Проблема утечек персональных данных граждан, в том числе из компаний финансового сектора, остается одной из самых актуальных проблем кибербезопасности. Актуальные меры противодействия, а также сопряженные риски для клиентов-физлиц журнал «ПЛАС» обсудил в кулуарах Уральского форума «Кибербезопасность в финансах» с Александром Хониным, руководителем отдела консалтинга и аудита Angara Security.
PLUSworld: Утечки персональных данных стали настолько частым явлением, что многие уже воспринимают их как фатальную неизбежность. Насколько это серьезная проблема сегодня?
А. Хонин: В цифровом мире утечки данных — это не просто проблема, а настоящая угроза для каждого из нас. Когда в руках злоумышленников оказываются не только имена и номера телефонов, но и адреса, сведения о счетах, местах работы и даже привычных маршрутах, последствия могут быть катастрофическими. Существуют открытые кейсы, но есть и множество таких, информация о которых не предоставляется широкой общественности. К сожалению, речи о спаде утечек в настоящее время не идет, более того, в конце мая 2025 года мы ожидаем очередного всплеска подобных инцидентов на фоне вступления в силу закона об оборотных штрафах по утечкам.
Мошенники не просто рассылают фальшивые SMS о «блокировке счета». Они создают сложные схемы обмана, используют искусственный интеллект и приемы социальной инженерии, анализируют утекшие базы данных, комбинируют информацию, чтобы втереться в доверие. Они знают, где вы работаете, как зовут ваших коллег, какие магазины предпочитаете. Это позволяет им манипулировать жертвами так, что люди сами переводят деньги, оформляют кредиты или даже становятся невольными участниками преступных схем.
По данным Банка России, в 2024 году мошенники похитили у граждан 27,5 млрд рублей — на 74% больше, чем годом ранее. А ведь это только те случаи, что попали в официальную статистику.
PLUSworld: Но если мои данные уже утекли, казалось бы, что еще плохого может случиться? Многие граждане считают, что эта проблема не касается их лично, так как мошенники уже давно владеют всей возможной персональной информацией.
А. Хонин: Это распространенное заблуждение. На самом деле каждая новая утечка дополняет и обновляет уже имеющиеся базы данных. Чем больше информации о человеке удается собрать, тем проще им манипулировать.
Сегодня мошенникам недостаточно просто узнать ваш номер телефона. Они хотят знать, кто ваши близкие, где вы работаете, какие у вас привычки. Эта информация позволяет создавать сценарии обмана, от которых сложно защититься даже подготовленному человеку.
Например, если мошенники знают, что у вас есть ребенок, они могут позвонить от имени школы или родительского комитета. Если у вас есть банковский вклад — представиться сотрудником службы безопасности. Если вы активно пользуетесь госуслугами — прислать письмо с убедительной просьбой подтвердить учетную запись.
Все активнее так называемыми социальными инженерами используются возможности ИИ, а также методы OSINT. И здесь проблема находится именно в зоне ответственности граждан. Ведь много информации о себе оставляют сами люди на различных публичных сервисах, впоследствии ее могут использовать злоумышленники. И самое страшное здесь – то, что уровень понимания у граждан необходимости бережнее относится к своим данным на сегодня практически стремится к нулю. Как мы это констатируем, у нас в стране невысокая культура в части ПДн, как со стороны операторов персональных данных, так и у самих граждан.
PLUSworld: Как реагируют на это государство и бизнес? Насколько нам известно, с точки зрения законодательства уже предпринимаются серьезные шаги.
А. Хонин: В последние годы меры по борьбе с утечками и мошенничеством действительно ужесточаются. Среди ключевых инициатив:
· Ужесточение наказаний: с мая 2025 года вступает в силу закон об оборотных штрафах. Компании, допустившие утечку, будут платить от 5 до 20 млн рублей за первый случай, а при повторном инциденте — от 1 до 3% годовой выручки (но не менее 20 млн и не более 500 млн рублей).
· Создание единой базы данных дропов — людей, на которых оформляют фиктивные счета. Как сообщила недавно глава Банка России Э. Набиуллина, сейчас карты дропперов становятся одноразовым инструментом. Позитивным моментом является также то, что такие карты подорожали на черном рынке (с 10-15 тыс. рублей примерно до 70 тыс. рублей). Это показывает, насколько усложнилась за последнее время деятельность дропов на фоне уже предпринятых мер противодействия.
· Новые законодательные меры: возможность добровольно запретить себе оформление кредитов (самозапрет кредитов).
· Развитие сотрудничества с МВД и мобильными операторами.
PLUSworld: Но, пока закон не работает, мошенники продолжают придумывать новые схемы?
А. Хонин: Конечно. Сейчас, например, по-прежнему активно используются:
· Фишинговые сайты и поддельные приложения, маскирующиеся под официальные сервисы. Эксперты Angara Security отмечают, что в том числе для прикрытия этих мошеннических действий служат предложения оформить отказ от банковских отчислений на СВО, усилить родительский контроль за успехами в учебе детей, получить подарки от неизвестных лиц.
· QR-коды для перевода средств на счета мошенников.
· Выманивание кодов от Госуслуг и банковских приложений у детей и пожилых людей.
PLUSworld: Как изменился ландшафт утечек в 2024 году?
А. Хонин: Интересно, что в 2024 году на первом месте по количеству утечек оказался не финансовый сектор, а индустрия развлечений, на долю которой приходится 37% утекших телефонных номеров и 47% адресов электронной почты. Финансовый̆ сектор занимает второе место (28% телефонов и 17% адресов электронной почты), а третье – электронная коммерция (10% телефонов и 13% адресов электронной почты соответственно).
Год назад ситуация была иной: тогда наибольшее число утечек фиксировалось в банковской сфере. Это говорит о том, что принятые меры защиты работают. Но теперь в зоне риска оказались другие отрасли, которые пока только начинают адаптироваться к новым угрозам.
PLUSworld: Что делать клиентам, чтобы защитить себя и свой бизнес?
А. Хонин: Для обычных людей главный инструмент защиты — киберграмотность. Не передавайте личные данные незнакомцам, не переходите по подозрительным ссылкам, не вводите коды из СМС, даже если звонит якобы банк. Особенно если это касается звонков в мессенджерах – через мессенджеры мы ни с кем не должны общаться (ни с банками, прокуратурой, полицией и т. д.). Также особое внимание стоит уделить защите детей, пожилых людей и лиц с ограниченными возможностями, так как именно они чаще всего становятся жертвами мошенников.
Компании же должны усиливать контроль за информационной безопасностью: проводить аудит, внедрять современные системы защиты, инвестировать в кибербезопасность. В условиях нехватки кадров и бюджета многие переходят на модели MSSP (Managed Security Service Provider) — сервисные подписки на защиту инфраструктуры. Это позволяет не только снизить риски утечек, но и избежать многомиллионных штрафов.
PLUSworld: Какой, на ваш взгляд, главный вывод можно сделать из всего этого?
А. Хонин: Утечки данных — это не просто проблема бизнеса или банков. Это реальная угроза для каждого из нас. Современные мошенники работают крайне тонко, используя психологию, технологии и утекшие данные, чтобы заставить людей действовать против собственных интересов.
Долгое время многие надеялись, что их старые утекшие данные больше никому не нужны. Но сегодня преступники научились связывать разрозненную информацию, создавая полные цифровые досье. И если сейчас вы не стали жертвой мошенников — это не значит, что этого не произойдет завтра.
Защита персональных данных — это не разовая мера, а привычка, которую нужно развивать, причем как операторам ПДн, так и нашим гражданам. В мире, где утечки стали новой реальностью, только бдительность и киберграмотность могут помочь избежать неприятных последствий.
18.03.2025 15:18:00
