“В России часто говорят о внешних киберугрозах, но реальные инциденты показывают, что самые чувствительные утечки данных часто происходят из-за банальных ошибок и старого забытого кода внутри организаций, а не из-за атак хакерских групп. Анализ последнего года, это картина системных проблем, которые будут повторяться, пока бизнес и госорганы не перестанут воспринимать безопасность данных как расходы на соответствие”
.
Индустрия недвижимости: обнажение связей и сделок
Одной из самых значимых утечек года стала компрометация данных крупного агрегатора объявлений о недвижимости. В открытый доступ попали не только персональные данные клиентов, включая паспорта, но и внутренняя переписка сотрудников, логи сделок, комиссионные от застройщиков.
Основной ущерб для бизнеса оказался не в штрафах от Роскомнадзора, а в репутационных потерях и потере конкурентных преимуществ. Стали достоянием общественности внутренние схемы работы с партнёрами и реальные ценообразующие механизмы, которые компания скрывала от клиентов.
Источником утечки, по мнению исследователей, стал не взлом, а ошибка в конфигурации облачного хранилища, оставленного без пароля. Данные лежали открыто несколько месяцев, прежде чем были обнаружены.
Государственные порталы: уязвимости в инфраструктуре
Серия инцидентов затронула региональные порталы госуслуг и системы межведомственного взаимодействия. Через уязвимые компоненты в веб-интерфейсах можно было получить доступ к служебной информации, не предназначенной для публикации.
Особенностью этих утечек стал их «тихий» характер. Данные не выкладывались на форумы, но к ним был возможен несанкционированный доступ. Это создаёт риск, что информация могла быть скопирована незаметно и использована для целевых атак или мошенничества.
Проблема часто коренится в устаревших фреймворках и библиотеках, которые используются в государственных ИТ-системах. Обновления откладываются из-за сложной процедуры согласования и опасений нарушить работу критичных сервисов.
Розничные сети: сливы баз лояльности
Несколько крупных ритейлеров столкнулись с компрометацией баз данных программ лояльности. Утекли миллионы записей с ФИО, номерами телефонов, email-адресами и историей покупок.
Такие данные становятся золотой жилой для мошенников, занимающихся социальной инженерией. Зная историю покупок человека, можно значительно повысить доверие к фишинговому звонку или сообщению, маскируясь под службу поддержки магазина.
Расследования показали, что в двух случаях утечка произошла через скомпрометированные аккаунты сотрудников, имевших доступ к аналитическим панелям. Доступ был получен из-за повторного использования паролей, утекших в других, более старых сливах.
Образовательный сектор: данные студентов и педагогов
Инциденты в вузах и онлайн-платформах демонстрируют системную проблему. Утекали не только персональные данные студентов, но и внутренние документы: отчёты по успеваемости, методические материалы, переписка с проверяющими органами.
Одна из нашумевших утечек произошла из-за уязвимости в API стороннего сервиса, интегрированного в образовательную платформу для проведения тестирования. Через него можно было получить доступ ко всей базе пользователей.
Слабым звеном часто оказывается не основная система, а вспомогательные сервисы и интеграции, безопасность которых при внедрении должным образом не оценивается.
Финтех и микрофинансовые организации: атаки на бэк-офис
Для финтеха утечки данных — прямая угроза бизнес-модели, основанной на доверии. В прошлом году несколько МФО и платёжных сервисов пострадали от атак, нацеленных не на клиентские приложения, а на внутренние системы бэк-офиса.
Злоумышленники получали доступ к панелям администрирования, через которые проводились операции с клиентами. Это позволяло не только скачивать базы, но и потенциально изменять данные или совершать несанкционированные транзакции.
Причина — отсутствие сегментации сети и слабые настройки аутентификации для внутренних служебных систем, доступ к которым по умолчанию считался «безопасным», так как они не выходили в интернет напрямую.
Общие корневые причины и системные проблемы
Анализ самых громких инцидентов года позволяет выделить не технические, а организационные проблемы, которые их объединяют.
- «Технический долг» в безопасности. Критичные системы построены на устаревших стеках технологий. Их модернизация откладывается из-за стоимости и риска остановки бизнеса, создавая растущую уязвимость.
- Недооценка внутренних угроз и человеческого фактора. Фокус на защите периметра от хакеров, при этом сотрудники с избыточными правами и слабой цифровой гигиеной остаются главным риском.
- Слабая инвентаризация активов. Компании теряют контроль над своими данными. В облаках остаются «забытые» базы, доступ к которым не регламентирован, а в инфраструктуре — неучтённые тестовые среды с реальными данными.
- Формальное отношение к регуляторике. Выполнение требований 152-ФЗ и ФСТЭК часто сводится к «бумажной» работе — составлению документов для проверки, а не к созданию реальных барьеров для утечек. Аудит проходит по заранее согласованному сценарию, не затрагивая реальные слабые места.
Что делать? Сдвиг парадигмы от соответствия к реальной защите
Повторение одних и тех же сценариев утечек указывает на то, что текущий подход не работает. Необходимы изменения в приоритетах.
- Инвестиции в обнаружение, а не только в предотвращение. Признать, что 100%-я защита невозможна. Ключевым становится скорость обнаружения инцидента и минимизация ущерба. Внедрение систем мониторинга нестандартных действий с данными (UEBA) и анализа логов становится важнее новых файрволов.
- Принцип минимальных привилегий (PoLP) как основа. Жёсткое ограничение прав доступа для каждого сотрудника и системы должно быть реализовано на практике, а не только в политиках. Особое внимание — к служебным аккаунтам и доступ