АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Утечка данных

Уте́чка да́нных (англ. data breach) — попадание конфиденциальных данных в руки киберпреступников. Эта информация может касаться как частного лица, так и бизнеса или организации. Утечка может произойти электронным путём (например, посредством интернета или через электронную почту) или физически, когда данные похищаются непосредственно с ноутбука или других устройств, флешек или внешних жёстких дисков[1].

Первое сообщение об утечке данных поступило в 2002 году, и с тех пор их количество ежегодно растёт. Значительное число утечек данных остаётся незамеченным. Если компания, хранящая данные, узнаёт о нарушении, последующие действия обычно включают в себя локализацию инцидента, расследование его масштабов и причин, а также уведомление лиц, чьи данные были скомпрометированы, как того требует законодательство многих юрисдикций. Правоохранительные органы расследуют утечки, хотя виновные хакеры редко бывают пойманы.

Законы об уведомлении об утечках данных во многих юрисдикциях, включая все штаты США и страны — члены Европейского союза, требуют информирования лиц, чьи данные были нарушены. Судебные иски против компаний, в которых произошла утечка, являются распространённым явлением, хотя немногие пострадавшие получают по ним денежные компенсации. Существует мало эмпирических доказательств экономического ущерба компаниям от утечек, за исключением прямых затрат, хотя некоторые данные указывают на временное краткосрочное снижение стоимости акций.

Терминология

Утечка данных — это нарушение «организационного, нормативного, законодательного или договорного» закона или политики[2], которое приводит к «несанкционированному раскрытию, разглашению или утрате персональных данных»[3].

Юридические и договорные определения различаются[2][4]. Иногда в это понятие включают и другие типы информации, например, интеллектуальную собственность или секретную информацию[5].

В большинстве стран на законодательном уровне установлена обязанность компании, в которой произошла утечка данных, об уведомлении о происшедшем инциденте[6]. Персональные данные подпадают под действие законов об уведомлении об утечке данных[7][8].

Также используются термины «нарушение безопасности данных / разглашение информации» (англ. data leakage) — «несанкционированное раскрытие, разглашение или утрата персональных данных»[3].

История

Первая зарегистрированная утечка данных произошла 5 апреля 2002 года, тогда из центра обработки данных были украдены 250 000 номеров социального страхования, собранных в штате Калифорния[9].

До практически повсеместного принятия законов об уведомлении об утечках данных (в 2005—2006 годах) распространённость таких инцидентов сложно определить. Даже после этого ежегодную статистику нельзя считать надёжной, поскольку об утечке данных могут сообщить спустя годы после того, как случился инцидент[10], или не сообщить вообще[11].

В РФ

За период с 2020 по 2024 год наиболее крупные утечки:

2020 г. ДомКлик — утечка 17,5 млн записей: паспортные данные, контакты и финансовая информация клиентов[12].

2021 г. Ситимобил — утечка данных 6,7 млн клиентов: номера телефонов и история поездок пользователей[12].

2022 г. Сбербанк заявил об утечке данных 65 млн россиян с 24 февраля 2022 года с начала СВО в результате хакерских атак[13].

2022 г. Билайн — утечка 40 млн номеров из-за уязвимости API[12].

2023 г. Яндекс — в интернете появились исходные коды и сопутствующие им данные множества сервисов и программ Яндекса. Общий размер данных составлял около 45 ГБ в сжатом виде, речь шла об исходниках очень многих продуктов компании — от Почты и Такси до Диска и Алисы[14].

2023 г. Альфа-Банк — утечка 800 тыс. клиентов. Инсайдер пытался продать кредитные истории клиентов[12].

2024 г. Почта России — утечка данных о почтовых отправлениях (более 26 млн строк данных)[15].

За рубежом

Из самых крупных зарубежных утечек данных можно выделить[16]:

  • 2019 г. Facebook — компания не уведомила пользователей об утечке данных, хотя знала о ней два года. Хакеры опубликовали эти данные на специализированном форуме, и любой желающий мог бесплатно загрузить их. Компания получила штраф на 265 млн евро.
  • 2018 г. UIDAI (Aadhaar) — хакеры выставили на продажу биометрические данные почти всех граждан и резидентов Индии (около 1,1 млрд).
  • 2012—2014 год Yahoo — компания призналась в утечке лишь спустя три года, в 2017 году, накануне сделки с Verizon, выяснилось, что пострадали все 3 млрд аккаунтов. Как минимум три года злоумышленники имели доступ к аккаунтам пользователей, которые годами не меняют пароли.
  • 2020 г. CAM4 — из-за некорректной настройки сервера хранения базы данных с 11 млрд записей о клиентах оказались в открытом доступе. Утечка произошла из-за использования незащищённой базы данных Elasticsearch.
  • 2024 г. RockYou2024 — база данных с паролями, опубликованная на одном из популярных хакерских форумов. Хакеры собрали данные из старых утечек и выложили самую большую компиляцию реальных пользовательских паролей (10 млрд записей).

Утечки в результате преступных действий

Большинство случаев утечек данных вызваны действиями организованной преступности (55 % согласно аналитике 2020 года[17]).

Остальные причины утечек данных распределяются приблизительно таким образом: действия системных администраторов (10 %), конечных пользователей, таких как клиенты или сотрудники (10 %), государственных органов или связанных с государством субъектов (10 %).

Злоумышленники преследуют различные цели: от финансовой выгоды до хактивизма, политических репрессий и шпионажа. Существует несколько технических первопричин утечек данных, включая случайное или преднамеренное разглашение информации инсайдерами, утерю или кражу незашифрованных устройств, взлом системы путём использования уязвимостей в программном обеспечении и атаки методами социальной инженерии, такие как фишинг, когда инсайдеров обманом вынуждают раскрыть информацию. Даже если компания, хранящая данные, принимает серьёзные профилактические меры по предотвращению угроз утечки данных, это не может свести риск утечки данных к нулю.

Многие преступники продают данные, полученные в результате утечек, в даркнете. Таким образом, люди, чьи персональные данные были скомпрометированы, в течение многих лет после этого подвергаются повышенному риску кражи личных данных, и значительная их часть становится жертвами этого преступления.

Причины

Типичные причины утечки данных:

  • Дефекты инфраструктуры. Неправильные настройки и права доступа, устаревшее ПО, плохая конфигурация сетей.
  • Атаки с использованием социальной инженерии. Это постоянная угроза кибербезопасности, которая включает в себя фишинг и целевой фишинг.
  • Ненадёжные пароли. В основном люди используют пароли, которые легко угадать путём подбора слов или подстановки учётных данных. Это, например, простые пароли или одинаковые пароли для разных аккаунтов.
  • Потеря устройства. Если киберпреступник сумеет взломать кем-то потерянное устройство, он получает доступ к хранящимся на нём данным.
  • Уязвимости программного обеспечения. Киберпреступники могут легко воспользоваться уязвимостями ПО, что приводит к самым разным последствиям, в том числе и к краже данных.
  • Человеческий фактор. Случается, что недовольные сотрудники или партнёры, желая наказать компанию, сами организуют утечку данных.
  • Халатность. Иногда сотрудники хранят конфиденциальные данные на внешних жёстких дисках или флешках, или даже записывают от руки и оставляют там, где к ним могут получить доступ посторонние. К утечке данных могут приводить и человеческие ошибки.

Технические причины

Несмотря на стремление разработчиков создать продукт, который работает полностью согласно задуманному, практически всё программное и аппаратное обеспечение содержит ошибки[18]. Если ошибка создаёт угрозу безопасности, она называется уязвимостью[19][20][21].

Уязвимости различаются по степени их возможного использования злоумышленниками. Наиболее ценные уязвимости позволяют злоумышленнику внедрить и запустить свой собственный код (так называемое вредоносное ПО) без ведома пользователя[19]. Некоторые вредоносные программы загружаются пользователями при нажатии на вредоносную ссылку, но также возможно, что вредоносные веб-приложения загружают вредоносное ПО просто при посещении сайта (атака с помощью скрытой загрузки — англ. Drive-by download).

Кейлогеры — тип вредоносного ПО, которое записывает нажатия клавиш пользователя, — часто используются в утечках данных[22].

Многие утечки данных происходят на оборудовании, которым управляет партнёр целевой организации. Аутсорсинг работы третьей стороне создаёт риск утечки данных, если у этой компании более низкие стандарты безопасности; в частности, небольшие компании часто не имеют ресурсов для принятия достаточных мер предосторожности[23][24].

Человеческий фактор

Частой причиной утечек данных является излишняя доверчивость к другому субъекту, который оказывается злоумышленником. Атаки с использованием социальной инженерии основаны на том, чтобы обманом заставить инсайдера сделать что-то, что ставит под угрозу безопасность системы, например, раскрыть пароль или нажать на ссылку для загрузки вредоносного ПО[25].

Утечки данных также могут быть преднамеренно вызваны инсайдерами[26]. Один из видов социальной инженерии, фишинг[25], получает учётные данные пользователя, отправляя ему вредоносное сообщение от имени законного субъекта, например банка, и заставляя пользователя ввести свои учётные данные на вредоносном веб-сайте, контролируемом киберпреступником. Двухфакторная аутентификация может предотвратить использование учётных данных злоумышленником[27]. Обучение сотрудников распознавать социальную инженерию является ещё одной распространённой стратегией[28].

Ещё одним источником утечек является случайное раскрытие информации, например, публикация данных, которые должны оставаться конфиденциальными[29][30]. С увеличением масштабов удалённой работы и политик использования личных устройств (BYOD), большие объёмы корпоративных данных хранятся на личных устройствах сотрудников. Из-за неосторожности или несоблюдения корпоративных политик безопасности эти устройства могут быть утеряны или украдены[31].

Предотвращение инцидентов

Принятие серьёзных мер информационной безопасности может снизить риск утечки данных, но не может свести его к нулю. Многие компании имеют в штате директора по информационной безопасности (CISO) для контроля за стратегией информационной безопасности компании[32].

Для получения информации о потенциальных угрозах специалисты по безопасности взаимодействуют друг с другом и обмениваются информацией с другими организациями, сталкивающимися с аналогичными угрозами[33]. Меры защиты могут включать обновлённую стратегию реагирования на инциденты, контракты с компаниями, занимающимися цифровой криминалистикой, которые могут расследовать утечку данных[34], киберстрахование[35][8] и мониторинг даркнета на предмет украденных учётных данных сотрудников[36].

В Российской Федерации принята серия стандартов ИСО 27000 «Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности»[37].

Архитектура информационных систем компании играет ключевую роль в сдерживании злоумышленников. Крупные учёные и специалисты в области кибербезопасности Нэйл Дасвани (англ. Neil Daswani) и Моуди Эльбаяди (англ. Moudy Elbayadi) рекомендуют использовать только один способ аутентификации[38], избегать избыточных систем и устанавливать по умолчанию наиболее безопасные настройки[39]. Многоуровневая защита и распределённые привилегии (требующие множественной аутентификации для выполнения операции) также могут усложнить взлом системы[40]. Вероятность утечек данных и ущерб от них могут быть существенно ограничены предоставлением сотрудникам и программному обеспечению минимально необходимого доступа для выполнения своих функций (принцип минимальных привилегий)[38][41].

Иногда утечки данных становятся возможными из-за чрезмерной доверчивости и надежды на безопасность: жертвы размещают учётные данные доступа в общедоступных файлах[42]. Тем не менее приоритет простоты использования также важен, поскольку в противном случае пользователи могут обойти системы безопасности[43].

Расследования инцидентов утечек

Большое количество утечек данных никогда не обнаруживается[44]. Из тех, что были обнаружены, большинство утечек выявляются третьими сторонами[45][46]; а также обнаруживаются сотрудниками или автоматизированными системами[47].

Реагирование на утечки, как правило, является обязанностью специализированной команды по реагированию на инциденты в области компьютерной безопасности, в которую обычно входят технические эксперты, специалисты по связям с общественностью и юридические консультанты[48][49]. Многие компании не имеют достаточных компетенций внутри организации и передают этот функционал (или его часть) на субподряд; часто эти внешние ресурсы предоставляются по полису киберстрахования[50]. После того как компании становится известно об утечке данных, следующие шаги обычно включают подтверждение факта утечки, уведомление команды реагирования и попытки ограничить ущерб[51].

Для предотвращения и остановки утечки данных распространённые стратегии включают следующие действия: отключение затронутых серверов, вывод их из эксплуатации, устранение уязвимости / установка патчей и восстановление системы[52].

Компьютерная экспертиза баз данных может сузить круг затронутых записей, ограничив масштаб инцидента. Может быть проведено обширное расследование, которое иногда оказывается даже более затратным, чем судебный процесс[46].

В Российской Федерации расследованиями подобных случаев занимается Министерство внутренних дел[53].

Последствия

Для физических лиц

В результате утечки данных преступники зарабатывают деньги, продавая информацию, такую как имена пользователей, пароли, данные аккаунтов в социальных сетях или программах лояльности, номера дебетовых и кредитных карт[54], а также личную медицинскую информацию[55]. Преступники часто продают эти данные в даркнете, где трудно отследить пользователей и широко распространена незаконная деятельность, используются такие платформы, как .onion или I2P[56].

Эта информация может быть использована для различных целей, таких как рассылка спама, получение продуктов с использованием данных о лояльности или платёжной информации жертвы, кража личных данных, мошенничество с рецептурными препаратами или страховое мошенничество[57]. Угроза утечки данных или раскрытия информации, полученной в результате утечки, может использоваться для вымогательства[54].

Потребитель может столкнуться с проблемами в результате утечки его персональных данных (в виде материального или нематериального ущерба), а может вообще не заметить никакого ущерба[58]. Но значительная часть тех, кто пострадал от утечки данных, становится жертвами кражи личных данных[59]. Информация, идентифицирующая человека, часто циркулирует в даркнете в течение многих лет, что увеличивает риск кражи личных данных, независимо от усилий по устранению последствий[60][61]. Даже если клиент не оказывается ответственным за мошенничество с кредитной картой или кражу личных данных, ему всё равно приходится тратить время на решение возникшей ситуации[62][63]. Нематериальный ущерб включает в себя доксинг (публичное раскрытие личной информации человека), например, использование медикаментов или личные фотографии[64].

Для компаний

Существует мало эмпирических свидетельств экономического ущерба от утечек данных, за исключением прямых затрат, хотя некоторые данные указывают на временное краткосрочное снижение цены акций[65] компании, в которой произошёл инцидент. Другие последствия для компании могут варьироваться: от потери бизнеса и снижения производительности сотрудников из-за отключения систем или переключения персонала на устранение утечки[66] до увольнения или отставки высшего руководства[67], репутационного ущерба[67][68] и роста будущих затрат на аудит или усиление кибербезопасности[67]. Потери потребителей от утечки данных обычно являются негативным внешним эффектом для бизнеса[69].

Законодательство

Уведомления

Правовые нормы, касающиеся утечек данных, часто содержатся в законодательстве о защите приватности в более широком смысле и в основном состоят из положений, обязывающих уведомлять о произошедших утечках[70]. Законы об уведомлении повышают прозрачность и создают репутационный стимул для компаний сокращать количество утечек[71]. Стоимость уведомления об утечке может быть высокой, если затронуто много людей, и она возникает независимо от вины компании, поэтому она может функционировать как штраф в рамках строгой ответственности[72].

В РФ

Согласно статье 21 Федерального закона от 27.07.2006 № 152-ФЗ утечка персональных данных — это неправомерная передача персональных данных третьему лицу, когда утрата конфиденциальности сведений нарушает права человека, чьи данные были раскрыты[73].

Компания, зафиксировавшая утечку персональных данных, обязана в первые 24 часа уведомить об этом Роскомнадзор (ч. 3.1 ст. 21 Закона № 152-ФЗ). Если утечка данных произошла в сети Интернет или с удалённого сервера, об инциденте необходимо сообщить не только в РКН, но и в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)[73].

Меры безопасности

Меры по защите данных от утечек обычно отсутствуют в законодательстве или формулируются нечётко[70]. Заполнение этого пробела осуществляется стандартами, требуемыми киберстрахованием, которым обладают большинство крупных компаний, и которое является фактическим регулированием[74][75].

Из существующих законов можно выделить два основных подхода — один предписывает конкретные стандарты для соблюдения, а другой основывается на разумности[76]. Первый подход редко используется из-за недостатка гибкости и нежелания законодателей разбираться в технических вопросах; во втором подходе закон формулируется нечётко, но конкретные стандарты могут возникать из судебной практики[77].

Судебные разбирательства

После утечек данных часто подаются коллективные иски, производные (косвенные) иски и другие судебные разбирательства[78]. Достаточно большое количество исков урегулируется во внесудебном порядке независимо от обоснованности претензий из-за высоких судебных издержек[79][80].

В РФ

Дела об утечке персональных данных в России регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». С 30 мая 2025 года действуют поправки в статью 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ), предусматривающие ответственность за нарушения в области обработки персональных данных. Например, за утечку данных ввели штрафы, размеры которых зависят от количества пострадавших.

До поправок в КоАП РФ специального состава за утечку персональных данных не существовало, и такие инциденты квалифицировались как «нарушение порядка обработки персональных данных путём их распространения» (ч. 1 ст. 13.11 КоАП РФ). Эта статья применялась в 96 % дел. Дела о повторных утечках были единичными.

Для юридических лиц наиболее вероятным исходом было назначение административного штрафа. Для индивидуальных предпринимателей наблюдалась иная тенденция — предупреждения выносились чаще, чем штрафы.

В подавляющем большинстве случаев штраф для юрлиц назначался в минимальном размере — 60 тыс. руб. Штрафы ниже низшего предела (например, 30 тыс. руб.) применялись к субъектам МСП (малого и среднего предпринимательства) на основании ст. 4.1.2 КоАП РФ[81].

См. также

Примечания

Литература

  • Ablon, Lillian. Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits : [англ.] / Lillian Ablon, Andy Bogart. — Rand Corporation, 2017. — ISBN 978-0-8330-9761-3.
  • Crawley, Kim. 8 Steps to Better Security: A Simple Cyber Resilience Guide for Business : [англ.]. — John Wiley & Sons, 2021. — ISBN 978-1-119-81124-4.
  • Daswani, Neil. Big Breaches: Cybersecurity Lessons for Everyone : [англ.] / Neil Daswani, Moudy Elbayadi. — Apress, 2021. — ISBN 978-1-4842-6654-0.
  • Davidoff, Sherri. Data Breaches: Crisis and Opportunity : [англ.]. — Addison-Wesley Professional, 2019. — ISBN 978-0-13-450772-9.
  • Fisher, William; Craft, R. Eugene; Ekstrom, Michael; Sexton, Julian & Sweetnam, John (2024), Data Confidentiality: Identifying and Protecting Assets Against Data Breaches, NIST Special Publications, National Institute of Standards and Technology, <https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-28.pdf>. 
  • Fowler, Kevvie. Data Breach Preparation and Response: Breaches are Certain, Impact is Not : [англ.]. — Elsevier Science, 2016. — ISBN 978-0-12-803451-4.
  • Joerling, Jill (2010). “Data Breach Notification Laws: An Argument for a Comprehensive Federal Law to Protect Consumer Data”. Washington University Journal of Law and Policy. 32: 467.
  • Kaster, Sean D.; Ensign, Prescott C. (2023). “Privatized espionage: NSO Group Technologies and its Pegasus spyware”. Thunderbird International Business Review. 65 (3): 355—364. DOI:10.1002/tie.22321.
  • Lenhard, Thomas H. Data Security: Technical and Organizational Protection Measures against Data Loss and Computer Crime : [англ.]. — Springer Nature, 2022. — ISBN 978-3-658-35494-7.
  • Lesemann, Dana J. (2010). “One More unto the Breach: An Analysis of Legal, Technological, and Policy Issues Involving Data Breach Notification Statutes”. Akron Intellectual Property Journal. 4: 203.
  • Makridis, Christos A (2021). “Do data breaches damage reputation? Evidence from 45 companies between 2002 and 2018”. Journal of Cybersecurity. 7 (1). DOI:10.1093/cybsec/tyab021.
  • National Academies of Sciences, Engineering, and Medicine. Forum on Cyber Resilience Workshop Series // Data Breach Aftermath and Recovery for Individuals and Institutions: Proceedings of a Workshop : [англ.]. — National Academies Press, 2016. — ISBN 978-0-309-44505-4.
  • Ntantogian, Christoforos; Malliaros, Stefanos; Xenakis, Christos (2019). “Evaluation of password hashing schemes in open source web platforms”. Computers & Security. 84: 206—224. DOI:10.1016/j.cose.2019.03.011.
  • Seaman, Jim. PCI DSS: An Integrated Data Security Standard Guide : [англ.]. — Apress, 2020. — ISBN 978-1-4842-5808-8.
  • Shukla, Samiksha. Data Ethics and Challenges : [англ.] / Samiksha Shukla, Jossy P. George, Kapil Tiwari … [et al.]. — Springer Nature, 2022. — ISBN 978-981-19-0752-4.
  • Sloan, Robert H. Why Don't We Defend Better?: Data Breaches, Risk Management, and Public Policy : [англ.] / Robert H. Sloan, Richard Warner. — CRC Press, 2019. — ISBN 978-1-351-12729-5.
  • Solove, Daniel J. Breached!: Why Data Security Law Fails and How to Improve it : [англ.] / Daniel J. Solove, Woodrow Hartzog. — Oxford University Press, 2022. — ISBN 978-0-19-094057-7.
  • Talesh, Shauhin A. (2018). “Data Breach, Privacy, and Cyber Insurance: How Insurance Companies Act as "Compliance Managers" for Businesses”. Law & Social Inquiry. 43 (2): 417—440. DOI:10.1111/lsi.12303.
  • Thomas, Liisa M. Thomas on Data Breach: A Practical Guide to Handling Data Breach Notifications Worldwide : [англ.]. — Thomson Reuters, 2023. — ISBN 978-1-7319-5405-3.
  • Tjoa, Simon. Cyber Resilience Fundamentals : [англ.] / Simon Tjoa, Melisa Gafić, Peter Kieseberg. — Springer Nature, 2024. — ISBN 978-3-031-52064-8.

Ссылки