Эксперты: России срочно нужно ужесточить наказание за слив личных данных. Бесконечные взломы онлайн-сервисов, кражу личной информации и размещение её в открытом доступе преступники делают не только для заработка. Основная задача кибертеррористов – запугать русских людей, создать чувство незащищённости. О том, что делать в ситуации бесконечного слива личной информации в Сеть, – в нашем материале.
Однажды Никита получил весьма странное извещение, доставленное в почтовый ящик:
Получите ваше почтовое отправление по адресу: Люберцы, 1-й Кожуховский проезд. Срок хранения отправления – 30 дней.
Дальше бумажка сообщала о режиме работы почты и правилах получения посылки. Не совсем понятно, от кого пришло это секретное послание, имя на извещении гласило – Иннокентий Брызгалов. Но так как Никита увлекался филателией и ждал в это время сразу три бандероли со всей России, решил удовлетворить любопытство и забрать необычную посылку с почты. Благо, в этот день здесь было не так многолюдно, очередь двигалась быстро, но как только он подошёл к окошку получения отправлений и предоставил свой паспорт, началось настоящее шоу – откуда ни возьмись выскочили полицейские и громко потребовали у Никиты поднять руки вверх, взведя курки табельного оружия.
Позже было путешествие в полицейской машине в участок, арест и предъявление обвинения. Выяснилось страшное – некий недоброжелатель, раздобыв личные данные Никиты из даркнета, решил насолить ему и выслал на его адрес запрещённые вещества, попутно сообщив правоохранителям о том, что некий житель Люберец покупает непокупаемое через почту. Истории этой могло бы и не быть, если бы Никита бездумно не вводил свои данные на многочисленных сайтах, форумах и интернет-магазинах. Позже ниточка собственного расследования привела его к базе данных, в которой он и нашёл свой адрес, домашний телефон и список покупок онлайн-платформы. Герой этой истории, чьё имя мы изменили по его просьбе, уже решил свою проблему благодаря хорошим адвокатам. Но, увы, далеко не у всех, чьи данные мощным потоком утекают в интернет, есть деньги на юристов и силы на борьбу.
Беззащитная цифра
Так получилось, что прогресс и борьба за наше удобство со временем превратились в очередной механизм заработка для мошенников, а в последние месяцы слив личных данных русских пользователей онлайн-сервисов стал лакомым куском и любимой забавой украинских IT-нацистов.
Буквально накануне очередной слив базы данных произошёл в логистической компании СДЭК. Здесь может спасти только то, что большинство пользователей заказывают посылки до пункта выдачи, и у потенциальных мошенников есть ваши телефон, дата и вид заказа. В самой компании анонсировали внутреннюю проверку, ведь ни для кого не секрет, что часть из подобных преступлений происходит при участии подельников, внедрённых в сами компании. Это могут быть как люди, которых удалось завербовать, так и те, кто целенаправленно трудоустроился в компанию, оперирующую цифровыми данными.
Русские хакеры помогают в этой гибридной войне: на днях стало известно о том, что участники группы RaHDit составили список жителей России, работающих на укроразведку. Список из 2,5 тысяч предателей хакеры передали куда надо и уверены, что с ними там разберутся как следует.
Мы передали выявленные контакты наших граждан с сотрудниками из того списка военных разведчиков украинских, куда нужно. Достаточно приличный список получился, поэтому мы единственное что можем посоветовать, это тем гражданам, которые сотрудничают, сейчас прийти и самим сдаваться,
– сказали айтишники.
Преступление и наказание
В любом случае гадать, откуда ноги растут у последнего слива данных того же СДЭКа, можно долго. Вот вопрос – как в самих компаниях допускают такую халатность? Почему внешне успешные бизнес-платформы экономят на безопасности и плюют на права своих клиентов? Первый заместитель председателя комиссии Общественной палаты РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Александр Малькевич в разговоре с Царьградом напоминает об ужасном – наказание за такие ошибки в управлении личными данными для компаний просто смехотворное.
Им проще откупаться от штрафов и не решать проблему совсем. Поэтому давно назрела необходимость в пересмотре законодательства о персональных данных. Интернет знает и помнит всё, и в борьбе за цифровую безопасность нужно исключить сам этап попадания данных в открытое пространство.
Это огромная проблема, которую нужно обсуждать, потому что помимо того, что у нас дыры в безопасности, ещё и наказания такие вялые – по 40 тысяч рублей, что, в общем, никакого стимула сохранять всё в порядке ни у кого нет. Конечно, нужны изменения в законодательстве – представьте, что вы заказали что-то в курьерской службе доставки, потом еду, потом ещё что-то, и после этого ваши данные из этих трёх систем утекли. И теперь все о вас всё знают – ваш адрес, телефон, что вы заказывали на какие суммы. А каждая из фирм за это заплатила 40-100 рублей, за всех пользователей. Согласитесь, вам от этого ни горячо ни холодно. Утечки в небольших количествах были и раньше, плюс были и хакеры, которые использовали данные для вымогательства денег. Но то, что системно и глобально сейчас этим занимаются украинские IT-воины, – это факт. Они этого не то что не стесняются, они этим хвалятся, бравируют этим. Нам надо было инвестировать серьёзные средства в свою киберзащиту,
– сказал эксперт.
Мир должен знать, что я ем
Весёлый хештег из интернета в последние дни приобрёл совсем не смешной смысловой оттенок, особенно после утечки данных пользователей Яндекс.Еды. Александр Малькевич не первый год поднимает в Общественной палате вопрос просвещения о цифровой безопасности. Но пока эти инициативы сводятся лишь к разговорам, и очевидно, что в эпоху масштабных угроз в адрес России превентивные меры уже не помогут – масштабы коллапса «цифры» поражают – в Сеть утекли данные около 30 миллионов клиентов сервиса СДЭК. До этого хакеры обнародовали данные курьерских служб Delivery Club и Яндекс.Еда, клиентов Tutu.ru, ЕГАИС и прочих онлайн-сервисов. Тот, кто хоть немного знаком с этими онлайн-платформами, понимает масштаб происшествия – многие операторы владеют не только нашими телефонами, но и знают всё о наших передвижениях, болезнях, владеют нашими паспортными данными.
Как писал ранее отдел расследований Царьграда, уши у всех этих сливов растут из Незалежной. По сути, на территории Украины существует целая IT-армия. Её связывают с именем Егора Аушева, владеющего компаниями Cyber Unit Tech, Cyber School и Hacken.io. Есть информация о том, что эти подразделения состоят из вполне себе штатных сотрудников, которых внедряет в разные структуры укроразведка. В этой же шайке орудует и украинский предприниматель Роман Захаров. Это он основал фабрику фейков StandForUkraine, чьи «бойцы» сочиняют и тиражируют пропагандистский русофобский контент и атакуют русские информационные системы. Поэтому мы с полной уверенностью можем утверждать о том, что сейчас идёт настоящая киберспецоперация Украины и её союзников против России.
Взвесьте личных данных на глазок
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян рассказал Царьграду: мнение о том, что слив цифровых данных русских пользователей в Сеть не так опасен – ошибочное. Любая информация о вас может навредить вам, и произойти это может в любой момент, хоть через несколько лет после обнародования личной информации в интернете. Это прямо доказывает случай, рассказанный собеседником Царьграда Никитой.
Безусловно, утечки персональных данных опасны для пользователей. Эта информация может использоваться в чистом виде или обогащаться другими базами, но в конце концов позволит мошенникам выдавать себя за сотрудников компаний или государственных ведомств и выманивать у граждан средства по телефону или с помощью фишинга,
– сказал Ашот Оганесян.
Но вот по поводу внедрения завербованных сотрудников в компании эксперт высказался скептически. По его мнению, угроза в случае наподобие СДЭКа или Яндекс.Еды исходит совсем не от хакеров или от «кротов». Поэтому пользователям онлайн-сервисов нужно просто соблюдать меры безопасности – делать заказы с резервной сим-карты и только в пункт доставки, по возможности при заказе называть не своё имя.
Никаких «кротов» никто в компании не внедряет. Помимо хакерских атак крупнейшим источником утечек являются обычные сотрудники, которые решают таким образом подзаработать или отомстить работодателю. До сих пор доля именно инсайдерских утечек составляла около 70%, и она всё ещё крайне велика, хотя в последнее время число хакерских атак снова начало расти,
– резюмирует собеседник Царьграда.
Выхода нет?
По мнению специалиста, защитить личную информацию на сегодняшний день практически невозможно: субъект персональных данных никак не контролирует их хранение и обработку, а все подписанные им согласия – «филькины грамоты».
Отказаться от передачи персональных данных тоже нельзя – для этого нужно жить в тайге и не иметь никаких отношений не только с бизнесом, но и с государством. Остаётся только быть постоянно готовым к встрече с мошенниками, знать основные схемы их работы и помнить правила цифровой безопасности, главное из которых – никому никогда не называть кодов авторизации,
– высказался Ашот Оганесян.
По мнению эксперта, от утечек не застрахован ни один сервис, но точно можно сказать, что чем меньше компания, тем больше шанс утечки информации в силу доступного ей объёма инвестиций в их защиту. Информация неутешительная, поэтому дело безопасности ваших данных – в ваших руках.
Президент российской секции Международной полицейской ассоциации, генерал-лейтенант, доктор юридических наук, профессор, заслуженный юрист России Юрий Жданов напомнил – персональные данные пользователей охраняются законом. В разговоре с Царьградом эксперт подчеркнул – незаконное использование и распространение наказуемое деяние, следовательно, «слив персональных данных» является правонарушением, а степень общественной опасности определяется конкретной ситуацией.
Ответственность может быть административной и уголовной. Угроза исходит и от наших доморощенных хакеров, и от зарубежных, и от «кротов», последнее более чувствительно и опаснее. Спасти данные непросто. Рецепт устаревает постоянно, так как растёт опыт и профессионализм хакеров, к сожалению. Если серьёзно, то по каждому конкретному случаю нужна консультация специалиста: что, где и в каком объёме защищаем, – прокомментировал эксперт.
Что с того?
Бороться с уязвимостями пока пытаются в Роскомнадзоре – ведомство потребовало у компании СДЭК предоставить информацию об утечке. Накануне в Кремле был подписан закон о том, что операторы, допустившие утечку данных, с 1 сентября будут обязаны в течение суток сообщить о произошедшем в Роскомнадзор. Ещё одна новость – ведомство просит операторов связи ответственно относиться к требованиям по использованию технических средств противодействия угрозам (ТСПУ). Эти инструменты ограничивают доступ к запрещённой в России информации. Некоторые операторы, пускающие трафик в обход ТСПУ, рискуют данными пользователей. Всё это приводит в информационной угрозе для граждан нашей страны.
При отключении ТСПУ или пропуске трафика в обход российские пользователи получают доступ к информации, представляющей опасность: детской порнографии, пронаркотическому контенту, пропаганде самоубийства, фейкам, экстремистской информации,
– сказали в Роскомнадзоре.
Таким же образом игнорирование этого требования создаёт возможность для кражи личных данных и продолжения успешной гибридной войны против России. Защита данных на сегодня – критически важная ступень обеспечения национальной безопасности. Воруя наши данные, кибертеррористы воруют часть нашей жизни, присваивая её. В условиях, когда половина экономики завязана на интернете, игнорировать эти угрозы – не отражать атаки противника.
По материалам: maloros.org
