В России снижается число утечек персональных данных? Или всё не так?

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.900
Репутация
62.390
Реакции
277.090
RUB
0
eb548c0f83144853a090c04249ee4ef1.png

Заметил, что на разных новостных сайтах в последние месяцы расходится об снижении числа утечек персональных данных в России в 2023 году. Почти в два раза! Вот это успех. Неужели мы действительно стали самыми продвинутыми в сфере IT-безопасности в мире?

На самом деле, мне кажется, всё не так просто. Хочу предложить к обсуждению.

По моим субъективным ощущениям, число утечек данных в России за последний год не снизилось, а повысилось. Слышал о новых ситуациях от ряда руководителей. Среди причин — активизация взломщиков, отсутствие обновлений зарубежного ПО, переход на новые системы защиты, у которых не было нужных функций.

Но происходят определенные манипуляции статистикой. Фирмы стали чаще скрывать утечки — из-за принятия нового об оборотных штрафах. В нём Минцифры ввело штраф до 3% выручки (или до 15 млн рублей) за подтвержденный случай утечки данных пользователей.

Закон внесли в Госдуму в конце 2023 года, приняли в начале 2024-го. Понятно, что попасть под подобные штрафы не хочется никому. Умные компании подстраховались заранее — как известно, законы у нас всё чаще становятся ретроактивными.

Чтобы избежать штрафов, часть компаний вывели обработку персональных данных на сторонние аффилированные фирмы с небольшим оборотом. А другие предпочитают тихо договариваться со взломщиками, чтобы те не публиковали информацию о взломе, и ушли, получив откуп.

Злоумышленники тоже хорошо знают об этой тенденции, и пытаются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о наличии взлома. Отсюда — внешняя картинка идиллии в индустрии.

Перспективы роста утечек в этом году?​

Количество утечек в целом, видимо, будет расти — как минимум из-за всё большего развития новых технологий, в которых не разбираются ни обычные пользователи, ни даже представители IT-сообщества, если они не работают в конкретной сфере.

Яркий пример — понятно, генеративный ИИ. Никто не знает, как он работает внутри, часто даже его создатели. Это большое непаханое поле для злоумышленников, адаптирующих эти ИИ под свои нужды.

Самой сложной и самой слабой точкой безопасности в любой компании всегда будут оставаться люди. И здесь открывается новое измерение в области социальной инженерии — психологического манипулирования представителями компаний, особенно теми, у кого нет знания последних технологий. Я уже давно не смеюсь над людьми, которые отдают деньги «службе безопасности Сбербанка». Потому что в любой день жду звонка о том, что этими людьми стали мои сотрудники.

Вовсю развиваются ИИ, способные распознавать голос и внешний вид своей «жертвы». Им достаточно пары фото и десяти секунд записи голоса — и они могут воссоздать лицо и голос директора/СЕО настолько эффективно, чтобы вести от имени этого человека видеоконференцию. Технология в простом виде была доступна еще в 2017 году (см. ), но в прошлом году её впервые начали использовать мошенники в Китае, Гонконге и Сингапуре — где бухгалтерам компаний «звонил» их босс, и приказывал перевести миллионы на определенный счет.

В 2024 году это вовсю пришло и в Россию. Называется дипвойс-фишинг, но запись может быть в том числе с видео. Только в феврале о таких кражах личности и голоса сообщили , и . Компании этим видам фишинга тоже подвержены, как наглядно показали примеры азиатских стран. Единственный полноценный способ защиты — не выполнять никакие приказы, пришедшие через голосовое сообщение или звонок. И не переводить большие суммы денег (или не отправлять важные данные) без личного контакта. Но у многих так работать просто не получается.

Это только мое ощущение, или вам тоже кажется, что с утечками данных всё только начинается, и позитив в СМИ не имеет под собой реальной основы?







 
  • Теги
    персональные данные
  • Сверху Снизу