Масштабные утечки персональных данных россиян в свете последних геополитических событий сделали проблему сохранности этих данных задачей государственной важности. Попытаемся разобраться в том, каким образом в России данные из паспортов граждан и прочих бумажных документов оказываются переведены в идеальный для утечек электронный вид.
Ёмкий рынок, значимую часть которого занимают технологически непрозрачные, иногда «наколенные» ИТ-сервисы и на котором инфантильность заказчиков распознавания клиентских документов соревнуется с беспечностью организаторов упомянутых сервисов. Все это – при изрядном несовершенстве регулятивной нормативной базы, разумеется.
Утечки сливаются в поток
Слышать об утечках персональных данных клиентов российских компаний можно было все последние годы. Но именно в 2022 году подобные инциденты стали одним из главных технологических и социальных вызовов. Всего с февраля 2022 года произошло более 140 утечек персональных данных, сообщил Роскомнадзор. По данным ведомства, в сеть попало более 600 миллионов записей о гражданах России. Это примерно по четыре записи на каждого гражданина России с учетом общей численности населения страны в 147 миллионов человек. Очевидно, что в этой статистике учитываются записи наиболее активных пользователей интернет-сервисов, которые утекли из различных баз данных не по одному разу.
Фрагментарные сообщения об утечках в первые месяцы 2022 года превратились в настоящий информационный поток: новостные ленты и Telegram-каналы буквально запестрели пугающими заголовками.
Напомним о самых громких инцидентах. В марте стало известно об утечке данных 58 тысяч клиентов сервиса доставки питания «Яндекс.еда». В мае слитую базу злоумышленники дополнили информацией с привязкой к конкретным гражданам из системы ГИБДД, баз данных компаний СДЭК, Wildberries, «Билайна» и других источников.
Также в мае жертвами утечки стали клиенты сети медицинских лабораторий «Гемотест» – на черном рынке в «даркнете» были выставлены 554 миллионов результатов анализов с набором сведений о людях, которые их сдали. В этом же месяце в сети появилась база в 250 миллионов строк с данными о заказах клиентов сервиса доставки еды Delivery Club. Эта утечка затронула даже банковские реквизиты пользователей.
В июне злоумышленники слили в открытый доступ таблицу из 109,3 тысяч строк со сведениями из внутренних аккаунтов сотрудников Ростелекома. Чуть позже в сети была замечена база в 713 тысяч строк с данными клиентов «Умного дома» все того же Ростелекома.
В июле «Коммерсантъ» сообщил о том, что в открытый доступ могли попасть персональные данные 25 миллионов клиентов и 30 тысяч контрагентов логистического оператора СДЭК.
В начале августа Telegram-канал «Утечки информации» распространил сообщение о том, что в Сети оказались данные участников программы лояльности оператора связи Tele2. Речь шла о базе в 7,5 миллионов строк, в которых содержится ФИО (иногда лишь имя), номер телефона, адрес электронной почты и пол.
В начале октября 2022 года стало известно об утечке данных клиентов сети алкомаркетов «Красное & Белое». В середине ноября зафиксирована утечка данных 4 миллионов абонентов интернет-провайдера «Дом.ру». В декабре 2022 года стало известно об утечке данных 900 тысяч пользователей туристического поисковика Level.travel и сотен тысяч клиентов ретейлера «ВкусВилл».
И это лишь краткий и очень выборочный список инцидентов, крайне далекий от полноты.
Международный аспект
Необходимо подчеркнуть, что ситуация с сохранностью конфиденциальных данных наших соотечественников дополнительно усугубилась с конца февраля 2022 года. Статистика сугубо корыстных хакерских взломов приросла атаками «патриотов» и спецслужб – в немирное время утечки информации могут лишить человека не только денег, но и жизни.
По итогам марта по сравнению с февралем количество кибератак на российские ресурсы увеличилось минимум в четыре раза. Об этом ТАСС в апреле 2022 года заявил заместитель технического директора группы компаний ИСА, курирующий центр мониторинга и реагирования на инциденты компьютерной безопасности, Никита Кулагин.
По июньским данным Сбербанка, на тот момент с начала конфликта в результате кибератак были украдены данные 65 миллионов россиян. Не менее 13 миллионов банковских карт были скомпрометированы, ущерб из-за перевыпуска этих карт составил не менее 4,5 миллиарда рублей.
В июне российская компания Group-IB, занимающаяся информбезопасностью, зафиксировала рекордную выкладку в даркнете баз данных отечественных компаний – более 50. Group-IB связала с украинскими событиями.
По данным аналитиков, базы данных 19 наиболее крупных утечек содержали 616,6 миллионов строк. Практически все базы включали имена клиентов, их телефоны, адреса, даты рождения, паспортные данные, подробности заказов или результаты медицинских анализов.
В июне же появились сообщения о том, что в перешедшем под контроль российских войск Бердянске была раскрыта сеть колл-центров мошенников, которая располагала данными 20 миллионов россиян и действовала по согласованию с властями Украины, поддерживалась из Нидерландов, Германии, США и Эстонии.
Проблема ценрализации
По мнению заместителя директора Института проблем передачи информации РАН имени А.А. Харкевича Кирилла Иванова, произошедшие утечки клиентских данных сегодня наглядно демонстрируют, что клиентские сервисы (заказа такси, доставки еды и товаров, покупки ОСАГО и ДМС, подбора кредитов, а также маркетплейсы и агрегаторы) собирают о пользователях слишком много избыточной для своей основной деятельности информации.
«Если бы сервисы относились к сбору, хранению и передаче данных пользователей «сдержанней», то в случае утечки в интернет, например, данных из сервисов по доставке еды, в сети оказались бы только телефон, локация на уровне района и количество успешных оплат заказов, – рассуждает он. – В сервисе такси – телефон, та же локация, что-то вроде среднего расстояния поездки и фактор оплаты. Понятно, что такие данные вряд ли могут нанести большой вред кому-то в случае их разглашения».
Рассматривая проблематику централизации данных (как в качественном, так и в количественном срезе) невозможно не вспомнить, что в начале июля 2022 года в интернете на продажу была выставлена база с данными свыше 1 миллиарда граждан Китая. Она содержала имена, адреса, даты и места рождения, идентификационные и мобильные номера и проч.
Ценность не кореллирует с ответственностью
Как отмечает партнер юридической компании «Легато» Андрей Жильцов, личные данные пользователей соцсетей, покупателей товаров на маркетплейсах и т. д. сейчас становятся крайне ценной информацией для бизнеса.
«Если еще 10 лет назад бизнес был заинтересован в сборе такой информации (с этой целью работали, в том числе соцсети), то сейчас основная задача – эту информацию уберечь, – полагает он. – Следовательно, инвесторы и деньги сосредоточены именно в этих сферах».
Однако анализ российской судебной практики показывает, что чаще всего компенсация морального ущерба в случаях утечек может быть необоснованно низкой, что не только не возмещает причиненный вред, но и не позволяет возместить расходы на юристов. «По сути, моральный вред граждан остается без какой-либо защиты и не позволяет привлекать к должной ответственности бизнес, который потерял чужие персональные данные, – отмечает Жильцов. – Возможно, коллективные иски изменят данную ситуацию, однако часто у граждан нет возможности объединяться с другими «потерпевшими», поскольку нарушение режима конфиденциальности данных может быть единичным, а не массовым случаем».
Как утекают данные
Все описанные утечки связаны с неправомерной передачей или хищениями данных в цифровом виде. Какие-то данные были сгенерированы в таком виде изначально (например, человек заполнил анкету на компьютере), а часть была трансформирована в «цифру» с бумажных носителей, зачастую рукописных.
И здесь мы подходим к описанию одной из ключевых проблем безопасности персональных данных современности. При переносе данных с бумаги в цифру операторам баз (хозяевам сервисного бизнеса) очень часто приходится привлекать к этому процессу посторонние ресурсы – технические или человеческие, которые рискуют оказаться слабым звеном, генератором утечек.
Использование ресурса может быть абсолютно безопасным, если задействована полностью автоматизированная и изолированная информационная система, развернутая на территории заказчика, без связи с интернетом.
Такие программные решения на рынке существуют. В частности, в России их предлагают Abbyy, Kofax, Smart Engines и десятки интеграторов, которые внедряют системы на базе продуктов этих компаний. Правда, в связи с американо-европейскими санкциями деятельность американской Kofax и ставшей американской компанией Abbyy в России попала под ограничения (на какой срок, покажет время). Сейчас торговлю американскими продуктами Abbyy ведет компания Content AI (ООО «Контент ИИ»), которая с июля 2022 года на 100% принадлежит турецкому юридическому лицу. Разрабатываемые этими компаниями решения очень наукоемкие с точки зрения технологий и разработки; они требуют внедрения и сопровождения. По сути, это цена безопасности работы с данными клиентов.
Сегодня рынок столкнулся с ситуацией, в которой использовать решения, безопасные с точки зрения технологий работы с изображениями документов, в России многим кажется неоправданно дорогим. В стремлении сэкономить средства многие заказчики идут на рынок в поисках более дешевых решений, и, конечно же, гибкий рынок готов их предложить.
В качестве альтернативы упомянутым полностью автоматизированным системам в России для распознавания и оцифровки «бумаги» существует класс сервисов, сочетающих использование искусственного интеллекта (ИИ) с тем или иным вмешательством человека, как правило, для верификации (уточнения, проверки) распознанных данных и полностью ручного ввода данных.
Продолжение следует
