Эксперты по информационной безопасности отметили трёхкратный рост числа утечек персональных данных по итогам 2022 года. При этом наибольшее увеличение количества инцидентов зафиксировано на предприятиях торговли, сегмента HoReCa, а также на промышленных, транспортных и в энергетических компаниях. Прогнозы на текущий год также негативные. За первый квартал 2023 года число инцидентов выше уровней 2022-го.
По информации компании InfoWatch, в 2022 году в России в открытый доступ попало более 667 млн записей с персональными данными. Это в 2,67 раза больше показателей 2021-го. Число скомпрометированных записей более чем в 4,5 раза превысило население России. Причем каждая утечка в 2022 году по объёму выросла на треть по сравнению с 2021 годом: годом ранее каждая утечка в среднем содержала около 940 тыс. записей.
Аналитики InfoWatch делают вывод о том, что 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители. Вдвое выросла доля утечек информации категории «коммерческая тайна». Заметнее всего выросла доля утечек среди организаций отраслевой группы «Ретейл & HoReCa» — практически в пять раз. Число утечек на предприятиях промышленности, транспорта и энергетики увеличилось почти в три раза. На малый бизнес пришлось более 20% утечек, и этот результат вдвое больше, чем в 2021-м.
В компании Group-IB оценку своих коллег из InfoWatch считают заниженной примерно в два раза. По словам гендиректора компании в России и СНГ Валерия Баулина, «общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд. Для сравнения: в 2021 году их насчитывалось всего 33 млн».
В итоге число утекших записей по итогам 2022 года в десять раз превысило население России. Чаще всего в сеть выкладывались базы, содержащие информацию с именами клиентов, датой рождения, номерами телефонов, адресами, а в некоторых случаях даже хеш-паролями, паспортными данными, подробности заказов и другую чувствительную информацию. Больше всего объявлений со ссылками на скомпрометированные базы было обнаружено на форумах и в Telegram. При этом массовая публикация конфиденциальной информации в мессенджерах — это тренд 2022 года. Раньше подобные случаи были единичными.
Как пишет РБК, жертвами злоумышленников, чаще всего становились финансовые, страховые и ИТ-компании, а также сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.
Трендом последнего времени стало и то, что большая часть утечек баз данных российских компаний были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам. Кроме того, утекшие записи – источник информации для кражи денег у пользователей при помощи методов социальной инженерии и шантажа.
С декабря 2022 года Минцифры РФ начала обсуждать законопроект о введении оборотных штрафов за утечки персональных данных в диапазоне от 5 млн до 500 млн рублей. Максимальная планка штрафа предусмотрена в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например попыталась скрыть инцидент.
Предполагается, что сумма штрафа будет рассчитываться от объёма выручки компании за календарный год, предшествовавший году, в котором произошла утечка данных. В министерстве рассчитывают, что положения закона вступят в силу в сентября 2023 года.