Персональные данные в открытом доступе: какова цена и кто ее заплатит?

Персональные данные в открытом доступе: какова цена и кто ее заплатит?

Несмотря на ужесточение требований регуляторов, на публикации о громких инцидентах и на постоянные предупреждения практиков, проблема утечек информации остается актуальной. Большая часть компаний страдает от утечек, вызванных невысоким уровнем осведомленности персонала в вопросах информационной безопасности или мотивированными действиями инсайдеров.

 

 

 

 

1. Свыше 1,2 млрд записей персональных данных — уже на черном рынке

2. Причины утечек информации

3. Последствия утечек для компаний

4. Последствия утечек для субъектов данных

5. Меры по снижению количества инцидентов

 

 

По данным независимого исследования Ponemon Institute, ежегодно фиксируется более полутора тысяч случаев утечек информации, и это лишь те инциденты, которые были обнародованы.

Только за последние несколько месяцев 2016 года стало известно о таких случаях утечки данных, как распространение базы ФСКН с сотнями записей персональных данных ВИЧ-инфицированных людей.

По номеру телефона на сайте phonenumber.to до сих пор можно получить персональные данные пользователей. Данные миллионов пользователей таких информационных гигантов, как Yahoo и Dropbox, оказались скомпрометированы, о чем стало известно только 2-3 года спустя.

Последствия утечек известны — для бизнеса это штрафы, финансовые потери, ущерб репутации. Для субъектов данных спектр риска более широкий — от навязчивой рекламы до возможности стать жертвой преступлений. Аналитический центр «МФИ Софт» решил посмотреть на проблему с другой стороны и изучить ту информацию, которая в итоге попадает на черный рынок данных.

 

Свыше 1,2 млрд записей персональных данных — уже на черном рынке

Результаты исследования «Черный рынок баз данных» аналитического центра «МФИ Софт» за ноябрь 2016 года показывают, что в свободной продаже в России находятся сотни баз данных, содержащих свыше 1254 млн записей. В ходе исследования были изучены предложения крупнейших пиратских форумов и интернет-площадок, где обнаружились базы разных отраслей и регионов страны. Наиболее распространенными оказались нелегальные базы данных финансовой сферы, такие как банковские БД и контактные базы брокеров — 43%.

 

Рисунок 1. Рейтинг баз данных на черном рынке по отраслям

Рейтинг баз данных на черном рынке по отраслям 

 

Чтобы получить персональные данные практически любого интересующего человека, по статистике, потребуется выложить от 1500 до 30000 рублей на несколько баз данных из различных секторов. Потратив всего несколько часов на изучение сайтов по продаже баз данных, можно найти нужную информацию, включая состояние банковских счетов, имя и возраст ребенка, место работы и должность. Конечно, поступление баз на открытый рынок обычно задерживается на год-два, но, как показывает практика, мало кто меняет номера телефонов, электронные адреса и банковские счета за этот период.

Средняя стоимость одной записи — 35 копеек. Наиболее дорогие — базы страховых компаний. Дешевле всего — базы, собранные парсингом открытых источников. К ним относятся базы участников различных конференций, клиентов интернет-магазинов, — они стоят в среднем 0,02 руб.

 

Рисунок 2. Сравнение стоимости одной записи по отраслям

Сравнение стоимости одной записи по отраслям 

 

Причины утечек информации

Согласно исследованию «МФИ Софт», в большинстве случаев (78%) информация попадала на рынок в результате инсайда. Второй источник — недобросовестные операторы персональных данных, которые торгуют личной информацией своих клиентов (13%). И в том и в другом случае информация может быть дополнительно обогащена «отраслевой» спецификой — данными по счетам, вкладам, покупкам, имуществу и др. Все это расширяет возможности покупателей такой информации.

По характеру данных удалось выяснить, что чаще всего такими злоумышленниками являются сотрудники коммерческих и клиентских служб. Иногда встречаются базы, в хищении которых участвовали IT-специалисты — это можно установить по характеру информации, содержащейся в базах данных. Так, при проведении исследования была обнаружена база крупного оператора сотовой связи, содержащая в себе 2 миллиона клиентских записей, а также базы клиентов 18 банков — среди них есть представители топ-10 крупнейших российских банков и популярных микрофинансовых организаций.

 

Рисунок 3. Основные причины утечек информации

Основные причины утечек информации 

 

Последствия утечек для компаний

В большинстве случаев при утечке данных происходит нарушение ФЗ-152 «О персональных данных», а следовательно, можно ожидать санкций со стороны регуляторов. Однако это не самые серьезные риски, которые грозят компаниям: даже с принятием во втором чтении новых поправок в законопроект речь идет о штрафе в 75 тысяч рублей за нарушение хранения персональных данных. С точки зрения бизнес-рисков, более критичен отток клиентов при передаче базы конкурентам и ущерб репутации при обнародовании факта утечки — здесь убытки могут составить миллионы.

В правовой сфере также есть риск обращения клиентов в суд с целью компенсации вреда, причиненного в результате утечки. В конечном счете, утечки информации влекут за собой финансовый ущерб.

 

Последствия утечек для субъектов данных

Вероятность наступления негативных последствий для тех, чьи данные обнародованы, напрямую зависит от полноты и характера информации, хранящейся в базе данных.

Так, утечка «в третьи руки» данных электронных торговых площадок не грозит ничем серьезным, кроме получения спама, а вот база с информацией о благосостоянии, с указанием такой информации, как адрес проживания, данные банковских счетов, может «помочь» стать жертвой преступления.

Почти каждая десятая запись (8% обнаруженных данных) может с высокой вероятностью повлечь за собой тяжелые негативные последствия — использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковского мошенничества или привести к более тяжелым последствиям с применением социальной инженерии. В продаваемой базе можно найти полные контактные данные лица с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах. Именно к таким базам данных проявляют интерес преступники с целью грабежа, шантажа и совершения другой противоправной деятельности.

 

Меры по снижению количества инцидентов

Основная причина утечки — низкий уровень информационной безопасности бизнеса в стране. Базы данных не охраняются должным образом, служба безопасности не имеет возможности контролировать доступ к базам данных, превышение полномочий со стороны сотрудников или взлом извне.

Ведущие производители СУБД, например Oracle, дают возможность аудита баз штатными средствами. Хотя скорость работы с базами существенно снижается, это позволяет повысить уровень безопасности.

Крупные компании предпочитают использовать специализированные системы защиты баз данных, которые не влияют на производительность. Большей частью это представители финансовой отрасли и крупного бизнеса.

Но в силу неочевидности финансового и репутационного урона, который может быть нанесен при разглашении информации украденных баз, защита клиентов остается уделом избранных. В организациях зачастую даже не знают о случившейся утечке базы до наступления последствий — будь то интернет-магазин или сетевой ритейлер. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru