Оказались двойная утечка данных бонусной программы «Сберспасибо» (суммарно 52,5 млн записей), сети магазинов «Спортмастер» (46 млн записей) и интернет-аптеки zdravcity.ru (8,9 млн записей). За первые четыре месяца 2023 года произошло 75 утечек из российских коммерческих компаний и госорганизаций, что в 1,5 раза больше, чем за аналогичный период 2022-го (49 утечек). В начале августа 2023 года стало известно о попадании в открытый доступ база данных с названием «Лукойл 2022». Критически важно для снижения рисков организовать не только защиту конфиденциальной информации, но также всех типов учетных записей, обеспечивающих доступ к этой информации. Например, решение Solar Dozor помогает не просто защитить компанию от утечек конфиденциальной информации, но и профилировать сотрудников, выявлять аномалии в их поведении и оперативно проводить расследования инцидентов. Ранее в августе 2019 года в свободном доступе опубликовали персональные данные 703,000 сотрудников РЖД – суд над сотрудником компании, которого слив признали ответственным за утечку, до сих пор продолжается.
- Кроме того, пользователи даркнета рискуют стать жертвами утечки личных данных, взлома устройств и мошенничества.
- Увеличилась и общая доля информации, утекшей из государственных органов и организаций — до уровня в 19,2% (на 5,3 процентных пункта больше по сравнению с 2022 годом).
- Критически важно для снижения рисков организовать не только защиту конфиденциальной информации, но также всех типов учетных записей, обеспечивающих доступ к этой информации.
- Среди популярных товаров, доступных в даркнете, можно выделить личные данные (переписки, пароли, документы, подделка документов), компромат на известных людей, запрещенные вещества, оружие, украденные вещи и фальшивые деньги.
«Интересные» базы приобретаются операторами ботов для поиска информации, тогда как малозначимые данные распространяются бесплатно через Telegram-каналы хакерских активистов. Все эти изменения могут влиять на статистику – с учетом изменений на теневом рынке данных реальное количество утечек и скомпрометированных записей ПДн может быть в разы выше, подчеркивают авторы отчета. Аналитики также отмечают резкий рост числа инцидентов, где неизвестен сам тип утекших данных – доля таких случаев в 2025 году выросла почти до 30% против 6,6% годом ранее. Количество скомпрометированных записей персональных данных тоже снизилось – на 21,6%, до млн. Также сократилось и количество зарегистрированных утечек персональных данных. Как и весной, «летние сливы» в основном касаются баз данных крупных российских компаний и популярных сервисов для бесплатного скачивания, чтобы не заработать, а нанести максимальный ущерб бизнесу и его клиентам.
Госкомпании традиционно более консервативны в оценке степени угрозы со стороны внутреннего нарушителя и более ориентированы на защиту от внешних утечек. Согласно данным опроса SearchInform, всего 63% инцидентов в государственном секторе приходится на инсайдеров (это на 25% меньше, чем в частных компания). По последним исследованиям компании InfoWatch,в России основным источником реализации угрозы разглашения и передачи конфиденциальной информации является именно инсайдер.
При этом выросла доля скомпрометированной информации, относящейся к коммерческим секретам и ноу-хау. Сократились доли утечек платежной информации, а также государственных секретов. В России, несмотря на ряд особенностей, таких как минимальные санкции за утечку данных, ограниченное использование «цифровой» личности для получения услуг, в сфере безопасности информации, наблюдаются тенденции, аналогичные общемировым. Почти каждая пятая утечка конфиденциальной информации в России сопряжена с мошенническими действиями (прежде всего это оформление кредитов менеджерами организаций по чужим данным).
Один из читателей The Bell описал в январе такой необычный пример попытки мошенничества с помощью данных из базы «Яндекс-еды». Несмотря на многочисленные попытки блокировок, база со слитыми данными «Яндекс-еды» остается доступной с весны 2022 года. По данным сервиса разведки утечек данных DLBI, лидером по числу «сливов» в текущем году стал сектор электронной коммерции (39%), а на втором месте оказались аптеки и медицинские сервисы (10%).
Утечка данных о 5 млн учащихся и сотрудников языковой онлайн-школы Skyeng
Небольшая доля «медицинских» утечек — 8,5% на фоне 19% доли в мировом распределении — объясняется относительно низким уровнем «цифровизации» российской медицины, особенностями развития российского медицинского страхования. Организации вывешивают на домах подъездов списки должников с полным перечнем персональных данных. Доминирующими каналами утечки конфиденциальной информации из организаций в России являются бумажные носители и Сеть.
Основными каналами утечек остаются внешние накопители и фотографии экрана
Неизвестные злоумышленники выложили в открытый доступ базу данных одного из крупнейших российских девелоперов – группы «Самолет». В течение первых месяцев 2023 года в глобальном масштабе зафиксированы утечки данных приблизительно 197 млн пользователей интернета. Объединенная страховая компания (ОСК) 4 октября 2023 года подтвердила факт утечки персональных данных клиентов, о котором ранее сообщил телеграмм-канал “Утечки информации”. Как обнаружил TAdviser в августе 2024 года, в судебных разбирательствах между Промтрансбанком и его бывшим подрядчиком, компанией «Экспресс лаб», приводятся причины и подробности утечки персональных данных пользователей с сайта банка. В свободном доступе прямо на официальном сайте «РЖД Бонус» оказался срез базы данных этого сайта.
Но в аспекте утечек важны два момента. В разговоре с «Медузой» руководитель проекта «Сетевые свободы» Дамир Гайнутдинов рассказал, что требуется, чтобы изменить ситуацию с утечками личных данных. Проблема в том, что, учитывая тесные связи большинства крупных корпораций, обрабатывающих персональные данные, с государством, наказывать в такой ситуации властям придется самих себя. Исследователи заключают, что российские власти не в состоянии справиться с защитой данных — и россиянам следует полагаться в этом вопросе только на себя. Жертвы сливов не могут повлиять на технологическую защищенность своих данных, заключают правозащитники.
Утечки данных в госсекторе России
При этом по объему скомпрометированных записей пальму первенства удерживает банковская вертикаль — 41%. Чаще всего утечки фиксировались в медицине (25%), реже всего в муниципальных учреждениях (2%). При этом умышленные утечки чаще всего происходят через интернет, а случайные — в результате потери или кражи оборудования. Таким образом, хакерские атаки, хоть и происходили реже внутренних, наносили компаниям больший ущерб, указали в компании.
Алексей Коробченко ожидает увеличения инцидентов в связи с развитием цифровизации и ростом числа хакерских атак. Начальник отдела по информационной безопасности компании «Код безопасности» Алексей Коробченко поясняет расхождения в статистике различными методиками подсчета. Как сообщает «Коммерсантъ», в Минцифры РФ не согласились с данными отчета «Еca Про». Данные из отчета компании «Еca Про» (входит в ГК «Кросс технолоджис») отличаются от статистики Роскомнадзора.
По обоим причина одна – доступ к критичной информации и привилегированность положения. Чаще всего нарушителями становятся менеджеры отделов снабжения (коррупционная емкость профессии), бухгалтеры и финансисты (доступ к критическим данным, деньгам). Как показали данные опроса, 74 % инцидентов допускают рядовые сотрудники. В 2018 году 15 % компаний отметили рост числа внутренних инцидентов, на 9 % больше, чем годом ранее. Как показало исследование «СёрчИнформ», на 2018 год в 54 % компаний половина информации и более хранится в графических форматах. Парадоксально, но отсталость российской медицины в плане цифровизации выступает залогом относительной безопасности персональных данных в медучреждениях.