За 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch «Россия: утечки информации ограниченного доступа в 2022» (есть в распоряжении РБК).

Таким образом, констатируют эксперты, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны. Причем каждая утечка в 2022 году по объему выросла на треть по сравнению с периодом годом ранее и содержала около 940 тыс. записей.

Эксперты по кибербезопасности также отмечают:

Порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители.
Вдвое выросла доля утечек информации категории «коммерческая тайна».
Заметнее всего выросла доля утечек среди организаций отраслевой группы «Ретейл & HoReCa» — практически в пять раз, среди промышленных, транспортных и энергетических компаний — почти в три раза.
На малый бизнес пришлось более 20% утечек — этот результат вдвое больше, чем в 2021-м.


Как считают объем утечек

Анализ проводится на основе собственной базы утечек информации InfoWatch, которую специалисты пополняют с 2004 года. Источником сведений для этой базы становятся публичные сообщения в интернете о случаях утечек из различных организаций во всех странах мира, а также данные из закрытых источников (интернет-форумы, чаты, каналы в мессенджерах и соцсетях, в том числе доступ к которым осуществляется только с разрешения модераторов или с применением специализированного программного обеспечения). В базу вносится количество скомпрометированных записей, содержащих только персональные данные и/или платежную информацию, так как в остальных случаях количественные характеристики обычно отсутствуют или не отражают размер утечки. Например, объемы файлов и/или количество файлов, содержащих коммерческую тайну, ноу-хау в виде чертежей, описаний, формул и т.п., не отражают ценность утекшей информации.

В Group-IB считают, что объем скомпрометированной в прошлом году персональной информации был выше оценок InfoWatch больше чем в два раза, отметил гендиректор компании в России и СНГ Валерий Баулин. По подсчетам Group-IB, количество утекших записей в прошлом году в десять раз превысило население России: строчки включают имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти хеш-пароли, паспортные данные, подробности заказов и другую чувствительную информацию. «Общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн», — отметил Баулин.

По его словам, больше всего объявлений было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными.

От утечек не защищена ни одна сфера российского бизнеса, отметил Баулин. Жертвами злоумышленников, по словам собеседника РБК, становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании: «Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам».

По итогам 2023 года антирекорд может быть побит, уверен он.

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, в свою очередь, считает, что из российских компаний в прошлом году утекло значительно меньше данных, чем приводится в отчете InfoWatch, — около 100 млн уникальных e-mail адресов и 110 млн уникальных телефонных номеров. Объем неуникальных данных, таких как записи о транзакциях, исчисляется миллиардами, но это не слишком осмысленный показатель, уточнил Оганесян

Он также усомнился в выводе, что 80% утечек имеют некий «гибридный вектор воздействия» — когда в краже информации могли участвовать как внешние, так и внутренние нарушители: «Практически все «источники», публикующих утечки в даркнете, известны и имеют известный профессиональный почерк. И для 80% «источников» этот почерк сводится к взлому серверов баз данных через известные уязвимости или захват контроля над рабочим местом пользователя с административными полномочиями. Инсайдерские же утечки сегодня сосредоточены в сегменте пробива, поскольку компании научились бороться с массовыми выгрузками данных».

Что касается малого бизнеса, то, по оценкам DLBI, на него пришлось более 50% утечек количественно и менее 10% по суммарному объему утекших данных.

«Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут, поэтому вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность», — подчеркнул Оганесян.

В апреле прошлого года глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота.

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков в беседе с РБК подчеркнул, что если введут оборотные штрафы за утечки персональных данных населения, то для многих компаний это станет значительным риском, и они начнут выделять бюджеты на информационную безопасность для того, чтобы защитить те базы, которые они сейчас собирают.

Какие крупные утечки были в 2022 году

В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным телеграм-канала «Утечки информации» от DLBI, в Сеть было выложено порядка 49 млн строк. Позднее руководитель «Яндекс.Еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше. Маресов также назвал утечку беспрецедентным случаем.
В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов. По информации телеграм-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, телеграм-каналы сообщали об утечке о клиентах доставки, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
В ноябре была выставлена на продажу база данных пользователей сервиса электросамокатов Whoosh. По данным профильных телеграм-каналов, в базе оказалось около 7,3 млн записей, в том числе имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров после того, как один из сотрудников компании нарушил установленные правила.

Екатерина Ясакова