У российской ИТ-отрасли появится свой стандарт защиты данных и аудита

Татьяна Никитина 07 Ноября 2023 - 15:09

...

У российской ИТ-отрасли появится свой стандарт защиты данных и аудита

В российской Ассоциации больших данных (АБД) разработали концепцию отраслевого стандарта защиты данных. Инициатива, которая может быть воплощена в жизнь в ближайшие месяцы, направлена на повышение эффективности мер ИБ и минимизацию киберрисков.

Концепция, предложенная ключевыми игроками ИТ-рынка, определяет надежные подходы к хранению и сбору данных, а также методики совершенствования системы информационной безопасности. Кроме того, в отрасли вводится прозрачный механизм добровольной оценки соответствия новому стандарту, которая должна проводиться на ежегодной основе.

Оцениваться при этом, как выяснили «Ведомости», будут процессы организации и управления защитой данных, политики о защите информации, планы мероприятий по отработке угроз. На оценку (предусмотрена балльная система по метрикам) будут также влиять такие аспекты ИБ, как выявление уязвимостей, реакция на внештатные ситуации, тренинги и подготовка персонала.

Операторами аудита могут стать экспертные группы, составленные из специалистов проверяемой компании и профильных сторонних организаций.

Чем масштабнее базы данных (более 500 тыс. записей) и выше уровень киберугроз, тем жестче требования к безопасности инфраструктуры. В таких компаниях должны быть предусмотрены следующие меры защиты:

управление учетными записями пользователей;
оперативное изменение доступа к различным системам;
двухфакторная аутентификация (2FA);
белые и черные списки софта и ПАК;
специализированное подразделение по защите информации;
реагирование на ИБ-инциденты в течение 36 часов;
план действий персонала на случай отказов и сбоев в работе.

В АБД входят крупнейшие российские ИТ-компании, операторы связи, банки; среди участников числятся «Яндекс», VK, «Ростелеком», МТС, «Мегафон», «Билайн», «Сбер», «Тинькофф Банк», ВТБ, Газпромбанк, «Авито». Все эти операторы данных готовы следовать новому стандарту и добровольно проходить аудит на соответствие.

Предполагается, что соблюдение стандарта позволит также уменьшить размер оборотного штрафа за утечки. Вводящий такую ответственность законопроект (обсуждается уже полтора года, но пока не принят) предусматривает эту возможность при условии, что компания-нарушитель проведет сертификацию инфраструктуры в соответствии с требованиями безопасности.

«Концепция отраслевого стандарта защиты данных и его аудита — важная инициатива ключевых игроков отрасли, которые осознают свою ответственность и задают ориентир для всех операторов данных, — комментирует директор по стратегическим проектам АБД Ирина Левова. — Компании планируют проводить такой аудит не реже одного раза в год и таким образом подтверждать высокий уровень их систем информационной безопасности. Это позволит гарантировать наивысшую степень защиты данных на уровне отрасли».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 10 Февраля 2026 - 09:43

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Утечка данных клиентов приложений для слежки затронула 500 тыс. записей

Хактивисту удалось получить доступ к базе данных одного из поставщиков так называемых stalkerware — приложений для скрытой слежки за владельцами смартфонов. В результате в Сеть утекли более 500 тысяч платёжных записей, связанных с клиентами, которые платили за слежку за другими людьми.

Речь идёт о данных пользователей сервисов Geofinder, uMobix, Peekviewer (бывший Glassagram) и ряда других приложений для мониторинга и трекинга.

Все они предоставляются одним и тем же вендором — компанией Struktura, зарегистрированной на территории Украины. В утёкшей базе также оказались платёжные записи сервиса Xnspy, уже известного по крупным утечкам в прошлые годы.

Как выяснили в TechCrunch, в базе содержится около 536 тысяч строк с данными клиентов. Среди них — адреса электронной почты, название сервиса, за который платил пользователь, сумма платежа, тип банковской карты (Visa или Mastercard) и последние четыре цифры карты. Дат платежей в наборе данных не было.

Хотя полных платёжных реквизитов в утечке нет, даже такой объём информации может быть опасен, особенно с учётом того, чем именно занимались клиенты этих сервисов.

Журналисты TechCrunch проверили утечку несколькими способами. В частности, они использовали одноразовые почтовые ящики с публичным доступом, которые встречались в базе, и через функции восстановления пароля подтвердили, что такие аккаунты действительно существуют.

Дополнительно проверялись уникальные номера счетов, которые совпали с данными, доступными на страницах оплаты сервисов — причём без необходимости проходить аутентификацию. Это указывает на серьёзные проблемы с безопасностью у поставщика.

Хактивист под ником wikkid рассказал, что получил доступ к данным из-за «банальной ошибки» на сайте вендора. По его словам, он целенаправленно атакует приложения, которые используются для слежки за людьми, и позже опубликовал выгруженные данные на одном из хакерских форумов.

Приложения вроде uMobix и Xnspy после установки на телефон жертвы передают третьим лицам практически всё содержимое устройства: сообщения, звонки, фотографии, историю браузера и точные данные о местоположении.

При этом такие сервисы открыто рекламировались как инструменты для слежки за супругами и партнёрами, что во многих странах прямо нарушает закон.

Это далеко не первый случай, когда разработчики stalkerware теряют контроль над данными, как клиентов, так и самих жертв слежки. За последние годы десятки подобных сервисов становились жертвами взломов или утечек из-за элементарных ошибок в защите.

Ирония ситуации в том, что компании, зарабатывающие на вторжении в чужую приватность, раз за разом не способны защитить даже собственных клиентов.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »