К вопросу о расследовании Роскомнадзором случаев утечки персональных данных населения России

***

«Показательные порки»: как остановить вал утечек персональных данных

Более 510 миллионов записей о россиянах утекли в Сеть с начала 2024 года, при этом 500 миллионов из них стали скомпрометированы в результате одного крупного инцидента, сообщает заместитель главы Роскомнадзора (РКН) Милош Вагнер. При этом он не уточняет, какие именно данные попали в открытый доступ.

Сегодня ведомством ведется расследование происшествия, которое потенциально может стать одним из крупнейших случаев утечки данных населения России. Как отмечает Вагнер, РКН старается сделать так, чтобы россияне страдали как можно меньше от подобных инцидентов. Однако надо отметить, что в последние годы число и объем утечек по-прежнему остаются значительными.

Течёт и течёт 

Только с начала этого года, как сообщает РКН, произошло 19 утечек персональных данных. За прошлый год Роскомнадзор зафиксировал 168 таких фактов, при этом в Сеть попали порядка 300 миллионов записей о россиянах. «А в этом году одним этим случаем покрыли практически весь предыдущий год», — констатирует Вагнер.

Статистика за 2022 год была также неутешительной: тогда в открытый доступ попали 600 миллионов записей о гражданах РФ, а случаев утечек зафиксировало более 140. В целом за тот год, по мнению специалистов российского сервиса разведки утечек данных и мониторинга даркнета DLBI, в открытом доступе в интернете оказались данные трех четвертей граждан России.

Цифра в 500 миллионов звучит впечатляюще, но на деле сперва необходимо понять, какая именно информация о россиянах оказалась в открытом доступе, отмечают опрошенные ИА Регнум специалисты. Как говорит эксперт по кибербезопасности Алексей Курочкин, одно дело, если стали известны только ФИО пользователя и телефон — их, вероятно, будут использовать в рекламных целях, что, безусловно, раздражает, но представляет меньшую угрозу.

Если же утекли паспортные данные и данные СНИЛС, ситуация становится опаснее для человека, на которого, к примеру, может быть незаконно оформлен кредит. Тем не менее, вне зависимости от содержимого утекшей информации, сам факт того, что подобные преступления стабильно продолжаются год за годом, не может не настораживать.

На фоне сообщений о том, что, к примеру, в Минтрансе России подготовили проект приказа, в соответствии с которым с 1 сентября перевозчики обязаны будут передавать в единую базу данные банковских карт, IP-адреса, телефоны, адреса электронной почты и пароли учётных записей пассажиров, возникает вопрос — достаточно ли хорошо защищены базы данных, в том числе государственные, в условиях, когда сбор информации о россиянах государством и частными компаниями становится всё активнее?

По мнению основателя DLBI Ашота Оганесяна, многие организации после начала СВО оказались не готовы защитить персональные данные пользователей на фоне резкого обострения геополитической обстановки. «Столь резкий рост объема утечек связан в первую очередь с большим числом атак украинских хактевистов после начала СВО», — комментировал тогда ситуацию Оганесян.

На политически мотивированных злоумышленников ссылались и в Роскомнадзоре. «Участившиеся взломы баз данных и их сливы в публичное пространство — часть гибридной войны, которая ведется против России, — заявляли в РКН в 2023 году. — Характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам». Тем не менее в условиях, когда с момента начала СВО прошло уже два года и было время подумать о защите информации граждан, едва ли можно перекладывать всю вину за случившееся лишь на зарубежных хакеров. По мнению Алексея Курочкина, в 90% случаев данные вообще утекали и утекают внутри самих компаний.

«Есть системный администратор, который имеет доступ к этим данным и который планирует уходить, обидевшись на руководство, на всё что угодно. Он обиделся, скопировал эти данные, а дальше он заходит в даркнет (сегмент интернета, скрытый из общего доступа. — Прим. ред.) и пытается их там продать от 5 центов до 5 долларов за фамилию в зависимости от типа данных», — рассказывает эксперт. Кроме того, как говорит Милош Вагнер, российские компании зачастую скрывают информацию об инцидентах, что мешает Роскомнадзору оперативно принимать меры и сокращать масштабы их последствий.

«Обязательное информирование об утечках нам нужно для того, чтобы незамедлительно принять два решения, — объясняет представитель РКН. — Первое — как оперативно прекратить распространение данных, так как это основной риск для граждан. Второе — понять, есть ли повод для возбуждения дела в отношении компании, допустившей утечку». 

Бдительность и наказание 

Нельзя сказать, что государство не уделяет внимания проблеме появления персональных данных россиян в открытом доступе. В последнее время появлялись предложения ужесточить ответственность за утечку подобного рода сведений. Так, в январе этого года депутаты Госдумы приняли в первом чтении поправки к КоАП РФ и УК РФ об усилении ответственности за нарушение конфиденциальности персональных данных.

Законодательные инициативы предусматривают введение оборотных штрафов (до 3% выручки) для компаний, допустивших утечку, и уголовной ответственности за использование, передачу, сбор и хранение полученных незаконным путем персональных данных. Уголовная ответственность предполагается и за создание ресурсов, распространяющих такую информацию. «Без значительного усиления ответственности и крупных штрафов невозможно переломить ситуацию с лавинообразным ростом утечек персональных данных россиян», — говорит глава Комитета Госдумы по информполитике, информтехнологиям и связи Александр Хинштейн.

Государство работает над решением проблемы, отмечает в комментарии для ИА Регнум первый заместитель председателя комиссии по развитию информационного сообщества, СМИ и массовых коммуникаций Общественной палаты Александр Малькевич. По его мнению, такая инициатива Госдумы направлена на то, чтобы компании вкладывались в инфраструктуру, а не платили копеечные штрафы и пренебрегали вопросами безопасности.

На пленарном заседании 29 февраля Госдума может рассмотреть эти поправки во втором, основном чтении. Однако ужесточение наказания является лишь одной из сторон проблемы, полагает Алексей Курочкин. По мнению эксперта, сейчас появляются лишь многочисленные новости о самих утечках данных, однако расследование таких преступлений зачастую затруднено, а СМИ не освещают то, как ловят и осуждают киберпреступников.

 «Нужно провести пару показательных порок, провести реальное расследование и наказать виновных с большим освещением в СМИ, — говорит Курочкин, отмечая необходимость большей публичности наказания за подобные деяния. — Тогда уйдет безбоязненность, по крайней мере, у непрофессиональных мошенников и воров данных, а утечек станет меньше».

Также необходимо работать с населением, отмечает Александр Малькевич, повышая его цифровую грамотность, чтобы граждане ответственно относились к тому, что размещают в Сети и кому предоставляют доступ к данным. Не все услуги, доступ к которым можно найти в интернете, безопасны в плане обеспечения приватности личной информации — некоторые сервисы готовы поделиться полученными данными со злоумышленниками. «Например, VPN-сервисы, которые многие бездумно используют для доступа к запрещенным соцсетям, хотя такие сервисы уже много раз сливали данные в даркнет и разного рода мошенникам», — отмечает Малькевич.

В условиях, когда личная информация в интернете может сравнительно легко оказаться в открытом доступе, соблюдение правил информационной безопасности может помочь снизить риски, напоминает Алексей Курочкин. Пользователям стоит ответственно подходить к передаче третьим лицам своих персональных данных, использовать надежное программное обеспечение и уникальные пароли, а также своевременно обновлять их. Распространение сведений о себе лучше ограничить, а там, где это возможно, лучше вообще не оставлять свои данные. Можно, к примеру, придумать псевдоним и использовать его в интернет-магазинах, говорит Курочкин.

На фоне того, что объем утечек персональных данных пока не становится меньше, необходимо проявлять настоящую бдительность и максимально сохранять свою приватность.

Автор Михаил Захаров

Источник - https://regnum.ru/article/3869478

***

Кибермошенники подстерегают россиян даже на курсах по финансовой грамотности

Все больше россиян сталкиваются со звонками мошенников. Одновременно представители Минфина и Центробанка (ЦБ) публично рассказывают истории о том, как жертвами обмана становились даже те профильные чиновники, которые, казалось бы, должны иметь профессиональный иммунитет.

Банковские мошенники, махинаторы, кибервзломщики – это уже институализированная организованная преступность. И с ней можно, конечно, пытаться бороться курсами для населения по финансовой грамотности, но этого явно недостаточно, сообщили в Высшей школе экономики (НИУ ВШЭ). Тем более что и сами курсы, как рассказали «НГ» в НИФИ Минфина, тоже порой могут быть организованы мошенниками.

Топ-3 самых популярных схем финансового мошенничества с использованием методов социальной инженерии, то есть психологического воздействия на жертву, например, в ходе телефонного разговора, сейчас выглядит так. Это обман с помощью якобы случайного денежного перевода (деньги просят вернуть назад); предложение перевести свои средства на специальный счет для их безопасности – некий спецсчет ЦБ; предложения заработать в интернете на «инвестициях», например, в криптовалюту или сомнительные акции.

К такому выводу пришли специалисты Центра медиапрактик Института коммуникационного менеджмента НИУ ВШЭ в докладе, подготовленном по итогам опроса представителей медийного сообщества, специализирующихся на финансовой тематике. О том, что такие виды манипуляций приобретают все более массовый характер, косвенно можно судить и по другому опросу. По данным Всероссийского центра изучения общественного мнения, все больше россиян сообщают о том, что они сталкивались со звонками мошенников: в начале февраля об этом говорили уже 67% из 1,5 тыс. опрошенных против, например, 57% в 2021 году и 63% в 2022-м.

Но исследователи ВШЭ привели отдельно еще один топ-3 мошенничеств – с применением современных технологий. Эту тройку возглавило использование дипфейков (подделок лица, голоса жертвы) и искусственного интеллекта (ИИ). Пока это не стало именно массовой историей, но экспертов тревожит вопрос о том, насколько долго «пока» продлится. По некоторым оценкам, речь идет о нескольких месяцах или даже неделях затишья перед бурей. Издание «НГ» тоже сообщало, что в условиях, когда многие персональные данные уже и так утекли в даркнет и когда все больше организаций начинают аккумулировать биометрические данные, именно дипфейки с подключением возможностей ИИ могут нанести наиболее сокрушительный удар по финансовой безопасности граждан. 

Другие пункты топ-3 мошеннических схем с применением современных технологий – это внедрение вредоносных программ на устройства, а также взлом почты, страниц в соцсетях и иных приложений. Более того, порой даже взламывать ничего не требуется – злоумышленники создают сайт-клон (фишинговый сайт или фишинговую страницу в соцсети), с помощью которого вводят в заблуждение своих жертв. Авторы исследования делают вывод о высоком запросе общества в адрес государства и банковского сообщества на борьбу с мошенничеством. Но также они указали на важность воспитания в гражданах определенной финансовой грамотности. 

На практике, однако, все намного сложнее. В ходе круглого стола, на котором обсуждалось исследование, директор Банковского института НИУ ВШЭ Василий Солодков сообщил, что такие мошенники – это «самая настоящая организованная преступность», которая работает уже не первый год. «И самое странное – масштаб этой деятельности растет, – продолжил эксперт. – А с организованной преступностью может полноценно бороться исключительно правоохранительная система. К сожалению, я по крайней мере не вижу никаких позитивных сигналов, что, во-первых, система поставила себе задачу остановить этот вал, и второе – что если она с этим и борется, то достигнут какой-то положительный результат». 

Если же у правоохранительной системы по какой-то причине что-то не получается, то, по словам Солодкова, задача по защите граждан от злоумышленников делегируется другим институтам – в частности, самим банкам и Центробанку. Насколько это продуктивно – большой вопрос. Допустим, Солодков напомнил об инициативе, которая касается временной заморозки денежных переводов. По его словам, «это очень, конечно, интересно», но тонкость в том, что «чем эффективнее и быстрее работает платежная система, тем лучше экономике». 

Отметим, если же и сами банки вместе с регулятором тоже не способны сделать финансовую среду безопаснее, то уже на следующем этапе задача защиты своих средств делегируется самому населению. Так и возникает идея о повышении финансовой грамотности граждан. Но ведь и этого явно недостаточно. Финансовая грамотность – это, как образно разъяснил на круглом столе советник руководителя службы по защите прав потребителей и обеспечению доступности финансовых услуг ЦБ Александр Коланьков, скорее попытка вспахать землю, чтобы затем засеять ее полезными зернами. Но она, конечно, не становится панацеей. 

Ведь, допустим, с одной стороны, нужно менять еще и ментальность самих финансовых структур, которые, по уточнению Коланькова, считают, что вложения в информационную безопасность негативно влияют на их прибыльность в моменте. С другой стороны, «конечно, и самих правоохранителей в этом новом дивном мире тоже нужно обучать», признал он. Более того, само знание разных рекомендаций – например, о том, что нужно читать договор перед тем, как его подписать, – вовсе не гарантирует, что человек все равно не попадется на уловки мошенников. «Сейчас уже есть случаи, когда и доктора экономических наук, и государственные чиновники становятся жертвами мошенников. Никто не защищен», – обратил внимание Коланьков. 

Об этом же ранее сообщали и в правительстве. «У нас даже в Минфине были очень высокопоставленные люди, которые занимаются финансовыми рынками и разбираются в них, которых вот почти удавалось обмануть, потому что их ловили в определенные моменты и использовали определенные трюки, которые подходили именно для них в данном моменте», – рассказывал осенью прошлого года директор департамента финансовой политики Минфина Иван Чебесков  (цитата по ТАСС). Что же этому можно противопоставить? Представители финансового блока все равно настаивают – только еще более качественную самооборону граждан. И теперь говорится не столько о финансовой грамотности, сколько о финансовой культуре. Понятие, скажем так, тоже довольно трудно измеримое. 

«Глобально необходим переход от знаний к установкам. Чтобы люди не только знали о случаях мошенничества и могли пересказывать их друг другу, но и соблюдали базовые правила финансовой безопасности, которые помогут избежать потерь при любых сценариях», – пояснил «НГ» руководитель проекта Научно-исследовательского финансового института (НИФИ) Минфина «Моифинансы.рф» Михаил Сергейчик. По его словам, несмотря на то что с развитием новых технологий мошеннические схемы все время видоизменяются, «способы противодействия мошенничеству остаются почти неизменными». «Человек, который в курсе основных мошеннических схем, ответственно относится к передаче персональных данных третьим лицам, использует сложные пароли для основных аккаунтов и постоянно меняет их, пользуется антивирусами на телефоне и персональном компьютере, а также сервисами по блокировке спам-звонков, в большинстве случаев не станет жертвой мошенников», – пояснил Сергейчик. 

Хотя уточним, что и такой человек тоже может стать жертвой мошенников. Ведь даже передавая свои данные только тем организациям, которые, казалось бы, по определению должны гарантировать их защиту, все равно нельзя быть на 100% уверенным, что эти организации или их отдельные сотрудники добросовестно выполнят свою работу.

Другой важный момент. Все больше получая информации о важности финансовой грамотности, проникаясь этой идеей, некоторые граждане могут прогореть как раз на своем стремлении стать финансово грамотнее. «Интерес населения к финансовому просвещению может иметь оборотную сторону медали – могут встречаться предложения, лишь замаскированные под «финансовую грамотность», – пояснил изданию «НГ» Сергейчик. – Одни используют тему финансового просвещения для наращивания охватов: блогеры, владельцы каналов и тематических групп в соцсетях и мессенджерах. Другие – с корыстными целями: ввести в заблуждение, убедить «вложиться» в «знания» или очередной «выгодный инвестиционный проект».

Кроме того, курсы по финансовой грамотности могут использоваться как приманка для привлечения аудитории, чтобы собирать личные данные или под видом уникального инвестиционного предложения попытаться выманить деньги у граждан. «Если для финансовых услуг обязательно требуется лицензия, то для образовательных услуг лицензирование не всегда становится обязательным условием. Поэтому их проще использовать как ширму для мошеннических схем, а также проще рекламировать и продвигать в интернете», – пояснил также Сергейчик. По его словам, методов распознавания лжекоучей и гуру финансового благополучия немало, «но все они сводятся к тому, чтобы всегда осознавать, что черпать информацию можно и нужно только из официальных источников, а «учителей» оценивать критически в разрезе их компетенции и ответственности».

Выступая на круглом столе ВШЭ,  финансовый омбудсмен Ассоциации банков России Павел Медведев попытался донести до собравшихся еще одну мысль – о том, что схемы, довольно похожие на мошеннические, намного чаще могут применяться как раз легальными организациями и они могут иметь при этом последствия для граждан намного более серьезные, чем даже после атак различных телефонных или кибермошенников. Как уточнил Медведев, он проанализировал статистику поступивших к нему обращений за полгода и пришел к выводу, что за это время жалоб на легальные финансовые организации ему поступило в 30 раз больше, чем на нелегальные.

Автор: Анастасия Башкатова, заместитель заведующего отделом экономики "Независимой газеты"

Источник - https://www.ng.ru/economics/2024-02-22/4_8960-i_econ1.html