Количество объявлений об утечках данных пользователей в 2023 году уменьшилось на 8% по сравнению с 2022-м, при этом количество опубликованных строк пользовательских данных в 2023 году увеличилось на 24% и составило 342 млн, пишут «Ведомости» со ссылкой на статистику команды сервиса Kaspersky Digital Footprint Intelligence. Также на 17,5% год к году увеличилось количество опубликованных записей, содержащих пароли.
По статистике Kaspersky Digital Footprint Intelligence, за прошлый год зафиксировали 155 случаев публикаций значимых баз данных российских компаний. Чаще всего размещённые на специализированных площадках сообщения указывали на утечки из организаций в сфере ретейла, интернет‑сервисов, рассказал аналитик сервиса Игорь Фиц. Заметный рост публичных инцидентов, связанных с утечками информации в 2023 году, произошёл в сферах финансов и здоровья, добавил он.
Утечка конфиденциальной информации происходила в каждой второй успешной атаке на организации России, говорит руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Но объявлений об утечках стало меньше, так как часть их всё ещё скрывается: несмотря на закон, обязывающий оператора сообщать об утечке, эффективного механизма контроля и наказания за нарушения пока нет.
«Компании готовятся выводить обработку персональных данных (ПД) на какие‑то сторонние аффилированные компании с небольшим оборотом, репутация которых не играет ни для кого никакой роли. Либо договариваться за спиной со взломщиками, чтобы те не публиковали данные сливов и не дискредитировали эти компании, — считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. — Такие тенденции существуют, и поэтому число объявлений может снижаться».
Ажиотаж вокруг утечек стал менее активным, отмечает руководитель сервиса аналитики и оценки цифровых угроз ETHIC ГК Softline Константин Мельников. По его словам, злоумышленники всё чаще стараются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о нарушении безопасности. «Таким образом, количество утечек может увеличиваться, а сам подход к их монетизации и раскрытию может меняться в сторону более скрытых и выгодных для мошенников методов», — считает эксперт.
По словам старшего эксперта по защите бренда Angara Security Виктории Варламовой, киберпреступники начали использовать аргумент «у вас произошла утечка данных» для шантажа и угрозы репутации бизнеса, даже если утечки данных на самом деле нет. «Если законопроект об оборотных штрафах будет принят, то велики риски, что этот аргумент станет трендом 2024 года», – предполагает она.
Законопроект об оборотных штрафах за утечку ПД обсуждается с весны 2022 года. 23 января 2024 года Госдума приняла его в первом чтении. Сейчас компании, допустившие утечку ПД, штрафуются на 100 000–300 000 рублей, согласно ч. 1 ст. 13.11 КоАПа. Если законопроект будет принят, то за первый случай утечки данных компании будет назначен штраф в размере от 3 млн до 15 млн рублей в зависимости от количества записей, оказавшихся в открытом доступе. За повторные утечки компаниям будет грозить оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн рублей.
По мнению опрошенных «Ведомостями» экспертов, больше всего за 2023 году от кражи ПД страдали медицинские учреждения, финансовая сфера и госсектор. В ряде случаев утекали данные сотрудников и партнёров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов.
По статистике Kaspersky Digital Footprint Intelligence, за прошлый год зафиксировали 155 случаев публикаций значимых баз данных российских компаний. Чаще всего размещённые на специализированных площадках сообщения указывали на утечки из организаций в сфере ретейла, интернет‑сервисов, рассказал аналитик сервиса Игорь Фиц. Заметный рост публичных инцидентов, связанных с утечками информации в 2023 году, произошёл в сферах финансов и здоровья, добавил он.
Утечка конфиденциальной информации происходила в каждой второй успешной атаке на организации России, говорит руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Но объявлений об утечках стало меньше, так как часть их всё ещё скрывается: несмотря на закон, обязывающий оператора сообщать об утечке, эффективного механизма контроля и наказания за нарушения пока нет.
«Компании готовятся выводить обработку персональных данных (ПД) на какие‑то сторонние аффилированные компании с небольшим оборотом, репутация которых не играет ни для кого никакой роли. Либо договариваться за спиной со взломщиками, чтобы те не публиковали данные сливов и не дискредитировали эти компании, — считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. — Такие тенденции существуют, и поэтому число объявлений может снижаться».
Ажиотаж вокруг утечек стал менее активным, отмечает руководитель сервиса аналитики и оценки цифровых угроз ETHIC ГК Softline Константин Мельников. По его словам, злоумышленники всё чаще стараются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о нарушении безопасности. «Таким образом, количество утечек может увеличиваться, а сам подход к их монетизации и раскрытию может меняться в сторону более скрытых и выгодных для мошенников методов», — считает эксперт.
По словам старшего эксперта по защите бренда Angara Security Виктории Варламовой, киберпреступники начали использовать аргумент «у вас произошла утечка данных» для шантажа и угрозы репутации бизнеса, даже если утечки данных на самом деле нет. «Если законопроект об оборотных штрафах будет принят, то велики риски, что этот аргумент станет трендом 2024 года», – предполагает она.
Законопроект об оборотных штрафах за утечку ПД обсуждается с весны 2022 года. 23 января 2024 года Госдума приняла его в первом чтении. Сейчас компании, допустившие утечку ПД, штрафуются на 100 000–300 000 рублей, согласно ч. 1 ст. 13.11 КоАПа. Если законопроект будет принят, то за первый случай утечки данных компании будет назначен штраф в размере от 3 млн до 15 млн рублей в зависимости от количества записей, оказавшихся в открытом доступе. За повторные утечки компаниям будет грозить оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн рублей.
По мнению опрошенных «Ведомостями» экспертов, больше всего за 2023 году от кражи ПД страдали медицинские учреждения, финансовая сфера и госсектор. В ряде случаев утекали данные сотрудников и партнёров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов.
Источник: Хабр