Зачем мы провели исследование?
HFLabs помогает приводить в порядок базы данных людей, компаний и адресов наших клиентов с сотнями миллионов записей. Мы последовательно выступаем за культуру обращения с персональными данными.
Цель исследования — понять, как российский бизнес реагирует на произошедшие громкие утечки и планирует ли менять подходы к работе с персональными данными, чтобы их избежать.
Откуда мы взяли данные для исследования?
- Провели опрос клиентов HFLabs и DaData, а также пользователей портала Habr.com. Всего мы получили 172 анкеты. Период проведения опроса — с 7 июня по 7 июля 2022 года.
- Изучили тематические телеграм-каналы «Утечки информации» и «Data1eaks | Утечки баз данных», которые публикуют и анализируют утечки данных. Это дало понимание количества и состава утечек. Учтена только та информация, достоверность которой подтверждена.
Часть I. Краткий анализ ситуации с утечками в России и мире
Количество и масштаб утечек
Россия: в 8 раз возросло количество персональных данных россиян, которые были незаконно обнародованы в период с января по июнь 2022 года, по сравнению с аналогичным периодом 2021 года.
В 2022 году произошел целый ряд крупных утечек персональных данных (ПДн) россиян из компаний «Яндекс.Еда», Delivery Club, Skyeng, «Гемотест», TuTu.ru. Кажется, что утечки происходят каждую неделю и раньше такого не было. Давайте разберемся!
По данным телеграм-канала @data1eaks, в 2022 году произошли 33 утечки персональных данных россиян. Это 167 млн строк с информацией, которой не должно было быть в открытом доступе.
В 2021 году в период с января по июль — 7 утечек в общей сложности на 21 млн строк.
Напомним, в первой половине 2021 года самой крупной утечкой стала обнародованная база с сайта знакомств Loveplanet.ru (20 млн строк). Следующей по масштабу — база российских владельцев автомобилей Hyundai (1,3 млн). Замыкает тройку «лидеров» база данных из телеграм-канала «Глаз бога» (750 тыс. строк).
Мир: в 2022 году количество утекших данных сократилось более, чем в 10 раз.
По данным @data1eaks, всего в мире в 2022 году зафиксировано 14 утечек данных на 146 млн строк. В 2021 году — 44 утечки суммарно на 1,6 млрд строк данных.
Три крупные утечки в 2021 году — из социальных сетей LinkedIn (700 млн) и Facebook (533 млн строк данных), а также из Бюро переписи населения США (250 млн). Если не учитывать их в общей статистике, цифра опубликованных данных будет намного скромнее — 159 млн записей.
Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры:
«Утечки растут и в мире, и в России. Но для России все сложнее, так как в 2022 году перестали работать международные институты в рамках расследования и блокировки распространения утечек. Если во всем мире утечки в первую очередь используют с целью монетизации (требование выкупа, продажа персональных данных), то для России добавились ещё и цели нанесения максимального вреда гражданской инфраструктуре и гражданам».
Алексей Мунтян, соучредитель Russian Privacy Professionals Association (RPPA):
«В этом году изменилось восприятие утечек со стороны общественности. Например, утечка из «Яндекс.Еды» вызвала широкий общественный резонанс, потому что была визуализирована. Любой человек теперь может зайти в базу и по номеру телефона получить ранее недоступные сведения. Кроме того, этот конкретный дата-сет был впоследствии обогащен данными из других утечек. И это уже двойной удар. Люди поняли, что утекающие данные накапливаются и создают солидную базу сведений о каждом из нас».
Какие данные чаще всего подвергаются разглашению
Россия: в 2022 году в значительно выросло количество утечек с ФИО, телефонами и емейлами. А вот количество утечек с контактами из мессенджеров, хешами паролей, логинами и IP-адресами сократилось.
Мир: имена и телефоны оказываются в открытом доступе гораздо реже, чем адреса электронных почт. В 2022 году большинство утечек содержит в среднем меньше полей данных, чем в 2021-м.
И в российских и в мировых утечках примерно одинаково часто фигурируют пароли. Однако в 2022-м году они встречаются только в хешах. В 2021 году почти 16% всех «слитых» паролей были незашифрованными.
Часть II. Реакция российского бизнеса на крупные утечки: результаты опроса
Как оценивают вероятность утечек представители российских компаний?
62% опрошенных не уверены в безопасности персональных данных клиентов своей компании.
По данным Минцифры, 70% всех утечек происходят по вине сотрудников компаний, имеющих доступ к базам данных.
Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры:
«Начиная с 24 февраля 2022 года в России радикально возросло число утечек из-за внешних атак. Особенно в тех отраслях, где раньше их не было. Это говорит о том, что организации просто не были к этому готовы».
Есть ли в компании план действий на случай утечки данных?
Только у 10% компаний есть план действий на случай утечек. Еще 11% понимают его необходимость, но плана пока не имеют.
Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры:
«Свести вероятность утечки практически к нулю возможно. Например, выстроить защиту таким образом, чтобы для успешной реализации атаки требовались ресурсы и умения спецслужб, а не хакеров-любителей. Защитой же от внутренних злоумышленников может быть ограничение доступа к данным. По сути, нужно сделать так, чтобы у сотрудника не было прямого доступа к базе данных. А все запросы к базе он мог бы делать только по одной строке и только с дополнительным подтверждением от третьих лиц».
Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI:
«Компания может гарантировать отсутствие утечек, только если она не работает с данными в принципе. В остальных случаях риск утечек можно снизить до более или менее приемлемого уровня. Например, это удалось крупным российским банкам, которые внедрили DLP-системы и уменьшили объем инсайдерских хищений данных и связанных с ними кейсов мошенничества почти до нуля. Правда, на это потребовалось четыре года непрерывных медийных скандалов и огромное количество ограбленных вкладчиков».
Какие мероприятия проводили компании сразу после обнародования утечек?
50% респондентов, ответивших на этот вопрос, сообщили: что их компания делает ставку на повышение осведомленности сотрудников по поводу информационной безопасности.
Алексей Мунтян, соучредитель Russian Privacy Professionals Association (RPPA):
«Повышение осведомленности работников об информационной безопасности — один из самых эффективных способов. На моей практике, как раз за счет сознательных действий персонала компании смогли предотвратить очень большое количество проблем».
Что компании делают прямо сейчас для защиты данных своих клиентов?
68% опрошенных уже ограничили доступ сотрудников к персональным данным клиентов.
Дмитрий Журавлев, сооснователь и генеральный директор HFLabs:
«Информация имеет свойство утекать. Любые переданные клиентом данные о себе тоже рано или поздно окажутся в открытом доступе. Это новая реальность. Поэтому у граждан должна быть возможность получать товары и услуги, оставаясь при этом полностью анонимными. К примеру, чтобы доставлять еду, компании не нужно знать имя и телефон человека — связаться с ним курьер может через колл-центр или любой другой суррогатный идентификатор. Фактически бизнес может существовать без сбора такого количества персональных данных. И, конечно, сами люди должны соблюдать цифровую гигиену и следить за тем, где и какую информацию о себе они оставляют».
Константин Степанов, исполнительный директор HFLabs:
«В целом, организации склонны собирать намного больше данных, чем им в реальности требуется. Поэтому первый шаг для профилактики утечек — проанализировать, какие данные вы собираете и действительно ли они вам нужны. Второй шаг — навести порядок в доступах к персональным данным. Разберитесь, кто из сотрудников их имеет и зачем? Хорошая практика — предоставлять доступ к клиентским данным через централизованную программу. Она хранит информацию о том, в какие системы сотруднику разрешен вход.
Важно не уйти в другую крайность и не сделать доступ к персональным данным слишком сложным. Иначе сотрудники будут вынуждены искать обходные пути, в том числе копировать клиентскую базу на свой компьютер».
Алексей Мунтян, соучредитель Russian Privacy Professionals Association (RPPA):
«На уровне государства для защиты данных можно заимствовать опыт других стран. Например, страхование ответственности компаний, как это сделано в Южной Корее и Китае. Там ответственность на себя берет не только компания целиком, но и конкретный сотрудник, например, IT Security Officer. В его обязанности входит своевременное принятие мер по предотвращению утечек и минимизации их последствий. В случае наступления ответственности его не просто штрафуют, но и могут уволить из компании с последующим запретом на работу на подобных должностях на определенный период.
Кроме того, государство может ограничивать деятельность предприятия, в котором произошла утечка. Один из недавних примеров: после утечки данных пользователей китайские власти ввели для компании DiDi (она предоставляет услуги такси и каршеринга) мораторий на регистрацию новых пользователей на целый год».
Планируют ли компании увеличить бюджет на защиту персональных данных?
Почти 50% опрошенных сообщили, что их предприятия не планируют увеличивать бюджет на защиту персональных данных, несмотря на недавние громкие утечки.
Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры:
«У бизнеса нет мотивации вкладываться в эту историю. Слишком маленькие риски, при этом сложная задача. Зачастую интересы информационной безопасности идут в разрез интересам подразделений ИТ, которые во многих компаниях генерируют новый бизнес, а значит — по умолчанию — более приоритетны».
Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI:
«Ответственность за утечки, если даже она наступает, оказывается на порядки меньше затрат на обеспечение необходимого уровня безопасности. Основной удар приходится по репутации, а на российском рынке она недорого стоит».
Алексей Мунтян, соучредитель Russian Privacy Professionals Association (RPPA):
«В компаниях обычно нет бюджетов на охрану персональных данных, эти деньги распределены по разным статьям расходов: информационная безопасность, Compliance, Data Privacy».
Как реагировали клиенты компаний на утечки?
Только 20% компаний получили обращения от клиентов по поводу своих персональных данных после громких утечек.
В картотеке арбитражных дел на июль 2022 года в суде находятся дела против «Яндекс.Еды» и Delivery Club, но вынесенных решений по ним пока нет. Исков к другим крупным компаниям, из которых были утечки персональных данных, найти не удалось.
Алексей Мунтян, соучредитель Russian Privacy Professionals Association (RPPA):
«В англосаксонской системе права суд дает значительное количество времени, чтобы все желающие могли свободно присоединиться к коллективному иску без лишней бюрократии. В России же понятие таких исков появилось только в 2019 году. Нам предстоит долгий путь по наработке соответствующей практики, чтобы коллективные иски стали существенным фактором, с которым компаниям придется считаться».
Для чего компании анализировали утечки данных?
23% опрошенных анализировали последние крупные утечки и проверяли, какие данные оказались в открытом доступе. Большинство делали это из любопытства.
Анализировали ли вы утечки данных?
Зачем вы анализировали утечки данных?
Часть III. Выводы
- С начала 2022 года количество персональных данных россиян, которое оказалось в открытом доступе, выросло в 8 раз по сравнению с аналогичным периодом прошлого года.
- Чаще всего подвергались разглашению имена, телефоны, емейлы, адреса и хеши паролей. Это стандартный набор «утекающих» данных, который не меняется год от года.
- Большинство компаний (62,6%) чувствуют свою незащищенность перед утечками. У 9,3% компаний из числа опрошенных утечки уже произошли.
- Только 9,9% компаний имеют план действий на случай утечек. Еще 11% понимают, что он нужен или уже приступили к его разработке.
- Опрошенные нами эксперты отмечают, что защитить компанию на 100% сложно. Но, общими усилиями государства, профессионалов рынка и руководства компаний процент утечек можно снизить.
- Большинство компаний в качестве мероприятий профилактики от утечек информации выбирает повышение осведомленности работников — проводят тренинги и лекции о важности смены паролей и уловках «пиратов».
- 48,3% компаний не собираются увеличивать бюджет на защиту персональных данных своих клиентов. Эксперты связывают это с отсутствием мотивации бизнеса (низкие штрафы, минимальные последствия для репутации) и отсутствием специально выделенных под это бюджетов.
- Самой популярной мерой по защите данных стало ограничение доступа сотрудников к данным. Это действительно рабочий инструмент, но не стоит им ограничиваться. Стоит также смотреть на опыт других компаний и государств, а также на последние IT-разработки по защите данных.
- Только 5,2% компаний зафиксировали значительное количество обращений от клиентов после крупных утечек данных. Коллективных исков от граждан также было мало, а сами дела пока не двигаются с места.
- 23% компаний анализировали крупные утечки. Большинство делали это из любопытства, хотя некоторые пытались использовать оказавшиеся в открытом доступе данные в своей работе.