Как оценить самую большую утечку персональных данных в России?

Густав Бауэрфайнд. Порт Яффы. XIX в.
С начала года в России произошел целый ряд громких утечек персональных данных. Появлялась информация об утечке самых различных сведений — от владельцев банковских карт до клиентов медицинских лабораторий. 15 июля в СМИ появились сведения о пока самом масштабном «сливе» 2022 года. На этот раз под удар информационной безопасности попал известный грузоперевозчик. В открытом доступе оказались сведения около 25 млн клиентов оператора курьерской доставки грузов и документов СДЭК.

Речь может идти о нескольких базах данных под названиями «Клиенты», «Контрагенты» и «Телефоны», в каждой из которых содержится от 30 млн записей до 160 млн. Общий архив утечки занимает объем порядка 33 гигабайт. РБК обратилось за комментарием к PR-директору СДЭК Анне Иоспа, которая сообщила о внутреннем расследовании в компании. Она добавила, что в СДЭК выясняют обстоятельства ЧП, но от дополнительных комментариев отказалась.

Специалист по кибербезопасности Digital Security Александр Багов в комментарии ИА Красная Весна объяснил, что речь идет именно об утечке персональных данных пользователей транспортной компании. По его мнению, если ориентироваться на предыдущие громкие «утечки» персональных данных, максимум, что может грозить оператору — это штраф. «Ориентироваться можно на последствия громких утечек организаций за текущий год. Масштаб утечки и количество опубликованных данных в этом случае не имеет большого значения. В худшем случае будет назначен штраф», — пояснил Багов.

В феврале СДЭК уже сообщала о взломе информационной защиты и утечке двух таблиц в открытую сеть. В тот момент оператор пожаловался на кибератаки, поскольку это произошло на пятый день спецоперации России на Украине. Однако в период с февраля по июль 2022 года в России утекали и многие другие данные.

Так, в марте газета «Коммерсантъ» сообщила о «сливе» данных более чем 100 тыс. карт клиентов российских банков. Спустя неделю в свободном доступе оказалась база данных почти 7 млн телефонных номеров клиентов сервиса «Яндекс.Еда». В связи с чем Роскомнадзор составил административный протокол из-за нарушения закона о персональных данных, а Замоскворецкий суд Москвы наложил на сервис штраф в 60 тыс. руб.

Тогда же ряд экспертов объяснил причину подобных утечек экономическими санкциями стран Запада против России. Поскольку на Западе стали блокировать работу банковских карт российских клиентов, сведения об этих картах обесценились и были выброшены в Сеть за ненадобностью.

В мае СМИ сообщили о служебном расследовании в департаменте корпоративной безопасности лаборатории «Гемотест» из-за сообщений об утечке базы данных, содержащей около 31 млн строк. Не всегда сообщения об утечках персональных данных подтверждались. Так, ГИБДД и компания Wildberries опровергли сообщения об утечках данных пользователей. К началу лета произошли еще две громкие утечки — в сервисе доставки еды Delivery Club и в компании GeekBrains, занимающейся онлайн-образованием в IT-сфере.

В Минцифры решили не оставлять проблему многочисленных утечек персональных данных без внимания. Глава министерства Максут Шадаев предложил ужесточить ответственность организаций, занятых обработкой персональных данных. «Я знаю зарубежную практику, когда штрафы исчисляются миллионами долларов… Мы должны наказывать большим рублем», — заявил Шадаев 5 апреля на заседании профильного комитета Госдумы РФ.

В итоге комитет по информполитике, информационным технологиям и связи одобрил законопроект о защите персональных данных в начале июля, а уже 14 июля Владимир Путин утвердил изменения в закон «О персональных данных». В новой редакции закона организаторов обязали информировать органы власти обо всех инцидентах с персональными данными, а также взаимодействовать с российской государственной системой обнаружения и предупреждения компьютерных атак на информационные ресурсы. Закон вступит в силу 1 сентября.

Персональные данные (ПДн) по-прежнему остаются одной из наиболее уязвимых категорий информационной защиты. Несмотря на строгие законодательные требования к организациям, утечки ПДн регулярно случаются как в России, так и за рубежом. Источниками утечек могут быть сотрудники, нанятые кибервзломщики или хакеры-одиночки. В одном случае причиной потери данных окажется обиженный подчиненный, а в другом — конкурирующая организация, которая захочет подорвать репутацию соперника, или враждебное государство.

Антон Абрамов

ИА Красная Весна