InfoWatch проанализировала утечку данных 80% избирателей США

InfoWatch проанализировала утечку данных 80% избирателей США

InfoWatch проанализировала утечку данных 80% избирателей США

Персональные данные около 200 млн избирателей США находились в открытом доступе в течение 14 дней в июне 2017 года, утечку допустила аналитическая компания Deep Root Analytics, работавшая по контракту с Республиканской партией США. Базу данных объемом 25 Тбайт мог скачать любой пользователь из облачного хранилища файлов компании Amazon.

Ущерб

База данных компании Deep Root Analytics содержит имена, даты рождения, электронную почту, физические адреса, религиозные и политические пристрастия, а также расовую принадлежность 61% населения США — 198 млн американцев. Более того, в базе содержится смоделированные данные о вероятных позициях избирателя по самым «горячим» вопросам: от «насколько вероятно, что он проголосовал за Обаму в 2012 году», согласны ли они с внешней политикой Трампа «America First» до отношения к ношению оружия и запрету абортов.

Позиция пострадавшей стороны

Компания Deep Root, работавшая по контракту с Республиканской партией США, подтвердила свою причастность к базе, но утверждает, что ИТ-инфраструктура компании не была взломана, а утечка данных произошла из-за уязвимости в системе безопасности. В заявлении основателя Deep Root Алекса Ландри (Alex Lundry) говорится, что компания несет полную ответственность за эту ситуацию. По его словам, база данных содержит конфиденциальную информацию, а также общедоступные сведения об избирателях, предоставляемые государством. «Мы обновили настройки доступа для предотвращения дальнейшего доступа к файлам», — сказал Ландри.

История вопроса

Похожие крупные утечки случались ранее.

  1. В 2015 году эксперт по информационной безопасности Крис Викери (Chris Vickery) обнаружил в сети Интернет базу данных, содержащую информацию о 191 млн американских избирателей.
  2. В апреле 2016 года, за месяц до президентских выборов, на Филиппинах произошла утечка личной информации 70 млн избирателей в результате атаки на Филиппинскую комиссию по выборам (Comelec).
  3. Также в 2016 году утечка из правительственных сервисов в Турции привела к компрометации личных данных 50 млн граждан. Файл объемом 1,4 гигабайта разместил в интернете анонимный хакер, сопроводив его сообщением: «Кто бы мог подумать, что отсталые идеологии, кумовство и растущий религиозный экстремизм в Турции приведут к разрушающейся и уязвимой технической инфраструктуре?»

Во всех случая скомпрометированными оказывались персональные данные и другая чувствительная информация большинства граждан.

  1. Во время утечки в 2015 году в общедоступном пользовании оказалась информация, которую американские граждане обязаны предоставить при первой регистрации на выборах: имя и фамилия, домашний и почтовый адрес, дата рождения, пол, этническая принадлежность, номер телефона, партийная принадлежность, адрес электронной почты, идентификационный номер избирателя штата.
  2. На Филиппинах утекла информация о 70 млн жителей, в том числе паспортные данные и отпечатки пальцев избирателей. По мнению экспертов в области информационной безопасности, каждый зарегистрированный избиратель на Филиппинах в настоящее время подвержен мошенничеству и другим рискам.
  3. В Турции анонимный хакер опубликовал в интернете файл, который содержал личные данные о 50 миллионах граждан страны, включая их имена, адреса, фамилии родителей, дату и место рождения, национальный идентификационный номер, используемый турецким правительством. Пострадавшими стали более половины жителей государства.

Как правило, о таких масштабных утечках критичной информации официальные лица говорят либо неохотно, либо не говорят вовсе.

  1. Официально происхождение базы данных американских избирателей, обнаруженной в 2015 году, не было установлено, однако Крис Викери считает, что база или ее часть могла принадлежать онлайн-сервису NationBuilder (SaaS-платформе, которая позволяет кандидатам создать предвыборный сайт за несколько минут), или их клиентам. Вывод сделан на основании уникальных меток в полях данных. В компании ответили, что IP-адрес, с которого произошла утечка, им не принадлежит.
  2. Ответственность за утечку на Филиппинах взяла на себя хакерская группа Anonymous Philippines. Своей целью они назвали попытку выявить уязвимости в системе Comelec, в том числе при использовании автоматизированных машин для голосования. Comelec утверждает, что чувствительная информация в результате утечки не пострадала.
  3. Правительство Турции прокомментировало утечку персональных данных граждан страны как «старую историю», утверждая, что данные были украдены в 2008 году. «Это не заслуживает освещения в печати», — заявил турецкий министр связи Бинали Йилдирим. Одновременно он признал, что киберугрозы являются растущей проблемой и что правительство создаст совет для усиления защиты персональных данных страны.

Пояснения Аналитического центра InfoWatch

Общемировой объем утечек записей ПДн и финансовых данных в 2016 году увеличился в три раза и превысил 3 млрд единиц, из которых более 125 млн записей были скомпрометированы из организаций, работающих в России.

Причины такого роста во многом объясняются спецификой развития технологий анализа больших данных. Если раньше не стояло задачи обеспечивать полноту базы данных – включать в нее дополнительную информацию из-за отсутствия средств обработки таких объемов данных, то с развитием технологичеких возможностей машинной обработки больших массивов данных, заинтересованные организации стали собирать буквально всю информацию о своих пользователях, которую только могут извлечь. В этом смысле Big Data можно рассматривать уже не просто как объект, а как подход, идеологию использования информации. Такой подход предполагает неограниченный рост количества параметров в базах данных, объема баз.

С удешевлением технологий анализа больших данных информация приобрела реальную ценность. Использование больших данных становится серьезным орудием — достаточно вспомнить подробности последнего избирательного цикла в США, где анализ данных избирателей позволил штабу Трампа разработать детальные целевые сообщения (месседжи) для отдельных сегментов аудитории — недостижимый ранее уровень политической технологии.

Те же подходы, очевидно, применимы в массовом маркетинге, в позиционировании продуктов, в прогнозировании спроса и оценке рынков.

Объем и детализация баз данных растет, а средства защиты, которые всегда появляются вслед за развитием технологий, не успевают за новыми угрозами. В результате «революции» в области обработки и анализа данных, критического роста ценности агрегированной информации, мы имеем ситуацию, когда объекты защиты, условно говоря, «живут» в постинформационной эре, а средства защиты не могут выйти за рамки подходов и приемов, характерных для предыдущей — информационной эры.

Число крупных утечек информации (в том числе детализированных, объемных баз агрегированных данных) будет расти — к этому есть все предпосылки, и пока нет ни одного реализованного фактора, который может воспрепятствовать этому росту.

Многомиллионные утечки персональных данных избирателей по всему миру, безусловно, относятся к классу «мега-утечек».

В 2016 году мы зарегистрировали 44 «мега-утечки» данных. В результате каждой из «мега-утечек» скомпрометированы более 10 млн записей о персональных данных. Годом ранее таких утечек было в два раза меньше – в 2015 году зафиксирован 21 подобный случай.

И дело не столько в растущем объеме скомпрометированных данных. Сам по себе количественный рост не несет критической угрозы, так как у киберпреступников сегодня есть довольно ограниченный набор способов использования сведений о физлицах. Например, существует не так много возможных способов использования «кражи личности» — это может быть мошенничество с налоговыми декларациями и вычетами, подделка личных документов и прочие типовые схемы, противодействие которым легко масштабировать. В этом смысле со стороны защиты разница между утечкой одной или миллиона записей состоит только в количестве типовых действий.

Подлинная угроза, связанная с утечками больших (свыше 10 млн) объемов информации, связана как раз не с количественными, а с качественными изменениями. Современные средства анализа позволяют извлекать из больших объемов информации такие выводы, которые, на первый взгляд, не содержатся в исходном наборе данных. Это может быть сделано как постфактум самим злоумышленником при наличии базы в несколько миллионов записей, так и заранее легитимными владельцами данных, как это сделали в компании Deep Root Analytics.

На наш взгляд, следует говорить не только о проблеме обеспечения конфиденциальности данных, но и об использовании больших данных – задуматься о необходимости и способах регулирования этого вопроса на уровне национального законодательства или международного договора.

Практически двукратный ежегодный рост числа «мега-утечек» означает, что рано или поздно у киберпреступников всех мастей появятся сведения обо всех жителях Земли, включая потребительские предпочтения, сексуальную ориентацию, платежеспособность, кредитную историю, сведения о судимости и т.д. Список ограничен только фантазией, поскольку практически  любые сведения можно будет вывести из уже имеющихся данных (если не по конкретному человеку, то по социальной группе). Добавим сюда историю платежей, историю поиска в интернете, данные геолокации, логи «умных устройств» Интернета вещей, и получим всеобъемлющее жизнеописание любого жителя планеты. Причем это могут быть не только статистические сведения, но и база для прогнозных исследований — где окажется человек в следующую минуту, что купит в магазине, что прочитает в интернете — на все эти вопросы появятся ответы. Очевидно, что проблема такого масштаба требует выработки новых норм регулирования на глобальном уровне.

Поэтому уже сейчас нужно начинать разговор о том, что делать с утекающими данными, как урегулировать использование больших массивов информации. 

200 млн избирателей США находились в открытом доступе в течение 14 дней в июне 2017 года, утечку допустила аналитическая компания Deep Root Analytics, работавшая по контракту с Республиканской партией США. Базу данных объемом 25 Тбайт мог скачать любой пользователь из облачного хранилища файлов компании Amazon." />
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Госдума усилила ответственность за утечки персданных

Госдума приняла во втором и третьем чтениях поправки в законодательство, которые повышают ответственность за утечки и неправомерный оборот персональных данных. Они предусматривают многократное увеличение штрафов, вводят оборотные штрафы и уголовную ответственность.

Законопроект был внесен в Госдуму в начале декабря 2023 года и был принят в первом чтении практически сразу после новогодних каникул. С того времени в документ были внесены несколько поправок.

В частности, усилена ответственность за утечку биометрических данных, при этом размер штрафов для должностных лиц наоборот, уменьшен. Всего, как отметил член комитета по государственному строительству и законодательству Дмитрий Вяткин, который представлял документы, поступило 30 поправок, из которых было принято 14.

26 ноября, эти поправки, как сообщил «Интерфакс», были приняты Госдумой сразу в двух чтениях.

За незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов предлагается установить штрафы для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц — от 200 тыс. до 400 тыс. рублей; для юридических лиц — от 3 млн до 5 млн рублей.

За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц — от 300 тыс. до 500 тыс. руб.; для юридических лиц — от 5 млн до 10 млн руб.

Если было скомпрометировано более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов, размер штрафа вырастет до 400 тыс., 600 тыс. и до 15 млн рублей.

При рецидиве — до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.

Вводится административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных — штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц — от 30 тыс. до 50 тыс. руб.; на юридических лиц — от 100 тыс. до 300 тыс. руб.

Также вводится ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.

В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в ИБ не ниже 0,2% от оборотов в течение трех лет; отсутствие привлечения к административной ответственности по целому ряду составов, связанных с соблюдением мер информационной безопасности; уровень цифровой зрелости.

Незаконное использование персональных данных влечет уже уголовную ответственность. В качестве наказания по новой статье УК виновнику грозит штраф до 300 тыс. рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок. Ответственность за утечку биометрических данных, персданных несовершеннолетних, при установлении корыстного мотива или в особо крупном размере ответственность может быть до 10 лет лишения свободы.

Закон в случае его подписания президентом вступит в силу по истечении 180 дней после дня его официального опубликования.

«Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников», - говорится в разъяснениях Минцифры, выпущенных сразу после принятия Госдумой законопроектов.

Вместе с тем целый ряд вопросов остается пока без ответа. В частности, высказывались опасения, что ужесточение ответственности может рикошетом ударить по компаниям, занимающимся мониторингом утечек данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru