Никогда такого не было, и вот опять. Эта фраза уже давно стала нарицательной, особенно если речь идет о «сливе» персональных данных россиян. Прямо сейчас где-то в сети находится свыше 500 млн личных записей граждан. Причем в открытый доступ они попали в начале 2024 года.
Наверное, это самая крупная утечка за последние годы и точно масштабная. В Роскомнадзоре пока не признаются, что это за сведения и кто из участников рынка допустил утечку.
Куда слили 500 млн конфиденциальных данных?
В РКН признают, что всего в сеть утекло более 510 млн файлов данных, из которых 500 млн – это одна крупная база. Правда, официально руководители ведомства не говорят, кто похитил данные и что это была за организация. С учетом предыдущей практики, это может быть как крупный банк, так и оператор сотовой связи.
Самое смешное, что ранее утечек было намного больше, но информация в сеть утекала не такими масштабами. Опять же, в РКН решили выкрутиться и заявили, что расследование ведется, но без подробностей.
Для примера можно сравнить масштабы «слива» с 2023 годом, когда в сеть попали порядка 300 млн записей и личных данных россиян. Тогда было намного больше случаев, но утечки пресекались. Сейчас всего одной базы хватило, чтобы перекрыть все рекорды, и это только начало года.
Эксперты уже говорят о том, что утечка в 500 млн личных записей – это крупнейший скандал, который пытаются сгладить. Если ранее в сети оказывались сотни и тысячи данных за один раз, то сейчас речь идет о миллионах. Причем доподлинно неизвестно, что это за информация – телефонные номера, паспортные данные, банковские карты или кредитная история.
Вообще утечки личных данных стали нормой для российских компаний. Достаточно вспомнить 2022 год, когда в сеть слили почти 600 млн записей. Интересно, что в половине случаев данные банально продавали:
1. Сотрудники компаний находили покупателей в даркнете и назначали цену за конфиденциальный товар.
2. Информацию покупают как мошенники, так и вполне легальные компании. Например, рекламщики всегда готовы за такую информацию выложить солидную сумму.
Думаю, не стоит говорить о том, что многие телефонные звонки со стороны аферистов осуществляются именно по таким базам. Сейчас пока не очень понятно, о каких данных идет речь. Одно дело, если это личная информация (телефоны, ФИО) и другое, если речь идет об официальных документах – паспорта, СНИЛС и т.д.
Рекламные компании вряд ли станут покупать информацию СНИЛС или паспортов, а вот телефоны выкупят за милую душу. Но есть и обратная сторона медали, когда базы покупают мошенники и телефонные аферисты.
Виновников опять не найдут?
На фоне этого масштабного слива россияне задаются вопросом: будут ли найдены и наказаны виновники? Например, мне сложно найти в сети информацию о наказаниях за прошлые утечки информации. Конечно, если речь идет о крупных компаниях, то они всегда платят большие штрафы за подобные происшествия.
В РНК ссылаются на злоумышленников, которые якобы активизировались в 2022 году. То есть речь идет о «гибридной войне» против России. Это все понятно, но почему за два года не наладили более эффективные системы безопасности. Кроме того, утечка данных не связана с внешними факторами. Как правило, информацию продают свои же люди за большие деньги.
По мнению экспертов информационной безопасности, в более чем 90% случаев информацией торгуют внутри компаний:
«Условный сисадмин или программист имеет полный доступ к базам данных клиентов. Если это оператор связи, то записей может быть очень много. Специалиста увольняют, и он решает напоследок заработать, выносит базу на жестком диске».
На самом деле произойти может все что угодно, начиная от человеческого фактора и заканчивая банальной кражей. Дальше информация попадает в сеть, где ее выкупают и начинают использовать в целях наживы. Причем стоят такие записи недорого – до 5 долларов за ФИО и от 5 центов за номер телефона.
Нам нужны показательные порки
В истории России, особенно в ее самые трудные периоды, только показательные порки имеют высокую эффективность. По сути, компании сейчас ничего не боятся. Пропала информация – они заплатят крупный штраф. На этом ситуацию попытаются замять и забыть о ней. Штрафы небольшие и вряд ли сильно мотивируют бизнес контролировать деятельность своих сотрудников.
Вот и сейчас, кто ответит за утечку 500 млн записей? Хотелось бы верить, что РНК расследует дело и найдет нарушителей. Но практика прошлых лет доказывает, что об утечке забудут через несколько месяцев.
Можно сколько угодно вводить штрафы, но без открытого разбирательства и пары показательных порок ситуация не сдвинется с мертвой точки. Сейчас начинают грешить на VPN-сервисы, но настоящих врагов нужно искать внутри компаний.
Наказать одного с привлечением СМИ, и другие вряд ли захотят рисковать своей репутацией, а может и годами жизни на свободе.
