Русская течь: как быть с защитой персональных данных
Новости о той или иной утечке появляются регулярно. На минувшей неделе глава «Ростелекома» Михаил Осеевский даже признал: личные данные всех россиян уже попали в сеть. Вопросы защиты персональных данных при этом интересуют и специалистов по кибербезу, и государство, но не самих владельцев этих данных. О том, не поздно ли плакать по утекшим данным, есть ли шансы перекрыть кран утечкам и кто в них виноват, рассуждает управляющий директор Positive Technologies Алексей Новиков.
Данные не предмет для хранения
Цифра нас окружает. С 2000-х годов стали массово появляться цифровые сервисы. Развитие Web 2.0, мобильные приложения и появление различных цифровых экосистем от ведущих IT-гигантов (а потом и государства) требовали от пользователя ввода своих персональных данных, а то и самостоятельного обогащения их до максимального уровня: помните, как на заре появления «ВКонтакте» тогдашним неофитам создания своих цифровых образов предлагалось делиться с общественностью даже информацией о семейном положении, родственных связях и прочими данными? Просто находка для современного мастера по OSINT.
Данные в соцсетях большинство из нас быстро почистило, да и разработчики со временем существенно сократили количество и содержание «видимых» полей, однако общая тенденция к «разбрасыванию» своих данных то там, то тут осталась. Сначала по запросу оставляли электронную почту и ФИО, потом телефон (а вслед за ним и второй — резервный), потом данные банковской карты. Чем дальше в «диджитальный лес», тем толще были партизаны: пошли в ход уже рабочие телефоны, адреса дач, СНИЛС, ИНН, данные водительских прав и регистрации машины (чтобы посмотреть штрафы с камер и т.д.).
Все это нужно не самым известным государственным цифровым сервисам. В разных сочетаниях эти данные о любом человеке разбросаны в самых разных местах: некоторые разрешили браузерам запомнить данные своих банковских карт, кто-то, пользуясь цифровыми коммерческими сервисами, сохранил в личных кабинетах данные водительских прав. А что такого? Удобно же. А уж то, в каких базах данных хранятся и обрабатываются номера телефонов, e-mail, даты рождения, ФИО и вовсе не упомнить: попробуйте пересчитать, сколько за все время вы оформили карт лояльности и у кого есть эти данные на вас? Уверен, не хватит не только своих пальцев рук, но и пальцев рук с ногами всего семейства. Сегодня среднестатистический человек с трудом вспоминает, куда и какие данные он «отнес».
Продаются. Недорого. Отдам даром
С развитием цифровых сервисов, естественно, стали происходить и инциденты. Один из самых частых их результатов — утечки персональных данных пользователей в том или ином объеме: больше, чем в половине случаев всех атак на организации, и более чем в 70% случаев кибератак на физлиц киберпреступники нацелены именно на кражу данных. И чаще всего, безусловно, «текут» именно персональные данные.
Именно они же самый популярный объект купли-продажи среди киберпреступников в дарквебе — доля объявлений, связанных с их продажей (или даже бесплатной раздачей) составляет 83%, а стоимость данных в дарквебе сейчас редко превышает $1000. Причем бесплатное предложение практически в два раза больше продажи. Так что если мы с вами склонны оставлять данные где попало, в принципе, не так уж высоко их оценивая, киберпреступники делают примерно то же самое — делятся друг с другом информацией о нас с вами совершенно безвозмездно.