сим-боксов тоже сложно, потому что людей, которые их устанавливают у себя в гараже, на балконе или в квартире, могут признать соучастниками преступления, поэтому их становится все меньше и меньше.
Даже "серых" сим-карт становится меньше. Количество дропперов в России тоже немного уменьшается. Цены на услуги дропперов растут. С начала СВО цена в некоторых случаях в 7–10 раз выросла, это стало накладно, а людей, которые этим занимаются, становится все меньше и меньше. Таким образом, способов вывода денежных средств с территории России становится меньше, а технически дозвониться до жертв становится сложнее. Более того, в стране есть огромное количество социальной рекламы, распространяемой в том числе практически всеми ведомствами — что полицией, что Банком России, что самими банками. И людей, которые попадаются на уловки мошенников, также становится меньше.
— Как мошенники реагируют на это?
— Последняя "реинкарнация" — это безобидные звонки а-ля проверка счетчиков, запись на диспансеризацию, которые отношения к хищению денежных средств совершенно не имеют. Это очередная попытка спрятать телефонное мошенничество, финал которого, естественно — звонок от "представителя правоохранительных органов" с просьбой пойти к банкомату и перевести все деньги на безопасный счет.
— На каком уровне, по вашей оценке, сейчас находится киберграмотность в России?
— Она поднимается. Что старшее поколение, что теперь и младшее очень хорошо реагируют и понимают, какие угрозы их ждут в интернете, в смартфоне и вообще в жизни. "Не было бы счастья, да несчастье помогло", как говорится. Один из примеров — это как раз социальная реклама. Когда ушли бренды и на торговых площадках нужно было замещать рекламный контент, и появились те самые бюджеты, выделенные на киберграмотность. Что в Минцифры молодцы, что в ЦБ, что в МВД — все эти бюджеты были инвестированы, и уровень киберграмотности растет, это правда.
— Поможет ли увеличению киберграмотности обучение детей базовым ее принципам с самого раннего возраста, допустим, с детского сада?
— Я однозначно считаю, что информационная безопасность — это то же, что и пожарная безопасность: "Не суй пальцы в розетку", "Не играй со спичками" и, соответственно, "Не разговаривай с незнакомцами по телефону". Это такой же элемент безопасности, как и электричество, и, понятное дело, детей нужно этому учить. Если посмотреть на информационную безопасность — откуда взялась эта наука и как она развивалась, то она как раз и прошла этот путь от "ученых мужей" до очень прикладного уровня, который сейчас действительно, в принципе, можно объяснять и с детского сада на очень простых примерах, таких как "не звони" и "не бери".
— Киберграмотность в России сейчас лучше, чем в других странах?
— Совершенно верно, она намного лучше у нас. И то, что даже 10–15 лет Россия была полигоном для испытаний "многих плохих вещей", и весь это рост атак, который мы пережили с начала СВО, это закалило что специалистов по кибербезопасности, что простое население. Такой опыт в других странах отсутствует.
— Многие компании сейчас внедряют в свои системы ИИ для ускорения или автоматизации процессов. Фиксировали ли вы случаи перехвата контроля над корпоративным ИИ хакерами для того, что сделать из него "злой ИИ внутри"?
— Нет, у нас не было инцидентов с этим. Когда злоумышленники "ломают" компании, им не нужен ИИ, большинство инцидентов связано с уничтожением данных. Прежде чем данные будут похищены, они будут подготовлены под уничтожение — в том числе и искусственный интеллект. Хитрых хакерских закладок, которые злоумышленник оставляет на серверах, которые отвечают за языковые модели, нет. Существуют лабораторные исследования о том, что действительно можно модифицировать ИИ вот так, но в боевых условиях это практически не встречалось. Кстати, может быть, в утечках персональных данных нам когда-нибудь встретятся истории запросов сотрудников к искусственному интеллекту. Злоумышленники их похитят, и через них все узнают, что сотрудники спрашивали у искусственного интеллекта и что им отвечали.
— Что в теневом интернете сейчас продается дороже всего? Биометрия?
— Биометрия всегда в топе, была и есть. В мире она действительно дороже всего стоит, но в России — нет. В 2021 году это были данные банковских карт, например. В начале СВО данные русских банковских карт уже стали не нужны. А самое ценное сейчас — выставленные на продажу доступы в компании. Это логины, пароли — то, что позволяет дальше развить кибератаку. Спрос есть на то, что может дать доступ внутрь организации.
Затем — то, что, собственно, хакер с этим доступом собирается делать. Если посмотреть на то, что происходит дальше, то в топе у нас остаются программы-шифровальщики. Компанию взламывают, шифруют и требуют от нее выкуп в биткойнах. Это прямая монетизация логина и пароля, которые были приобретены в интернете, — они превращаются в биткойны на криптокошельке. После того как компания сломана, данные снова выкладываются в интернет. И эти логины, пароли точно так же снова продаются.
А прямая монетизация — кража средств у юридических лиц — редкие случаи, их единицы. Если лет десять назад количество юридических лиц, которые страдали от этого, в месяц составляло десятки, то сейчас — единицы в год. Это связано с тем, что просто так деньги сейчас не вывести.
— Сохраняется ли сейчас опасность в использовании публичных точек доступа в интернет в аэропортах?
— Сохраняется. Вредоносные точки как обнаруживались, так до сих пор и обнаруживаются. Это один из способов сбора тех самых данных — имени телефона, паролей, фамилий, имен людей и так далее. Базы данных, которые оформляются на основе информации, собранной этими фальшивыми точками, потом продаются в дарквебе.
Раньше это было популярно, потому что пользователя, идущего на сайт банка, можно было через Wi-Fi перенаправить на фальшивый сайт банка. Сейчас это сделать очень тяжело, потому что все "накрыто" сертификатами доступа. Точки есть. Их действительно становится меньше. Но это до сих пор актуально именно с точки зрения сбора информации для продажи.
Комментарии