Откуда столько утечек
Сколько именно в России утекло данных за 2022 год, сказать сложно — цифры называют разные. Роскомнадзор насчитал 150 крупных утечек. «Лаборатория Касперского» сообщила о 168, это порядка 2 млрд строк, из которых 48 млн содержали пароли. Проект «Сетевые свободы» выделил 60 крупнейших сливов. Цифры разные, но все сходятся в том, что утечек стало больше и главная причина этого — война.
После вторжения России желание поддержать Украину выказали сотни тысяч хакеров по всему миру. «Мы с коллегами управляемся принципом “если это можно взломать, то это нужно взломать”. То есть мы считаем, что нужно ломать все, к чему мы можем дотянуться. И чем более значим для противника таргет — тем лучше для нас», — делится с «Важными историями» хакер под ником TheWay, представитель группировки Cyber.Anarchy.Squad.
Главная цель взлома российских госструктур и бизнеса — добыча данных, которые могут пригодиться силовым структурам Украины, объясняет BlackBird, один из основателей сообщества DC8044: «Добытые нашими группами персональные данные в подавляющем большинстве случаев предоставляются силовым структурам. Они их кластеризуют, консолидируют в большие массивы, которые уже годятся для аналитики и обеспечения их операций».
Хакеры плотно сотрудничают с украинскими спецслужбами: занимаются разведкой, диверсиями и информационными операциями, согласен Андрей Баранович, сооснователь группировки Ukrainian Cyber Alliance. «Если мы тратим сутки на то, чтобы что-нибудь взломать, наши жертвы должны потратить минимум неделю на восстановление, и в оптимальном случае жертва не должна восстановиться в принципе», — объясняет он.
Хакеры в один голос утверждают, что известные утечки — верхушка айсберга, в большинстве случаев, получив доступ к данным, взломщики стараются его не светить, чтобы не потерять. «Какие-то базы, к которым у хакеров уже есть доступ, постоянно насыщаются большим объемом новых данных, и выплюнуть их в паблик означает утратить этот доступ», — говорит BlackBird.
В паблик данные попадают, когда хакеры хотят сделать противнику больно или составить себе репутацию. За деньги данные тоже, конечно, продают — спамерам, мошенникам, агрегаторам данных. «Мы постоянно и продаем, и сливаем данные. В основном мы стараемся помогать нашим военнослужащим, но также должны обслуживать свои технические моменты», — признается член хакерской группировки UHG Michael Myers.
Насколько россияне уязвимы
Очевидно, что при прочих равных, чем больше люди пользуются интернетом, оставляя там свои данные, тем больше шансов, что эти данные утекут. Россия — среди мировых лидеров по использованию интернета, а пандемия ковида научила людей пользоваться сервисами доставки: за 2020 год число клиентов выросло в семь раз, а с тех пор — еще на порядок. На сервисы доставки приходится треть утечек.
Санкции дело не облегчают: свою деятельность в России ограничили или прекратили многие IT-компании, готовые решения которых раньше покупал отечественный бизнес — Cisco, IBM, Imperva, Fortinet, Norton, Avast. «Если раньше российские компании могли себе позволить использовать самые крупные, самые именитые, самые проверенные решения, то сейчас приходится импровизировать», — отмечает один из экспертов, пожелавший остаться анонимным. «То, что Россия крайне зависима от западных технологий, которые сложно поддерживать в отсутствие производителей, приятное дополнение, но уровень безопасности и без того был невысок. Целей настолько много, что приходится выбирать», — отмечает Баранович из Ukrainian Cyber Alliance.
Вместе с ростом количества украденных данных развиваются и их агрегаторы. Доступ к ним за небольшую плату, а то и вовсе бесплатно может получить сегодня любой пользователь. Безобидная вроде бы информация, будучи собрана в одном месте и структурирована, сообщает о человеке неожиданно много. Вбив имя, можно сразу получить не только адрес и телефон, но и паспорт, СНИЛС, ИНН, номер автомобиля, места парковки, скидочные карты, аккаунты в соцсетях и т. д.
Кто за это отвечает
По идее, охранять персональные данные должен Роскомнадзор. Это очень активный государственный орган — он блокирует оппозиционные сайты, насаждает в России цензуру, изучает способы отключить рунет от интернета и следит, чтобы Путина не называли обидными словами («Важные истории» рассказывали об этом здесь). На защиту персональных данных россиян просто не остается ресурсов, да и закон никаких реальных рычагов это делать сегодня не дает.
«Вся борьба с утечками на сегодняшний день — в рассылке писем и имитации бурной деятельности. А штрафы какие-то мизерные применяются только после того, как возникает скандал в СМИ», — считает эксперт по информационной безопасности.
Охрана персональных данных выглядит так. Каждый оператор персональных данных — будь то «Яндекс» или районная служба доставки пиццы — должен быть внесен в реестр операторов. Сейчас в нем почти миллион компаний. Если случилась утечка, компания обязана уведомить Роскомнадзор, который начнет проверку, а затем, возможно, привлечет компанию к административной ответственности по статье 13.11 КоАП («Нарушение законодательства Российской Федерации в области персональных данных»). Максимальный штраф по ней — 100 тыс. рублей. И всё. Неудивительно, что такие дела не слишком популярны — в Москве за 2022 год мы нашли 114 таких административных дел, восемь из них связаны с утечками.
Что можно поменять
Сейчас Минцифры готовит законопроект, который может уменьшить число утечек. Он увеличивает штрафы для компании, у которой утекли данные. За первую утечку — 3–15 млн рублей (в зависимости от масштабов), за повторную — 3% годового оборота компании, но не менее 15 млн и не более 500 млн рублей.
При этом компания сможет уменьшить штраф, если сумеет договориться с большинством пострадавших — людей, чьи данные утекли, предложив им компенсацию. Делать это предполагается через «Госуслуги».
Роскомнадзор предлагает этим же законом ввести фактическое лицензирование крупных операторов персональных данных (более миллиона записей). Сейчас они попадают в его реестр в уведомительном порядке. Роскомнадзор хочет поменять порядок на разрешительный — компании придется выполнить несколько условий: нанять не менее пяти сотрудников с высшим образованием в сфере защиты информации, быть способной заплатить не менее 100 млн рублей штрафа и обрабатывать данные только на территории России. Потом Роскомнадзор проводит аудит ее IT-инфраструктуры и решает, включать в реестр или нет.
Притом что все это звучит разумно, бизнес традиционно боится, что, получив рычаг в виде больших штрафов и лицензирования, чиновники будут его использовать не во благо, а в своих интересах. «Такой закон скорее поощряет чиновников работать на увеличение количества штрафов, чем купировать утечки, — считает эксперт. — А для компенсации вреда гражданам нужно не создавать сомнительный механизм с “Госуслугами”, а разрешить им подавать коллективные иски в суд», — рассуждает эксперт.
Между тем в Госдуму уже внесен другой проект, который должен осуществить мечту российских силовиков — чтобы они могли вносить в базы и выносить из них тех, кого сочтут нужным. Сейчас это делается на разовой основе: в Росреестре то сыновей бывшего генпрокурора Артема и Игоря Чаек переименуют в ЛСДУ3 и ЙФЯУ9, то Владимира Путина — в Игоря Петровича Сергеева-Градского.
Этот процесс предлагается поставить на законодательную основу. С 1 сентября 2025 года в России может появиться реестр «отдельных категорий лиц», данные о которых силовики смогут корректировать по своему усмотрению в любых базах. Теоретически это позволит им избежать попаданий в утечки с последующей идентификацией активистами.
Но эксперт считает, что такой закон только усилит рвение хакеров: «Если у нас в помещении сидят несколько людей, но над некоторыми из них горят лампочки, кем злоумышленники заинтересуются в первую очередь? То есть фактически каждый оператор персональных данных какой-нибудь условной “Пятерочки” получит сведения о том, что Иван Иванович Петров — муж сотрудницы СВР Ольги Петровны Петровой, и поэтому о нем данные нужно хранить особо секретно».
Другая проблема законопроекта, по его мнению, — это возрастающие риски сохранности данных: «Власть одной рукой требует от бизнеса обеспечить максимальную сохранность, другой рукой — увеличить количество окон и дверей в помещении, где необходимо обеспечить максимальную сохранность. И обеспечить беспрепятственный проход своим служащим. Бизнес, учитывая количество уголовных дел, связанных с пробивом, не доверяет сотрудникам правоохранительных органов, поскольку кто у нас пробивом занимается? Именно они».
Увеличение штрафов за утечки и развитие института коллективных исков — вполне в духе западного законодательства.
Например, в 2018 году в результате хакерской атаки у British Airways было похищено порядка 380 тыс. личных данных клиентов и сотрудников авиакомпании, включая информацию о кредитных картах и CVV кодах. Изначально компании назначили штраф в 183 млн фунтов стерлингов — это 1,5% ее годового оборота в 2017 году, но затем снизили до 20 млн фунтов стерлингов, приняв во внимание плачевные для авиаотрасли последствия ковида. 4500 пострадавших подали против British Airways коллективный иск, который был урегулирован в досудебном порядке. Это, скорее всего, значит, что компания пошла на условия истцов и выплатила компенсацию.