Роскомнадзор в 2023 году зафиксировал 168 утечек персональных данных, из-за которых в сети оказалось больше 300 миллионов записей. По этим инцидентам суды рассмотрели 87 дел и выписали штрафы на общую сумму более 4,6 миллиона рублей. Чаще всего под удар попадают средние и мелкие компании, но и крупные игроки тоже страдают от кибератак.
Самые громкие утечки
Одной из крупнейших утечек в банковском секторе России стала утечка данных клиентов Сбербанка. В сеть вывалилось около 60 миллионов записей – информация о владельцах кредитных карт. В базе были паспортные данные, ФИО, а также данные по операциям и лимитам. Все это предположительно произошло в августе 2019 года, а в продажу база поступила в конце сентября.
Хитрый злоумышленник решил не продавать базу целиком, а разделил ее на части, каждая из которых соответствовала территориальным отделениям Сбербанка. В качестве заманухи он выложил данные 200 клиентов на пробу, оценив базу по 5 рублей за строку.
В Сбербанке заявили, что утечка – дело рук своих же сотрудников, и что извне получить доступ к этим данным якобы невозможно. Но они успокоили клиентов: в базе не было CVV-кодов, так что деньги в безопасности. А для любой транзакции все равно нужен SMS-код.
Другой громкий инцидент – утечка с серверов оператора фискальных данных «Дримкас». Там всплыли больше 90 миллионов записей, среди которых были данные юрлиц и обычных граждан. С 8 августа на протяжении недели на серверах находилось 76 миллионов строк с полными фискальными сведениями: ФИО продавца, номер чека, даты и время операций, список товаров и их стоимость.
Но на этом беды не закончились. Через месяц, 9 сентября, из-за уязвимости на сервере утекли еще 14 миллионов записей. Там были данные и о физлицах, и о компаниях, включая информацию о покупателях и уплаченных налогах.
Последние крупные утечки данных
В 2023 году произошла одна из значимых утечек – данные почти миллиона клиентов МТС-банка оказались в открытом доступе. В сеть утекли три файла. В первом – миллион записей с личными данными: имена, телефоны, ИНН, пол и гражданство. Во втором – более 3 миллионов записей, где были частичные номера карт и даты их выпуска. Ну а третий файл содержал 1,8 миллиона номеров телефонов, 50 тысяч адресов электронной почты и всякие идентификаторы.
Не успел начаться 2024 год, как группа Kiborg заявила о еще одной утечке, теперь на 38 миллионов клиентов Альфа-банка. Якобы случилась она в октябре 2023 года. Некоторые клиенты банка, открывшие счета в 2023 году, действительно нашли свои данные в этой базе – номера счетов, телефоны, адреса, даты рождения и прочее.
Что изменилось в законе?
В августе 2023 года стало известно, что правительство поддержало законопроект об оборотных штрафах для компаний за утечки персональных данных. Но при этом условились, что его доработают. В конце июля сенаторы отправили документ, предлагая увеличить штрафы за такие фейлы.
Если утечка затронет от 1 000 до 10 000 человек, компании грозит штраф от 3 до 5 миллионов рублей. Если пострадают данные от 10 000 до 100 000 человек, штраф будет уже от 5 до 10 миллионов. А если в утечке окажется больше 100 000 записей, то штраф составит от 10 до 15 миллионов рублей.
Но это еще не все. Если компания «попадется» на повторной утечке, то штраф будет от 0,1% до 3% от годовой выручки, но не меньше 15 миллионов рублей и не больше 500 миллионов.
Часто такие утечки происходят из-за неправильных настроек безопасности, ошибок в конфигурации систем и слабого мониторинга. Учитесь на чужих ошибках – защитите свои персональные данные своевременно.
