Более 115.000 адресов электронной почты и 152.000 телефонных номеров стали достоянием злоумышленников в результате утечки данных сервиса «ПИК-Аренда». На очереди СРО и НОСТРОЙ?
Новость об утечке данных с сервиса «ПИК-Аренда» прокатилась в минувшую пятницу по ряду Телеграм-каналов и стала поводом для реагирования надзорных служб. IT-компанией, которая занималась размещением объявлений о сдаче в аренду недвижимости, заинтересовался Роскомнадзор, запросив информацию о возможной проблеме. Как заявило ведомство:
Роскомнадзор направил запрос в компанию с требованием предоставить детальную информацию о возможной утечке персональных данных клиентов сервиса.
Новость тем более актуальна, что с 1 сентября этого года вступили в силу изменения в закон «О персональных данных», согласно которым оператор, допустивший утечку данных, будет обязан в течение 24-х часов самостоятельно сообщить об инциденте в Роскомнадзор, а в течение 72-х часов предоставить в ведомство результаты внутреннего расследования с указанием причины и виновных лиц.
Очень интересная норма, авторы которой, похоже, искренне полагают, что накосячившие айтишники будут добровольно и с песней признаваться в потере персональных данных, сами искать виновников, да ещё и в течение суток рапортовать об успехах. Пока непонятно, какой же именно правовой механизм, кроме, конечно, обычных страшилок и угроз пальчиком, позволит такой «надёжной» схеме успешно функционировать.
Не застрахованы от таких происшествий и госкомпании, со своими могучими IT-отделами и практически безграничными ресурсами. Например, в апреле прошлого года банк «Дом.РФ» признался в утечке данных из дистанционных заявок физических лиц на получение кредита наличными. Как заверила кредитная организация, уязвимость была быстро устранена, в других системах банка нарушений выявлено не было, и безопасности счетов её клиентов ничего не угрожает. А уж клиенты Сбера и ВТБ могут подтвердить, что начинают получать звонки злоумышленников чуть ли не в первый день после того, как откроют счета в этих солидных компаниях. Каким образом эта информация оказывается в распоряжении мошенников – остаётся только гадать.
Это лишь отдельные эпизод из множества схожих случаев в сфере нашей цифровой безопасности. Чем больше бизнес и каждодневная жизнь перемещается в онлайн-режим, тем опаснее становится киберпреступность. Хищение базы из 152-х тысяч телефонных номеров, в худшем случае, может привести к дополнительному потоку спама абонентам. А вот пропажа персональных данных, включая паспортные данные и ксерокопии документов (кстати, та информация, которой оперируют российские СРО и НОСТРОЙ), может быть уже куда более критична.
Общественные организации и граждане давно бьют тревогу – властям пора бы не только вплотную заняться защитой данных, но и ограничить безудержное стремление перевода в цифровой режим всё и вся. Например, прекратить выдачу кредитов в удалённом режиме, во всяком случае, предоставить человеку возможность официально сделать заявку о том, что он запрещает получение займов без своего личного участия. Такие инициативы появляются с завидной регулярностью, но постоянно блокируются банковским сообществом. Что и понятно, банкирам и МФОшникам всё равно, кто возьмёт долг – сам человек или мошенники от его имени. Правовых механизмов защиты нет, и доказать свою правоту очень и очень сложно. А значит, кредитные учреждения и микрофинансовые организации всё равно получат свой гешефт. Но государство-то такая ситуация должна настораживать?!
Тем более, что данных в строительной отрасли и всех сферах, которые с ней связаны, становится всё больше. Всех участников рынка буквально силой запихивают в прекрасное цифровое далёко, принуждая переходить на электронный документооборот, а его переносить в облака. Которые и становятся критически опасной частью цифровой инфраструктуры. Происки конкурентов, хакерские атаки спецслужб из «непартнёрских» государств, депрессия сисадмина, которого бросила девушка, – всё это становится новыми факторами риска, которые могут поставить под угрозу благополучие компаний и их клиентов. Как философски заметил эксперт инжинирингового центра SafeNet Национальной технологической инициативы (НТИ) Игорь Бедеров:
По-нашему мнению, число утечек будет продолжать расти по мере увеличения объёма собираемых данных о пользователях и клиентах. Чем больше мы входим в информационное общество, его решения и продукты, тем больше будет происходить утечек.
Эксперты в основном предлагают решения в части техрегулирования, развития собственного ПО и инвестиций в отечественные компании в области инфобезопасности.
Хотя есть и более радикальные мнения. Так, заместитель председателя комиссии по цифровым финансовым технологиям Совета Торгово-промышленной палаты РФ по финансово-промышленной и инвестиционной политике Тимур Аитов выступал с предложением о создании единой в масштабах страны цифровой инфраструктуры. То есть, единые дата-центры, линии связи, протоколы, софт, которые координировались бы единым госвладельцем. При таком подходе именно государство будет нести ответственность за её развитие в целом и за выработку архитектуры. И будет равноудалённым от всех нынешних и будущих потребителей сервисов. Но пока Правительство России к такому шагу не готово…