Утечки персональных данных порой исчисляются миллионами - и самих данных, и экономических потерь

Краеугольный камень безопасности

В соответствии с указом Национальный центр наделяется статусом уполномоченного органа по защите прав субъектов персональных данных. Установлены дополнительные меры, связанные с обеспечением их защиты. Это, например, необходимость прохождения специального обучения лицами, в обязанности которых входит защита персональных данных; обязанность ведения учета персональных данных, подлежащих обработке государственными органами и иными организациями.


Исполнение указа позволит повысить уровень защиты персональных данных в государстве и обеспечить более полную реализацию конституционного права граждан на защиту от незаконного вмешательства в личную жизнь, убежден начальник Оперативно-аналитического центра при Президенте Андрей Павлюченко:

— На наш взгляд, это шаг вперед. В современном мире защита любой информации — это краеугольный камень безопасности общества. Но, конечно, это не говорит о том, что завтра мы уже все проблемы решим в этой сфере.

Этот орган будет самостоятельным и независимым, чтобы свободно взаимодействовать с государственными и частными структурами. Он будет контролировать правильность оборота персональных данных, которые циркулируют в огромных количествах, и следить за законностью, четким соблюдением норм и правил.

Актуальность и своевременность создания нового органа не вызывают сомнений. Прошедшим летом оперативники ­ГУБОПиК вычислили 44-летнего жителя Минска, который передавал идентификационные сведения о госслужащих в экстремистский телеграм-канал. На момент задержания мужчина работал ведущим специалистом по экономической безопасности одного из коммерческих банков, а до этого — в правоохранительных органах. Перед увольнением минчанин скопировал справочную информацию о представителях органов прокуратуры, подразделений ­ГКСЭ, ДФР, СК и гражданских организаций. С лета прошлого года зафиксировано немало случаев сливов персональных данных членов избирательных комиссий, журналистов, артистов, служащих различных организаций. Пусть и заметно реже, но появляются такие данные в экстремистских чатах и сегодня. И потому явлению этому, как и любому иному преступлению, пора выставить действенный заслон.

Подтекающие гиганты

Столь пристальное внимание белорусского государства к этой сфере объясняется печальным мировым опытом последних десятилетий. Случай с крупнейшим американским агрегатором кредитной отчетности Equifax, случившийся в 2017-м, считают одним из самых серьезных в истории США. Хакерам удалось получить как минимум 147 миллионов имен и дат рождения, 145 миллионов номеров социального страхования и 209 тысяч номеров карт с указанием срока их действия. Утечка дорого обошлась компании: подвергшаяся атаке Equifax согласилась выплатить почти 700 миллионов долларов в рамках международного соглашения. Компания также пообещала шесть бесплатных кредитных отчетов каждому американцу, которого затронул взлом, в течение семи лет. Таким образом, доходы организации заметно сократились, не говоря уже про имиджевые потери.

В 2018-м сервис такси Uber был оштрафован на 148 миллионов долларов после того, как в результате кибератаки в руки злоумышленников попали данные приблизительно 57 миллионов клиентов и водителей сервиса. Тогда Uber скрыл информацию о преступлении, и это было хуже, чем сама кибератака.

Счет на миллиарды

Но, пожалуй, крупнейшая в мировой практике утечка данных случилась у американской компании Yahoo, владевшей второй по популярности в мире поисковой системой: из ее анналов в 2013—2014 годах утекло 3 миллиарда учетных записей пользователей. И выяснилось это не сразу. Сперва в сентябре 2016-го Yahoo объявила, что в 2014-м стала жертвой крупнейшей утечки данных в истории. Злоумышленники, которых компания назвала «спонсируемыми государством участниками», взломали настоящие имена, адреса электронной почты, даты рождения и номера телефонов 500 миллионов пользователей. Затем, в декабре 2016-го, Yahoo раскрыла еще одно нарушение, совершенное тремя годами ранее другим злоумышленником, которое скомпрометировало имена, даты рождения, адреса электронной почты и пароли, а также вопросы безопасности и ответы миллиарда учетных записей пользователей.

В октябре 2017-го компания пересмотрела эту оценку, включив в нее все 3 миллиарда учетных записей своих пользователей. Впрочем, нельзя исключать и коммерческого интереса в жонглировании столь грандиозными цифрами. Дело в том, что Yahoo в те годы как раз находилась в процессе поглощения компанией Verizon, которая в конечном итоге заплатила 4,48 миллиарда долларов за основной интернет-бизнес Yahoo. Как отмечают аналитики, озвученные перед сделкой нарушения снизили стоимость компании более чем на треть миллиарда — на 350 миллионов долларов…

«Му-Му» и другие

В России в прошлом году случился целый ряд крупных утечек данных. Как сообщил РИА Новости основатель сервиса разведки утечек данных DLBI Ашот Оганесян, в декабре 2020-го случилась утечка персональных данных более 100 тысяч москвичей, переболевших COVID-19: достоянием взломщиков стали их Ф.И.О., даты рождения, адреса проживания, телефоны, номера паспортов и другие данные. Месяцем ранее произошла утечка данных более чем 1,3 миллиона клиентов сервиса «РЖД Бонус», содержащая по каждому клиенту адрес e-mail и ID-пользователя, зашифрованный пароль, дату регистрации и последнего входа в систему, а также служебные данные.

Летом прошлого года взломанными оказались клиентские базы портала SuperJob.ru и онлайн-школы английского языка Skyeng — каждая объемом под 5 миллионов человек. А в апреле 2020-го случились утечки 12 миллионов записей россиян, оформлявших микрозаймы в различных микрофинансовых организациях страны в 2017—2019 годах.

Но самой крупной в прошлом году стала обнаруженная в марте утечка почти 600 миллионов строк данных клиентов сервиса «Премиум бонус», обеспечивающего программы лояльности популярным кафе и ресторанам России: «Му-Му», «Жан Жак», «Империя пиццы» и другим.

Шантаж по знакомству

В чем практический интерес злоумышленников от взлома баз данных — на этот вопрос дают ответы несколько конкретных примеров. В 2018 году достоянием кибермошенников стала личная информация 383 миллионов клиентов одной из крупнейших гостиничных сетей мира Marriott International: имена, адреса, номера телефонов, адреса электронной почты, номера паспортов, даты рождения, пол, информация о прибытии и отбытии.

Все эти данные незаменимы для целого ряда противоправных атак: фишинга, социальной инженерии, мошенничества с кредитными картами и с идентификационными данными.

Двумя годами ранее преступники взломали платформу знакомств и развлечений для взрослых FriendFinder Network. В результате более 412 миллионов учетных записей пользователей пополнили базы кибермошенников. Причем масштабная утечка включала не только 339 миллионов аккаунтов с сайта AdultFriendFinder.com, но и несколько миллионов давно удаленных пользователями аккаунтов (которые не были удалены из баз данных сайта). Понятно, что данные с сайта для взрослых угрожают репутации и могут использоваться для шантажа пользователей.

А в 2013-м одна из крупнейших розничных сетей США Target пострадала от взлома, который затронул более 41 миллиона счетов клиентов с платежными картами, а также контактную информацию более 60 миллионов покупателей торговой сети. ПИН-коды самой системы Target были зашифрованы, что затрудняло их взлом. Однако злоумышленники получили возможность выдавать себя за настоящих владельцев банковских карт.

В 2018 году хакерами был взломан веб-сайт авиакомпании British Airways. Взломщики перенаправляли жертв на поддельный веб-сайт, который в итоге собрал личные данные более 500 тысяч человек. Британского авиаперевозчика ждал рекордный штраф в 230 миллионов долларов. Утечка данных, а также последствия сбоев в работе оборудования и забастовок пилотов привели к тому, что British Airways столкнулась с многолетним кризисом. Акции компании упали примерно на 0,8 процента сразу после присуждения штрафа, хотя авиакомпания заявила, что подаст апелляцию. А сразу после публикации информации об утечке данных ее акции упали более чем на 4 процента.

ДРУГИЕ КРУПНЫЕ УТЕЧКИ ДАННЫХ В XXI ВЕКЕ

LinkedIn (2012 и 2016 годы) — 165 миллионов учетных записей пользователей;

Adobe (октябрь 2013 г.) — 153 миллиона учетных записей пользователей;

eBay  (май 2014 г.) — 145 миллионов учетных записей пользователей;

Dubsmash (декабрь 2018 г.) — 162 миллиона учетных записей пользователей;

Canva  (май 2019 г.) — 137 миллионов учетных записей пользователей.