Более 510 миллионов записей о россиянах утекли в Сеть с начала 2024 года, при этом 500 миллионов из них стали скомпрометированы в результате одного крупного инцидента, сообщает заместитель главы Роскомнадзора (РКН) Милош Вагнер. При этом он не уточняет, какие именно данные попали в открытый доступ.

Иван Шилов ИА Регнум

Сегодня ведомством ведется расследование происшествия, которое потенциально может стать одним из крупнейших случаев утечки данных населения России. Как отмечает Вагнер, РКН старается сделать так, чтобы россияне страдали как можно меньше от подобных инцидентов. Однако надо отметить, что в последние годы число и объем утечек по-прежнему остаются значительными.

Течёт и течёт

Только с начала этого года, как сообщает РКН, произошло 19 утечек персональных данных. За прошлый год Роскомнадзор зафиксировал 168 таких фактов, при этом в Сеть попали порядка 300 миллионов записей о россиянах. «А в этом году одним этим случаем покрыли практически весь предыдущий год», — констатирует Вагнер.

Статистика за 2022 год была также неутешительной: тогда в открытый доступ попали 600 миллионов записей о гражданах РФ, а случаев утечек зафиксировало более 140. В целом за тот год, по мнению специалистов российского сервиса разведки утечек данных и мониторинга даркнета DLBI, в открытом доступе в интернете оказались данные трех четвертей граждан России.

Цифра в 500 миллионов звучит впечатляюще, но на деле сперва необходимо понять, какая именно информация о россиянах оказалась в открытом доступе, отмечают опрошенные ИА Регнум специалисты. Как говорит эксперт по кибербезопасности Алексей Курочкин, одно дело, если стали известны только ФИО пользователя и телефон — их, вероятно, будут использовать в рекламных целях, что, безусловно, раздражает, но представляет меньшую угрозу.

Если же утекли паспортные данные и данные СНИЛС, ситуация становится опаснее для человека, на которого, к примеру, может быть незаконно оформлен кредит. Тем не менее, вне зависимости от содержимого утекшей информации, сам факт того, что подобные преступления стабильно продолжаются год за годом, не может не настораживать.

На фоне сообщений о том, что, к примеру, в Минтрансе России подготовили проект приказа, в соответствии с которым с 1 сентября перевозчики обязаны будут передавать в единую базу данные банковских карт, IP-адреса, телефоны, адреса электронной почты и пароли учётных записей пассажиров, возникает вопрос — достаточно ли хорошо защищены базы данных, в том числе государственные, в условиях, когда сбор информации о россиянах государством и частными компаниями становится всё активнее?

По мнению основателя DLBI Ашота Оганесяна, многие организации после начала СВО оказались не готовы защитить персональные данные пользователей на фоне резкого обострения геополитической обстановки. «Столь резкий рост объема утечек связан в первую очередь с большим числом атак украинских хактевистов после начала СВО», — комментировал тогда ситуацию Оганесян.

На политически мотивированных злоумышленников ссылались и в Роскомнадзоре. «Участившиеся взломы баз данных и их сливы в публичное пространство — часть гибридной войны, которая ведется против России, — заявляли в РКН в 2023 году. — Характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам».

Тем не менее в условиях, когда с момента начала СВО прошло уже два года и было время подумать о защите информации граждан, едва ли можно перекладывать всю вину за случившееся лишь на зарубежных хакеров. По мнению Алексея Курочкина, в 90% случаев данные вообще утекали и утекают внутри самих компаний.

«Есть системный администратор, который имеет доступ к этим данным и который планирует уходить, обидевшись на руководство, на всё что угодно. Он обиделся, скопировал эти данные, а дальше он заходит в даркнет (сегмент интернета, скрытый из общего доступа. — Прим. ред.) и пытается их там продать от 5 центов до 5 долларов за фамилию в зависимости от типа данных», — рассказывает эксперт.

Кроме того, как говорит Милош Вагнер, российские компании зачастую скрывают информацию об инцидентах, что мешает Роскомнадзору оперативно принимать меры и сокращать масштабы их последствий.

«Обязательное информирование об утечках нам нужно для того, чтобы незамедлительно принять два решения, — объясняет представитель РКН. — Первое — как оперативно прекратить распространение данных, так как это основной риск для граждан. Второе — понять, есть ли повод для возбуждения дела в отношении компании, допустившей утечку».

Бдительность и наказание

Нельзя сказать, что государство не уделяет внимания проблеме появления персональных данных россиян в открытом доступе. В последнее время появлялись предложения ужесточить ответственность за утечку подобного рода сведений. Так, в январе этого года депутаты Госдумы приняли в первом чтении поправки к КоАП РФ и УК РФ об усилении ответственности за нарушение конфиденциальности персональных данных.

Законодательные инициативы предусматривают введение оборотных штрафов (до 3% выручки) для компаний, допустивших утечку, и уголовной ответственности за использование, передачу, сбор и хранение полученных незаконным путем персональных данных. Уголовная ответственность предполагается и за создание ресурсов, распространяющих такую информацию.

«Без значительного усиления ответственности и крупных штрафов невозможно переломить ситуацию с лавинообразным ростом утечек персональных данных россиян», — говорит глава Комитета Госдумы по информполитике, информтехнологиям и связи Александр Хинштейн.

Государство работает над решением проблемы, отмечает в комментарии для ИА Регнум первый заместитель председателя комиссии по развитию информационного сообщества, СМИ и массовых коммуникаций Общественной палаты Александр Малькевич. По его мнению, такая инициатива Госдумы направлена на то, чтобы компании вкладывались в инфраструктуру, а не платили копеечные штрафы и пренебрегали вопросами безопасности.

На пленарном заседании 29 февраля Госдума может рассмотреть эти поправки во втором, основном чтении. Однако ужесточение наказания является лишь одной из сторон проблемы, полагает Алексей Курочкин. По мнению эксперта, сейчас появляются лишь многочисленные новости о самих утечках данных, однако расследование таких преступлений зачастую затруднено, а СМИ не освещают то, как ловят и осуждают киберпреступников.

«Нужно провести пару показательных порок, провести реальное расследование и наказать виновных с большим освещением в СМИ, — говорит Курочкин, отмечая необходимость большей публичности наказания за подобные деяния. — Тогда уйдет безбоязненность, по крайней мере, у непрофессиональных мошенников и воров данных, а утечек станет меньше».

Также необходимо работать с населением, отмечает Александр Малькевич, повышая его цифровую грамотность, чтобы граждане ответственно относились к тому, что размещают в Сети и кому предоставляют доступ к данным. Не все услуги, доступ к которым можно найти в интернете, безопасны в плане обеспечения приватности личной информации — некоторые сервисы готовы поделиться полученными данными со злоумышленниками.

«Например, VPN-сервисы, которые многие бездумно используют для доступа к запрещенным соцсетям, хотя такие сервисы уже много раз сливали данные в даркнет и разного рода мошенникам», — отмечает Малькевич.

В условиях, когда личная информация в интернете может сравнительно легко оказаться в открытом доступе, соблюдение правил информационной безопасности может помочь снизить риски, напоминает Алексей Курочкин. Пользователям стоит ответственно подходить к передаче третьим лицам своих персональных данных, использовать надежное программное обеспечение и уникальные пароли, а также своевременно обновлять их.

Распространение сведений о себе лучше ограничить, а там, где это возможно, лучше вообще не оставлять свои данные. Можно, к примеру, придумать псевдоним и использовать его в интернет-магазинах, говорит Курочкин.

На фоне того, что объем утечек персональных данных пока не становится меньше, необходимо проявлять настоящую бдительность и максимально сохранять свою приватность.