Сообщения об утечках данных стали уже обыденностью. Может создаться впечатление, будто инциденты происходят хаотично и непредсказуемо. Однако массовость нарушений указывает на то, что уже сформировался новый рынок «пробива», с которым активно борются ИБ-подразделения компаний и правоохранительные органы. Расскажем об этом подробнее.
- Введение
- Масштабы утечек персональных данных
- А если посчитать в попугаях?
- Утечки как бизнес
- «Любимые» данные для утечек
- Законодательные требования по борьбе с утечками данных
- Борьба с преступлениями
- Система борьбы с утечками в действии
- А если путь ведёт не туда?
- Так ли опасны ПДн, которые попали в интернет?
- Выводы
Введение
Многие уже не раз слышали о «пробиве» персональных данных (ПДн), некоторые даже обращались к ИБ-компаниям или специалистам в поисках возможности удаления утёкших сведений из Сети. Кто-то интересовался мониторингом этого рынка, например чтобы узнать, какие данные о компании или сотрудниках могут получить посторонние. Некоторые задумывались и о том, как помочь правоохранительным органам выявлять злоумышленников и добиваться их наказания.
Как ни относись к важности проблемы утечки ПДн и возможности «пробива» посторонними, важно знать, насколько велики масштабы утечек. Как устроен этот «бизнес» изнутри?
Постараемся ответить на эти вопросы далее.
Масштабы утечек персональных данных
Точную оценку масштаба утечек ПДн может дать «Сбер». Он ведёт мониторинг с 2020 года, отслеживая факты их появления не только в открытом интернете, но и в приватных каналах.
По словам Сергея Лебедя, вице-президента по кибербезопасности «Сбера», суммарный объём украденных сведений о гражданах России составляет более трёх миллиардов записей. С учётом того что по оценке Росстата на 1 января 2024 года в России постоянно проживали 146 150 789 человек, в среднем данные каждого гражданина были украдены более 20 раз.
Ещё более настораживающей выглядит динамика роста объёма утечек. В 2020 году в поле зрения ИБ-подразделения «Сбера» попало в общей сложности около 500 млн записей с ПДн россиян. Два года спустя их объём превысил миллиард записей. За 2023 год он увеличился ещё на 300 %. Фактически, за четыре года произошёл шестикратный рост объёмов утёкшей информации.
«Сбер» ведёт каталог мошеннических схем по краже ПДн. Сейчас в нём описаны около 200 различных методик, используемых для обмана граждан. Запомнить их все — уже само по себе непростая задача.
В незаконный оборот попадают в основном следующие персональные данные: Ф. И. О., дата рождения, номер телефона, электронный адрес, адрес проживания, IP-адрес.
Свою оценку утечек периодически публикует и экспертно-аналитический центр ГК InfoWatch. По данным из его последнего доклада, суммарное количество утёкших в России ПДн за первое полугодие 2024 года составило 986 млн записей. Это — в три раза меньше, чем по данным «Сбера».
Появление такой существенной разницы можно объяснить разными методиками оценки. К сожалению, механизмы подсчёта не раскрываются полностью, поэтому было бы интересно, если бы компании рассказали об используемых алгоритмах более подробно. Например, оценка «Сбера» может отражать верхний предел, а статистика InfoWatch — нижний.
А если посчитать в попугаях?
Суммарное количество утёкших данных — это не единственный способ оценить масштабы утечек. Реалистичную картину даёт количество зарегистрированных случаев компрометации, которые привели к утечкам.
По данным ЭАЦ ГК InfoWatch, в I полугодии 2024 г. было зарегистрировано 415 случаев компрометации данных. Согласно статистике, рост за один год составил 10,1 %. Это — в пределах погрешности, хотя тренд к увеличению количества очевиден.
Рисунок 1. Количество утечек информации в России (ГК InfoWatch)
Много это или мало в масштабах страны? По данным ГК InfoWatch, суммарное количество утечек конфиденциальной информации по всему миру составило 5111, или в 12,3 раза больше. Доля России составляет 8,1 %. Это позволяет высказать мнение, что Россия не выделяется существенно на фоне других развитых стран.
Эксперты ГК InfoWatch связывают высокий уровень утечек данных в России с напряжённой геополитической обстановкой вокруг СВО и связанными с нею массированными атаками на российские компании и госсектор. Аналитики отмечают заметную долю гибридного формата кибератак, когда действия внешних злоумышленников сопровождаются привлечением к сотрудничеству работников атакуемых организаций.
По мнению аналитиков ГК InfoWatch, только 0,5 % инцидентов в I полугодии 2024 года были связаны со случайными нарушениями. Главные зоны риска — это промышленность и торговля. Велика вероятность роста количества утечек из организаций малого бизнеса и ИП, добавляют эксперты.
Рисунок 2. Распределение утечек по типам данных в России (ГК InfoWatch)
Утечки как бизнес
При таких масштабах утечек нет смысла сводить все инциденты к хактивизму. «Энтузиасты» сталкиваются с конкуренцией со стороны тех хакеров, для которых утечки уже стали бизнесом.
Разобраться в том, как устроен рынок извлечения конфиденциальных данных (т. н. «пробива»), нам помогла Мария Михайлова, представитель центра мониторинга (SOC) компании Angara Security, специализирующейся на киберразведке и цифровой криминалистике.
Как рассказала Мария Михайлова, структурно рынок торговли ПДн («пробива данных») уже достиг уровня зрелости. На нём можно уверенно выделить три крупные группы.
- «Хакеры» — завладевают данными тем или иным способом.
- «Посредники» — находят выкладки интересных для рынка данных в Сети, проверяют их на чистоту, играют роль связующего звена.
- «Организаторы», или «продавцы» — занимаются продажей украденных данных.
Встречаются и более простые схемы, когда посредники и хакеры находят друг друга на специализированных форумах, торговых площадках и в мессенджерах, таких как Telegram. Часто они взаимодействуют между собой через инструменты для анонимизации, поэтому схема взаимодействия является непрозрачной.
«Любимые» данные для утечек
В открытом интернете встречаются прежде всего личные данные (Ф. И. О., дата рождения, номер телефона, почта и другие). В особых случаях можно найти номера счетов и банковских карт.
В дарквебе спектр данных гораздо шире. Помимо перечисленного можно найти также истории транзакций, паспортные данные, медицинские сведения, пароли, корпоративные тайны и многое другое.
Особый вопрос — это «реквизиты» утечек. Именно по ним покупатели оценивают «кота в мешке». «Как правило, при распространении или продаже данных указываются источник утечки (компания) и актуальность данных (дата утечки), — продолжает Мария Михайлова. — Покупатели ориентируются по источнику, характеру украденных данных или актуальности. Некоторые утечки можно найти даже бесплатно. Это делается хакерами или продавцами, которые поступают так для демонстрации своих возможностей или повышения репутации».
Для стимулирования продаж утечки хакеры могут размещать также отрывок из базы данных. Он помогает покупателю оценить «товар» и убедиться, что там есть именно то, что его интересует.
В крупных киберпреступных организациях часто возникает иерархическая структура. Она позволяет распределять доходы в зависимости от роли и вклада каждого участника. В менее структурированных хакерских группах и сообществах участники могут договариваться о распределении доходов на основе принципа ad hoc. В этом случае не исключены споры по итогам «работ».
Рисунок 3. Изменение количества утечек данных по отраслям в мире и России (ГК InfoWatch)
Законодательные требования по борьбе с утечками данных
Нередко утёкшие данные обнаруживают сами пользователи. В этом случае особенно полезным является федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, который определяет случаи обязательного уничтожения ПДн. Пользователь может обратиться к оператору с указанием обнаруженных им ПДн и предъявить требование удалить их. Если данные не будут удалены, то можно обратиться в суд согласно ст. 24 того же закона.
1 марта 2023 года вступил в силу федеральный закон от 14.07.2022 № 266-ФЗ, который внёс изменения в ряд статей закона о персональных данных в части их удаления после достижения целей обработки или при наступлении иных законных оснований. В частности, ст. 18.1 указывает на необходимость принимать необходимые и достаточные меры для обеспечения выполнения обязанностей оператора, предусмотренных 152-ФЗ и другими нормативными актами. Оператор самостоятельно определяет состав и перечень принимаемых мер и порядок уничтожения ПДн, оценивает вред, который может быть причинён субъектам ПДн в случае нарушения закона. При оценке предусмотрено разграничение на три степени наносимого вреда: высокая, средняя и низкая.
При выявлении фактов разглашения ПДн оператор обязан в течение 24 часов поставить их владельца в известность об инциденте. Он должен также сообщить свою оценку нанесённого вреда, объяснить причины правонарушения и сообщить о принятых мерах по устранению последствий.
Оператор обязан в течение 72 часов завершить внутреннее расследование инцидента и сообщить о результатах. Он также должен предоставить сведения о лицах, из-за действий которых произошел инцидент.
Если человек отзывает своё согласие на обработку его ПДн, то оператор обязан прекратить соответствующие процессы. Если данные больше не требуются для целей обработки, они должны быть уничтожены в течение не более чем 30 дней с момента отзыва согласия.
Рисунок 4. Виновники утечек информации в России (ГК InfoWatch)
Борьба с преступлениями
Как мы уже отмечали, незаконное распространение ПДн является серьёзным правонарушением. Против их распространения выступают не только граждане, но и компании, для которых данные являются ценным или защищаемым активом. Информация также может являться собственностью. Бесконтрольное распространение данных служит причиной разных опасных общественных явлений, таких как разжигание ненависти, создание подлогов и фейков и пр.
Бороться с подобными правонарушениями непросто. Большое значение имеет фактор времени. Часто данные быстро теряют ценность и актуальность, поэтому время жизни утечек ограничено.
В то же время базы утёкших данных чаще всего публикуются на неиндексируемых ресурсах. Это существенно затрудняет их быстрое обнаружение, а удаление «неживых», обнаруженных слишком поздно сведений погоды не делает. Вовремя обнаружить данные мешает также то, что участники продаж широко используют средства анонимизации.
Для расследований важно, кто может инициализировать процесс. Например, в ЕС действует Общий регламент по защите данных (GDPR). Согласно этому закону, удаление ПДн можно запустить по личному запросу пользователя. Именно такую дополнительную функцию ввёл, например, Telegram, добавив в интерфейс мессенджера пункт меню, позволяющий сообщить о нарушении в чате.
Рисунок 5. Пример опций для пользователя Telegram по требованиям GDPR
Правоохранительные органы могут также получать информацию о гражданах и организациях через другие официальные каналы, предусмотренные законом. Например, они могут делать официальные запросы в банки и к операторам связи, что помогает проверять валидность обнаруженных данных.
Правоохранительные органы и ИБ-компании могут для мониторинга рынка внедрять своих сотрудников в закрытые чаты и форумы. Благодаря им часто удаётся раскрывать нелегальных продавцов.
В настоящее время в России разрабатываются новые законы и поправки, нацеленные на усиление правовой защиты данных. Важную роль играет усиление стандартов безопасности в компаниях, что также помогает предотвращать новые утечки.
Важна также роль Интерпола. Будучи международной организацией для борьбы с преступностью во всем мире, Интерпол выступает как центральный орган, который помогает координировать действия национальных правоохранительных органов в расследованиях киберпреступлений и утечек данных.
Система борьбы с утечками в действии
В завершение нашего рассказа имеет смысл привести пример из реальной практики.
Весной 2023 года телеграм-канал Baza сообщал о массовых проверках в отделах УВД по Центральному округу г. Москвы в связи с утечкой данных российских силовиков. Проверки проводились в течение нескольких недель и привели к задержанию нескольких полицейских. Их подозревали в разглашении личных данных сотрудников правоохранительных органов РФ, силовиков и судей. Утечку информации обнаружили в середине весны 2023 года.
Рисунок 6. Публикация в телеграм-канале Baza об утечке данных силовиков
Тогда сообщалось, что удалось выявить организованную «систему распределения данных». Её особенностью было то, что некоторые участники привлекались к правонарушениям втёмную. Они могли даже не подозревать, что участвуют в преступлении. Персональные данные распространялись через дарквеб за денежное вознаграждение.
Раскрыть «бизнес» удалось благодаря специальной операции. Сотрудники ФСБ России связались с одним из продавцов в даркнете, который участвовал в сбыте украденных данных. По итогу участники были раскрыты и задержаны.
А если путь ведёт не туда?
Кажется, всё очевидно. Есть закон, запрещающий свободную публикацию ПДн и информации ограниченного доступа. Этими правилами, обеспечивающими строгую защиту данных, руководствуются суды, если дело доходит до правонарушений и наказаний.
Однако давайте вспомним историю 2021 года вокруг сервиса «Глаз Бога» — инструмента, который предоставлял фактически свободный доступ к различной информации из «слитых» баз данных (без проверки их валидности). Согласно рекламе, его возможности, аналитические инструменты и средства автоматизации должны были «революционизировать личную и профессиональную жизнь граждан».
После вступления в силу новых правил обработки общедоступных ПДн операторам было запрещено размещать подобную информацию без согласия её владельца. Даже предоставляя разрешение, пользователь сохранял за собой право ограничить объём данных, подлежащих сбору, обработке и использованию.
Роскомнадзор подал в 2021 году иск к Евгению Антипову — создателю бота «Глаз Бога», усмотрев в его работе нарушение права граждан на неприкосновенность частной жизни. Позднее у владельца сервиса были проведены обыски в связи с работой форума DarkMoney, сообщало «РИА Новости». В результате Таганский суд признал работу сервиса «Глаз Бога» незаконной.
В ответ Е. Антипов сообщил тогда, что «суд заблокировал клон сервиса, к которому владелец не имеет отношения». Случились и другие непонятные события. Позднее канал «Глаз Бога» был заблокирован средствами Telegram. Сейчас ни канала «Глаз Бога», ни соответствующего сайта нет… если вы находитесь в России.
Если же оказаться фактически или виртуально за рубежом, то ситуация резко меняется. В сети можно найти сайт «Глаз Бога» с необходимыми ссылками, в Telegram — канал и бот, причём с минимальными ухищрениями. Так стало ли безопаснее после того, как российский суд ввёл запрет?
Рисунок 7. Запрещённый сервис «Глаз Бога» и телеграм-бот в 2024 году
Действительно, меры Роскомнадзора ограничили доступ к сервису для законопослушных граждан. Но при желании можно найти обходные пути. А ведь интернет «работает» именно так: если в Сети появилась информация и возник спрос, то реально противодействовать этому можно только интеллектуальными средствами ИБ, а не запретами. Традиционные запреты малоэффективны и не способствуют повышению безопасности.
Так ли опасны ПДн, которые попали в интернет?
Формально по ним можно получить доступ, например, на сайт госуслуг. Но фактически этих данных будет недостаточно. То же самое касается банковских структур и любых других компаний, где при разработке продуктов и сервисов учитываются риски компрометации или утечки данных.
Отметим, что риски не абсолютны, а условны. Например, как рассказывают сами безопасники, анонимизированные данные (т. е. такие, в которых искажены отдельные части / поля) допускают восстановление с вероятностью до 85 %, если имеются источники родственных данных (даже анонимизированных), где «утраченные» поля доступны в оригинальном виде.
Можно утверждать, что фактически до сих пор рынок утечек ПДн сохранял устойчивость только благодаря тому, что для поиска и восстановления данных требовались время, смекалка, инвестиции. С широким внедрением ИИ абсолютное большинство «секретных» данных могут быть восстановлены алгоритмическим путём (т. е. автоматически). Прежние преграды для свободного распространения закрытой информации, установленные через запреты, будут снесены.
Особенность ИИ состоит не в его исключительности, а в наличии внутри технологии ускоренного поиска (градиентного спуска), которая позволяет быстро отыскивать ответы на поставленные запросы. В настоящее время меняется парадигма знаний. Если раньше обладание знаниями обеспечивало выполнение той или иной задачи, то теперь для этого требуются интеллект и умение правильно сформулировать то, что надо получить за счёт доступных технологий. Как следствие, теперь необходимы и новые технологии интеллектуальной защиты.
Выводы
Избежать утечек ПДн и появления корпоративной информации в открытом доступе практически невозможно. Всегда находятся новые лазейки, создаются новые схемы, потому что данные являются «ходовым товаром». Однако противодействовать утечкам и удерживать этот «бизнес» от роста не только нужно, но и возможно.
Процесс противодействия утечкам является многогранным. Он охватывает не только внедрение специальных программных и аппаратных средств контроля, но и обучение сотрудников правилам безопасности, а также привлечение специализированных ИБ-компаний, которые помогают выявлять утечки и способствовать изъятию украденных данных из публичного доступа.