Утечки данных: кто виноват и как защититься? Мнения экспертов

Специалисты прокомментировали возможности защиты данных пользователей.

Вчера в сети появилась информация об очередной утечке сведений о 55 тыс. клиентов банков. В рамках одного из исследований, аналитики компании КРОК пришли к выводу о том, что в первом полугодии 2020 года число инцидентов, в ходе которых мошенники получили доступ к базам данных, выросло на 47%. По их мнению, одна из причин роста статистики – повышение мотивации сотрудников организаций к получению дополнительного дохода. Редакция BloomChain решила узнать мнения экспертов о том, как обстоят дела в сфере обеспечения безопасности данных клиентов компаний.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Одним из первых своим видением ситуации с нами поделился директор департамента развития технологий компании «Аладдин Р.Д.», Денис Суховей. По его мнению, обилие новостей о резонансных утечках больших массивов персональных данных, данных платежных карт или другой конфиденциальной информации стало неотъемлемой частью информационного окружения современного человека.

Специалист отметил, что, в первую очередь всех интересует вопрос последствий подобных утечек. Коммерциализация утечек, как он считает, выходит на совершенно новый уровень своего развития.

«Если на заре эпохи информатизации похищенные выгрузки из СУБД (система управления базами данных) тиражировались на компакт-дисках и продавались в переходах крупных городов России (например, базы государственных номеров авто или базы паспортных данных), то далее процесс криминализации утечек существенно ускорился, а еще сравнительно недавно интернет наводнили электронные сервисы платного доступа к похищенных данным. Таким образом, преступные сообщества вышли на принципиально иной и хорошо масштабируемый уровень «бизнеса»», - так эксперт пояснил свою точку зрения.

По мнению Дениса Суховея, ничего не стоит на месте, и индустрия хищения и использования персональных данных продолжила свое развитие. В настоящий момент, как отметил специалист, масштабные утечки совершаются не для продажи в «розницу», но для перепродажи «оптом». Вследствие экономической сегментации отдельные группы занимаются только скупкой похищенных массивов СУБД и обогащением своих супер-ресурсов.

«Обогащение баз персональных данных, как важнейший процесс теневых Big data-ресурсов, позволил предложить совершенно легально участникам рынка очень ценную информацию. Похожей схемой использования персональных данных является инцидент с Facebook, в котором компания даже не скрывала факты коммерческой передачи данных своих пользователей аналитическим и рекламным агентствам. Facebook собирала и обогащала свою базу BigData, естественно, без ведома пользователей», - пояснил специалист.

Таким образом, по мнению Дениса Суховея, данные, которые похищаются из СУБД различных компаний и сервисов проделывают большой путь и могут быть использованы злоумышленниками не единожды, проходя по звеньям этой цепочки.

«Но на этом фоне наблюдается интересное явление. Всем интересны последствия, однако крайне мало задаются вопросом «а почему же масштабная утечка стала возможной?». По этому поводу есть сразу несколько полезных наблюдений», - отметил эксперт.

Организации, по его мнению, плохо защищают свои базы данных по ряду причин:

  • Сложность - СУБД и информационные модели в базах данных очень сложные и зачастую являются «черным ящиком» для самой организации.
  • Загруженность - самые ценные СУБД обычно очень сильно загружены по причине того, что наиболее ценные данные активно используются бизнесом (именно их обычно и похищают).

Специалистов СУБД, как отметил эксперт, на рынке очень мало, а тех, кто еще в дополнение имеет компетенцию по защите информации, - вообще единицы. В этих условиях у организации крайне мало шансов найти грамотного защитника СУБД.

Данные: Сбербанк

Помимо всего прочего, как считает Денис Суховей, существует определенный дефицит решений по защите информации в СУБД, особенно на отечественном рынке.

«Таким образом, сочетание перманентного технического и экономического прогресса преступных групп и безответственное поведение владельцев крупных баз персональных данных складывается в картину регулярных резонансных утечек, последствием которых являются списания денежных средств с карточных счетов, вездесущая реклама в смартфонах, проникновение на домашние и корпоративные компьютеры пользователей», - подытожил эксперт.

Директор центра противодействия мошенничеству НИП «Информзащита» Игорь Шульга, в свою очередь, обратил внимание на проблемы, с которыми сталкиваются жертвы мошенников. В качестве примера, он взял недавний эпизод утечки данных 55 тыс. клиентов российских банков.

Напомним, в руки мошенников попали первые шесть и последние четыре цифры номеров карт, информация о сроках их действия, ФИО клиентов финансовых организаций, их телефоны и даже адреса проживания. Для совершения операций по карте, по мнению Игоря Шульги, угрозы нет. Для того, чтобы мошенники могли проводить операции, как он считает, им не хватает полного номера карты. При этом эксперт отметил, что злоумышленники могут успешно использовать эти данные для социальной инженерии и «развода» граждан на деньги.

Клиенты банков, как он считает, могут перевыпустить карту, чтобы обезопасить себя на случай, если в руках мошенников оказались полные номера пластика.

«Но не факт, что банк сделает это бесплатно. Других компенсаций не будет. Клиент даже заявление в полицию не может подать, потому что ущерба не было», - подытожил Игорь Шульга.

Официальный представитель биржи криптовалют Garantex Татьяна Максименко также отметила, что для оплаты и снятия денег со счетов, прикрепленных к банковским картам, той информации, которая утекла в сеть, недостаточно. Но она может использоваться мошенниками для фишинговых атак. Также злоумышленники, как отметила эксперт, могут звонить держателям карт, представляясь сотрудниками банков, и убеждать сообщить какие-то дополнительные данные, а имея на руках столько информации они могут звучать в разговоре очень убедительно, и не очень искушенные в кибербезопасности пользователи могут стать жертвами мошенничества.

«К сожалению, правоприменительная практика в России не очень защищает клиентов. У нас нет практики громких коллективных исков, как в США, где компанию могут оштрафовать на несколько миллионов за подобные утечки. Это связано с американским законодательством, защищающим права потребителей. Там это работает не одну сотню лет, и успешность подобных дел напрямую связана с выгодой, которую видят юрфирмы в подаче коллективных исков», - отметила Татьяна Максименко.

За 2000-2010 гг. юрфирмы в США, по ее словам, заработали около $16 миллиардов на коллективных исках, а сами истцы при этом могли получить в копейки. В России физлица получили возможность подавать коллективные иски лишь в октябре 2019 года, и никаких громких дел пока не было.

«К тому же, в данном случае речь идет об утечке не из банков, а из маркетплейса Joom, которому клиенты банков сами передавали данные о своих картах», - подытожила Татьяна Максименко.

Узнайте больше о проблемах защиты персональных данных из нашего материала.

← Назад Поделиться:

Рекомендации

Исследование: цифровизация экономики привела к росту утечек данных россиян

Евгения Лиходей2 мин
Мошенников уличили в продаже фейковых баз данных

Хакеры могут использовать такой подход, в том числе, чтобы подпортить репутацию властей.

Евгения Лиходей2 мин

Western Union приобретает 15% арабской платежной компании STC Pay за $200 млн

Western Union и STC Pay уже сотрудничают по части осуществления денежных переводов. Сделку планируют закрыть в I квартале 2021 года.

Aртем Галунoв2 мин

Торги депозитарными акциями Ozon на NASDAQ и Мосбирже начнутся 24 ноября

Компания повысила цену размещения ADS и увеличила общий объем предложения.

Aртем Галунoв2 мин

Ethereum 2.0 находится на полпути к запуску, однако может не успеть в намеченный срок

Будущие валидаторы Ethereum 2.0 активно вносят средства в депозитарный контракт — за последние 3 дня объем ETH на его счету вырос практически в три раза. Однако дедлайн, до которого пользователи должны внести условленную сумму денег, истекает уже завтра.

Aртем Галунoв3 мин

Четыре из пяти крупнейших «единорогов» Европы занимаются финтехом

Крупнейшим «единорогом» в списке Sifted оказался шведский финтех-стартап Klarna, капитализация которого оценивается в $10,6 млрд.

Aртем Галунoв3 мин