В обзоре Ernst & Young (EY), говорится о том, что в среднем на каждого россиянина приходится около 15 идентификаторов, которые мы оставляет для подтверждения своей личности. Их получают и государственные системы вроде ЕСИА, и операторы связи, и банки, и интернет-сайты.
Ни для кого не секрет (особенно для специалистов по информационной безопасности), что наиболее вероятная модель нарушителя это сотрудники организации. Зачастую угроза исходит не из внешнего мира, а в самой организации находится недобросовестный сотрудник, который готов продать любую информацию, к которой он имеет непосредственно доступ. Например, бухгалтер может "слить" информацию о реквизитах банковской информации или данные паспортов (вместе с отсканированными копиями) и тд. В мире по вине сотрудников происходит 56% утечек, в России – 88%, и чем больше компаний собирают данные, тем выше вероятность слива информации.
Однако руководитель центра технологий, медиа и телеком EY Юрий Гедгафов отметил, что дело не только в количестве, но и в качестве. В среднем сотрудники в подобных организациях получают 27 тыс. рублей, что сопоставимо с продажей двух-трех строчек персональных данных на черном рынке. В то же время менее ста исков, связанных с утечкой, были поданы у нас в стране за весь 2018 год.
Одним из вариантов повышения безопасности была названа необходимость перехода к модели, когда личность пользователя подтверждается не напрямую, а через ID-провайдера, возможно с помощью технологии блокчейн. В таком случае компания будет получать не саму информацию о клиенте, а ответ, подходит ли человек под определенные критерии. Стоит понимать, что так как операторов может быть несколько, и в их лице может выступать как государство, так и сами организации, скорее всего гиганты, накопившие большие базы, начнут нешуточную конкуренцию и осложнят процесс. При этом также необходимо будет внедрить системы для отслеживания получивших к данным доступ.
За 2019 год сильно участились сливы информации во многих организациях, будь то государственные органы, банки или крупные сетевые магазины. В первую очередь необходимо бороться не с внешнем нарушителем, а с внутренним, начиная с того, что проводить ознакомление сотрудников с текущим законодательством в сфере информационной безопасности, объяснять им какая их ждет ответственность. Благо в России все расширяется информационное пространство и граждане более осведомлены и понимают все последствия таких нарушений.
