Заметил, что на разных новостных сайтах в последние месяцы расходится информация об аномальном снижении числа утечек персональных данных в России в 2023 году. Почти в два раза! Вот это успех. Неужели мы действительно стали самыми продвинутыми в сфере IT-безопасности в мире?
На самом деле, мне кажется, всё не так просто. Хочу предложить к обсуждению.
По моим субъективным ощущениям, число утечек данных в России за последний год не снизилось, а повысилось. Слышал о новых ситуациях от ряда руководителей. Среди причин — активизация взломщиков, отсутствие обновлений зарубежного ПО, переход на новые системы защиты, у которых не было нужных функций.
Но происходят определенные манипуляции статистикой. Фирмы стали чаще скрывать утечки — из-за принятия нового закона об оборотных штрафах. В нём Минцифры ввело штраф до 3% выручки (или до 15 млн рублей) за подтвержденный случай утечки данных пользователей.
Закон внесли в Госдуму в конце 2023 года, приняли в начале 2024-го. Понятно, что попасть под подобные штрафы не хочется никому. Умные компании подстраховались заранее — как известно, законы у нас всё чаще становятся ретроактивными.
Чтобы избежать штрафов, часть компаний вывели обработку персональных данных на сторонние аффилированные фирмы с небольшим оборотом. А другие предпочитают тихо договариваться со взломщиками, чтобы те не публиковали информацию о взломе, и ушли, получив откуп.
Злоумышленники тоже хорошо знают об этой тенденции, и пытаются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о наличии взлома. Отсюда — внешняя картинка идиллии в индустрии.
Перспективы роста утечек в этом году?
Количество утечек в целом, видимо, будет расти — как минимум из-за всё большего развития новых технологий, в которых не разбираются ни обычные пользователи, ни даже представители IT-сообщества, если они не работают в конкретной сфере.
Яркий пример — понятно, генеративный ИИ. Никто не знает, как он работает внутри, часто даже его создатели. Это большое непаханое поле для злоумышленников, адаптирующих эти ИИ под свои нужды.
Самой сложной и самой слабой точкой безопасности в любой компании всегда будут оставаться люди. И здесь открывается новое измерение в области социальной инженерии — психологического манипулирования представителями компаний, особенно теми, у кого нет знания последних технологий. Я уже давно не смеюсь над людьми, которые отдают деньги «службе безопасности Сбербанка». Потому что в любой день жду звонка о том, что этими людьми стали мои сотрудники.
Вовсю развиваются ИИ, способные распознавать голос и внешний вид своей «жертвы». Им достаточно пары фото и десяти секунд записи голоса — и они могут воссоздать лицо и голос директора/СЕО настолько эффективно, чтобы вести от имени этого человека видеоконференцию. Технология в простом виде была доступна еще в 2017 году (см. Lyrebird), но в прошлом году её впервые начали использовать мошенники в Китае, Гонконге и Сингапуре — где бухгалтерам компаний «звонил» их босс, и приказывал перевести миллионы на определенный счет.
В 2024 году это вовсю пришло и в Россию. Называется дипвойс-фишинг, но запись может быть в том числе с видео. Только в феврале о таких кражах личности и голоса сообщили мэр Рязани, мэр Владивостока и мэр Краснодара. Компании этим видам фишинга тоже подвержены, как наглядно показали примеры азиатских стран. Единственный полноценный способ защиты — не выполнять никакие приказы, пришедшие через голосовое сообщение или звонок. И не переводить большие суммы денег (или не отправлять важные данные) без личного контакта. Но у многих так работать просто не получается.
Это только мое ощущение, или вам тоже кажется, что с утечками данных всё только начинается, и позитив в СМИ не имеет под собой реальной основы?
Что у вас случалось за последний год?
