Журнал "Information Security/ Информационная безопасность" #6, 2024

Безотносительно к контексту инци- дентов, количеству подтвержденных и не подтвержденных утечек в России, наличию опубликованных результатов расследований или количеству выдан- ных регуляторами предписаний, у нерав- нодушных экспертов по информацион- ной безопасности уже давно сформи- ровалось мнение, что никто из пред- ставителей контролирующих работу операторов ПДн органов и регуляторов не смотрит на цифры глобально и не анализирует тренды в области защиты ПДн. Очень странное впечатление, нужно сказать. Выглядит так, что последнее время все чиновники пред- почитают работать с конкретными инци- дентами, заявлениями, обращениями граждан. Тогда как общую картину сверху отдельному исполнителю внизу иерархии увидеть проблематично. За девять месяцев 2024 г. общее количество подтвержденных наборов ПДн составило 338 млн единиц. Учиты- вая, что по состоянию на ноябрь 2024 г. на территории РФ проживает не более 150 млн человек, из которых четверть – это лица пожилого возраста и дети до 7 лет, только из официальной статистики видно, что данные практически каждого россиянина утекли в 2024 г. А сколько утечек окажется по данным неофици- альных отечественных исследователей? А если к этому количеству приплюсовать статистику за два прошлых года, то кар- тина получится совсем печальная. На основе экспресс-анализа отчетов исследовательских лабораторий (Positive Technologies, "Лаборатории Касперско- го", InfoWatch), интервью представителей Роскомнадзора и руководителей финан- совых организаций, публикаций в СМИ составлена наглядная инфографика. Получается, что предположение гипо- тетического эксперта о наличии данных подавляющего большинства граждан РФ в доступе у злоумышленников не лишено смысла и подтверждено, пусть и кос- венно, уважаемыми спикерами, стати- стикой регуляторов и публикациями в СМИ. И это немножко пугает. Нужно ли защищать утекшие данные? Существует расхожее мнение о том, что если ваши персональные данные уже утекли к злоумышленни- кам, то защищать их дальше не имеет смысла. Но это заблуждение. Предположим, что ваши ПДн стали известны широкому кругу лиц, мошенники несколько раз перепро- дали их в наборе на черном рынке и (или) попытались использовать их для совершения кибератаки на вас, ваших родных, друзей или коллег. Это не хорошо и не плохо – это факт. Нужна ли вам такая популяр- ность? Скорее всего, нет. Значит, в ваших же интересах поддерживать конфиденциальность и защищать другие наборы данных, которые вы считаете чувствительными, или дан- ные, которые вы создаете или фор- мируете о себе по жизни. Новые наборы ПДн имеют изме- ненные реквизиты даты создания, сроки актуальности, признаки кон- фиденциальности и критичности. Например, в Сеть утекли данные вашего действующего паспорта. Плохо. Чревато инцидентами и ненуж- ными вам заботами. Но в следующем месяце вы поменяли свой паспорт на новый (не важно, по каким причинам), и у вас появился новый актуальный набор ПДн в виде новых реквизитов вашего паспорта. С учетом предыду- щего опыта компрометации ваши обновленные ПДн (реквизиты полу- ченного нового паспорта) нужно защищать, обрабатывать и контро- лировать еще усерднее, чтобы они не утекли к злоумышленникам по сценарию старого паспорта. Так что же можно "изменить в консер- ватории" для более эффективного про- тиводействия утечкам ПДн в России в перспективе 2025–2026 гг.? Для ответа на этот вопрос представлю свои ориги- нальные экспертно-аналитические пред- ложения. "Роскомнадзор за девять месяцев 2024 г. зафиксировал 110 фактов утечек персональных данных, за аналогичный период 2023 г. – 145", – сообщили в ведомстве 1 . "В 2023 г. Роскомнадзор зарегистрировал 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 млн записей о россиянах." 2 56 • СПЕЦПРОЕКТ Рецепты от стагнации и формализма в защите ПДн конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества. В Алексей Плешков, независимый эксперт по информационной безопасности Фото: Газпромбанк 1 https://tass.ru/obschestvo/22123799 2 https://tass.ru/obschestvo/19693845