Как утекают данные миллионов: от одного украденного пароля до глобальных последствий
Иллюстрация: magnific.com
Утечки персональных данных становятся одной из ключевых цифровых угроз последних лет. За большинством подобных инцидентов стоит не прямой взлом пользователей, а атаки на компании и их инфраструктуру, где хранятся данные миллионов людей.
Одной из самых обсуждаемых новостей прошлого года стала утечка персональных данных 16,3 млн жителей Казахстана. В открытый доступ попали имена, ИИН, адреса и номера телефонов почти всего взрослого населения страны. Министерство цифрового развития подтвердило факт утечки и сообщило, что государственные системы не подвергались взлому, а источником стали частные информационные системы. Было возбуждено уголовное дело, расследование передано в правоохранительные органы.
В июле премьер-министр Казахстана Олжас Бектенов назвал предварительную версию произошедшего: утечка, вероятнее всего, произошла в медицинских организациях. Они получают доступ к государственным базам данных, но не обеспечивают должный уровень их защиты. В октябре вице-министр цифрового развития, инноваций и аэрокосмической промышленности РК Досжан Мусалиев уточнил механизм: признаков взлома, по всей видимости, не было. Человек, обладавший официальным доступом, либо передал логин и пароль третьим лицам, либо учётные данные были похищены, после чего база была скачана. Конкретные виновные до сих пор не установлены, расследование продолжается.
Министр цифрового развития Жаслан Мадиев, комментируя инцидент, заявлял, что в ряде предыдущих случаев виновные уже были выявлены и привлечены к ответственности.
«Когда выявляли виновных, накладывались административные штрафы», — сообщал министр.
Конкретные компании и размеры штрафов он не назвал, эти данные отсутствовали и в официальных ответах МЦРИАП.
Именно в этом заключается особенность корпоративных кибератак: атакуют не конкретного человека, а компанию, которой доверены персональные данные. Иногда целью становится даже не сама организация, а её IT-подрядчик.
Показательный международный пример — атака 2021 года на швейцарскую компанию SITA, через серверы которой проходят данные около 90% авиакомпаний мира. Один взлом затронул сразу десятки перевозчиков, включая Lufthansa, British Airways и Singapore Airlines. У Air India утечке подверглись данные 4,5 млн пассажиров: паспортные сведения, данные банковских карт и история перелётов за десять лет. Клиенты узнали об этом почти через три месяца после атаки.
Большинство крупных утечек начинаются задолго до того, как злоумышленники получают доступ к системам. Сначала идёт разведка: собирается информация о компании, сотрудниках и подрядчиках, изучаются слабые места. Как отмечает исполнительный директор DocRobot Центральная Азия Тимур Марусяк, подготовка к атаке зачастую напоминает работу журналиста перед большим интервью.
«Злоумышленники изучают компанию так же внимательно, как хороший журналист готовится к интервью. Они анализируют сайт, социальные сети сотрудников, вакансии, подрядчиков и используемые технологии. Нередко именно открытые источники позволяют понять, через кого проще всего проникнуть внутрь», — отмечает Марусяк.
Получив доступ, злоумышленники не спешат. По данным IBM и Ponemon Institute, средний промежуток между проникновением и обнаружением атаки составляет 258 дней. Почти девять месяцев злоумышленники могут находиться внутри системы, изучая инфраструктуру и ожидая подходящего момента. Даже крупные компании, вкладывающие значительные средства в защиту, остаются уязвимыми.
«Для злоумышленника нет разницы, через какую дверь входить. Если главная хорошо защищена, он попробует воспользоваться соседней — менее защищённым подрядчиком», — добавил эксперт.
Технические уязвимости при этом нередко отходят на второй план. В 2023 году гостиничная корпорация MGM Resorts с миллиардными оборотами была взломана после одного телефонного звонка. Хакеры нашли сотрудника через LinkedIn, позвонили в службу поддержки, представились сотрудниками компании, и оператор сбросил учётные данные. После этого группировка ALPHV/BlackCat развернула ransomware-атаку. Ущерб составил около 100 млн долларов. Никаких ошибок в коде — только успешная социальная инженерия.
Казахстанский опыт
Говоря о Казахстане, CEO tLab Technologies Константин Ким относит к числу наиболее уязвимых отраслей финансовый сектор, телекоммуникации, транспорт, энергетику и государственные системы. При этом, по его словам, злоумышленники давно перестали ориентироваться на конкретные сферы.
«Злоумышленники давно перестали выбирать жертв по отрасли. Атакуют тех, чья защита недостаточно зрелая. Вопрос не в том, попадёт ли компания в прицел, а в том, насколько она готова», — говорит Ким.
По его словам, APT-атаки, которые традиционно считаются инструментом против государств, давно используются и против частного бизнеса.
«Банки, телеком, авиакомпании — всё это цели. Причём злоумышленников интересуют не только деньги, но и клиентские базы, коммерческие тайны, сведения о партнёрах», — отмечает эксперт.
При этом наиболее распространённые способы проникновения остаются довольно простыми.
«Типичная точка входа до обидного банальна: украденный пароль, отсутствие двухфакторной аутентификации или фишинговое письмо, полученное рядовым сотрудником», — добавляет Ким.
В казахстанском законодательстве при этом существует серьёзный пробел. Закон «Об информатизации» и Концепция «Киберщит Казахстана» обязывают сообщать об инцидентах только объекты критической информационно-коммуникационной инфраструктуры. Вне этого перечня остаются частные банки, авиакомпании, страховые компании, медицинские сети, маркетплейсы и телеком-операторы. Именно у них сосредоточены паспортные данные, финансовая история и информация о перемещениях миллионов граждан. Формально такие организации не обязаны публично сообщать об утечках. Компания может провести внутреннее расследование и не нарушить ни одной нормы.
Ким не склонен объяснять молчание исключительно злым умыслом.
«Иногда руководство затягивает с сообщением из-за опасений репутационных потерь. Но чаще компания сама ещё не понимает масштаб произошедшего, а расследование занимает дни и недели», — подчеркивает эксперт.
История Air India это подтверждает. SITA уведомила авиакомпанию 25 февраля, общее предупреждение было опубликовано лишь 19 марта, а круг пострадавших окончательно определили только к апрелю. Между атакой и моментом, когда люди смогли узнать об утечке, прошло около трёх месяцев.
По словам Кима, репутационные потери часто оказываются тяжелее любых штрафов.
«Потеря доверия клиентов и необходимость срочно модернизировать систему защиты обходятся дороже любой административной санкции», — добавляет он.
С точки зрения права адвокат Жанна Уразбахова напоминает, что незаконное использование персональных данных в Казахстане подпадает под действие статьи 147 УК РК. Компания, обнаружившая утечку, обязана сообщить об этом в полицию. Пострадавший также вправе обратиться в правоохранительные органы по месту жительства или месту выявления нарушения и потребовать регистрации уголовного дела. После завершения досудебного расследования и установления виновных ущерб может быть взыскан через суд.
Почему подобных процессов почти не видно в публичном поле?
Эксперты объясняют это сложностью доказывания источника утечки. Цифровой след существует, однако его анализ требует специальных экспертиз. Особенно сложной ситуация становится, когда утечка происходит через иностранного подрядчика, как в случае с SITA. Формально ответственность несёт местный представитель, но механизм взыскания ущерба на практике остаётся крайне сложным.
Если утечка всё же произошла, Константин Ким рекомендует немедленно сменить пароли во всех сервисах, где использовались одинаковые комбинации, включить двухфакторную аутентификацию и внимательно отслеживать банковские операции и подозрительные звонки.
«После утечек злоумышленники запускают волны фишинга, используя реальные данные клиентов. Это повышает уровень доверия со стороны жертвы. Сама утечка редко бывает конечной целью — чаще она становится первым этапом атаки. Именно поэтому особенно важна повышенная бдительность в первые дни», — отмечает эксперт.
Адвокат Жанна Уразбахова также рекомендует добиваться официального расследования в случае подозрений на компрометацию персональных данных.
«Если необходимо защитить права, следует обращаться в полицию и добиваться регистрации уголовного дела», — говорит Уразбахова.
За всем этим стоит системная проблема. Согласно IBM Cost of a Data Breach Report 2024, средняя стоимость одной утечки в мире составляет 4,88 млн долларов, а в финансовом секторе — 6,08 млн долларов. При этом 63% компаний, переживших кибератаку, планируют компенсировать расходы за счёт повышения цен для клиентов. В конечном счёте издержки перекладываются на потребителей.
Концепция «Киберщит Казахстана» отмечает, что малый и средний бизнес, включая IT-подрядчиков крупных компаний, нередко сталкивается с трудностями при объективной оценке состояния собственной инфраструктуры.
Ситуацию могли бы улучшить два шага: расширение практики обязательного уведомления об инцидентах на весь частный сектор и формирование устойчивой правоприменительной практики. В настоящее время в Казахстане эти механизмы находятся в стадии развития и пока не охватывают все необходимые направления в полной мере. Это указывает на необходимость дальнейшего совершенствования системы кибербезопасности в целом.
Ранее NoFake.kz сообщал, что правоохранительные органы Казахстана при содействии коллег из Чехии пресекли деятельность международного канала незаконной торговли персональными данными. В рамках спецоперации были задержаны свыше 140 человек, а по факту создания транснациональной преступной группы возбуждено уголовное дело.
