Цифровая служба и опасна и трудна
Вчера, 25 августа, помощник министра внутренних дел (МВД РФ) Ирина Волк сообщила, что по имеющейся информации, указанный сервис располагал большими массивами данных, которые были собраны по результатам утечек из различных структур, и незаконно использовался коммерческими организациями, детективными и коллекторскими агентствами. "Доступ к ресурсу происходил посредством специализированной программной оболочки через веб-форму или интерфейс АPI. Стоимость дифференцировалась в зависимости от объема услуг и статуса клиента. Нередко она превышала 1 млн руб. в месяц. Кроме того, оперативники зафиксировали факты получения конфиденциальной информации аферистами для последующего хищения денежных средств населения. В ходе обысков изъяты средства связи и компьютерная техника, договорная и бухгалтерская документация, а также серверное оборудование с базами данных общим объемом более 25 терабайт (ТБ)", - рассказала Ирина Волк.
Главный юрист направления информационной безопасности "Контур.Эгида" (входит в ГК "СКБ Контур") Ольга Попова назвала инцидент значимым: "Он показывает, что исполнительная власть начала системно работать над защитой персональных данных. Обращает внимание и то, что о пресечении противоправной деятельности сообщили широко, но при этом не назвали сам ресурс. Это может свидетельствовать о том, что речь идет об известной площадке, пользовавшейся доверием у граждан и долгое время функционирующей. Объем похищенных данных впечатляет. Для наглядности: один терабайт текстовой информации, напечатанной на листах А4 с двух сторон, равен примерно 500 пачкам офисной бумаги. Таким образом, 25 ТБ — это уже около 12 млн пачек. При этом информация могла содержаться не только в текстовом формате, но и включать фото-, видео- и аудиозаписи. Это особенно тревожно, так как такие материалы могут использоваться, например, при создании дипфейков".
Руководитель направления развития бизнеса в ООО "Индид" Игорь Тюкачев предположил, что в эти 25 ТБ вошли все громкие утечки за последние десять лет и, возможно, даже не только на территории РФ: "Пользователь, у которого есть телефон и email, скорее всего, уже присутствует в этих базах. Причем это могут быть базы разных лет, из различных источников, обогащенные и структурированные частично или полностью. Разумеется, часть таких данных уже могла устареть, а часть вообще не соответствовать действительности. Но в основном они используются для поиска персональных данных о конкретных людях, то есть пробива, а также для атак через человека на компанию".
Ведущий архитектор по информационной безопасности ООО "Корус Консалтинг ВМ" (компани Mons входит в ГК " Корус Консалтинг") Елена Скалозубова говорит о том, что такие истории уже стали типичной картиной цифровой жизни в России: "Утечки персональных данных происходят регулярно - где-то протекла база интернет-магазина, где-то - банка или "Госуслуги". Потом все это собирается в огромные "поисковики по людям": ввел фамилию или телефон - и тебе показывают паспортные данные, адрес или даже сведения о передвижениях. Пользуются такими сервисами все: от коллекторов и частных детективов до телефонных мошенников. Закрытие одного такого ресурса - это не финал, а лишь временная пауза: спрос на чужие данные огромный, значит, завтра они могут всплыть в другом месте - в закрытых Telegram-ботах или на форумах в даркнете. Для обычных людей это означает рост риска мошенничества и навязчивых звонков, а для компаний - угрозу штрафов и репутационных потерь".
Заместитель генерального директора по инновационной деятельности ООО "Серчинформ" Алексей Парфентьев считает справедливым, когда ответственность несут не только инсайдеры, но и продавцы данных: "Это как раз тот случай. На деле инсайдеры редко публикуют слитое в открытый доступ, обычно информацию продают вот таким незаконным агрегаторам, и к ним те уже впоследствии на коммерческой основе получают доступ для пробива или мошенничества".
Руководитель департамента соответствия требованиям по информационной безопасности ООО "Инфосекьюрити" (Infosecurity входит в ГК Softline) Анатолий Сазонов заметил, что у правоохранительных органов вырос интерес к киберпреступлениям, в том числе в сфере незаконного оборота персональных данных: "Поэтому стоит напомнить, что в соответствии с поправками в УК РФ, ответственность могут понести не только создатели информационных ресурсов, распространяющих персональные данные, которые были получены незаконным путем, но и пользователи подобных ресурсов. В связи с этим организациям стоит лишний раз рассмотреть действующие процессы обработки персональных данных с целью понимания, не закрались ли действия, которые нарушают УК РФ в какой-либо из процессов".
Управляющий партнер ООО "Комплай" (Comply) Артем Дмитриев рассказал о том, какая мера наказания ждет злоумышленников: "Статья 272.1 УК РФ предусматривает наказание от штрафа до лишения свободы на срок до десяти лет — в зависимости от характера и последствий деяния. В отношении создателей сервисов пробива может применяться часть шесть статьи, которая предусматривает до пяти лет лишения свободы".
Адвокат юридической фирмы "Томашевская и партнеры" Владислав Губко поведал, что в последние годы количество подобных инцидентам, согласно данным Роскомнадзора, сокращается: "Так, в 2023 г. выявлено 168 утечек персональных данных, за 2024 – 135, итоги 2025 г. еще не подведены. Вместе с тем регулятор выявляет нерадужную тенденцию: несмотря на уменьшение количества атак на персональные данные граждан, их масштабы растут: за 2023 г. утекли данные 300 млн граждан, за 2024 – более 710 млн".
