«Утечки — не про технику, а про то, что компании не чувствуют свои данные как наличность в руках. У нас не было единого реестра для анализа, поэтому инциденты превращаются в слухи и постепенно забываются. Но если собрать мозаику из публичных источников, судебных документов и сообщений сотрудников, картина получается структурной. Специфика российских кейсов часто не в хакерах извне, а в привычных операционных процессах, которые становятся точками разрыва.»
Проблема подсчёта: почему нет точных цифр
В России не существует централизованной, обязательной для всех публикации статистики по утечкам персональных данных. ФСТЭК ведёт реестр инцидентов информационной безопасности, но его данные не раскрываются публично. Роскомнадзор накладывает штрафы, но также не агрегирует общую картину в открытом доступе.
В результате, информация о масштабных инцидентах просачивается несколькими путями: через сообщения в профильных и новостных СМИ, отчёты компаний-поставщиков средств защиты, утечки баз на специализированных форумах и, в редких случаях, через официальные заявления регуляторов. Это создаёт эффект айсберга: публично известные кейсы — лишь верхняя часть.
Поэтому, говоря о «крупнейших утечках», мы опираемся на совокупность косвенных данных — заявленное количество записей, характер данных, реакцию регулятора и отраслевой резонанс.
Категории причин утечек в российских реалиях
Опыт последних лет показывает, что катастрофические по масштабу утечки редко являются результатом точечной атаки продвинутых хакеров. Чаще это следствие системных уязвимостей внутри организации.
Неконтролируемые доступы и публичные системы
Классический сценарий — оставленная без пароля или с паролем по умолчанию система мониторинга, база данных или бэкенд-панель. Система годами работает в закрытой сети, но после переезда в облако или смены конфигурации её адрес оказывается доступен из интернета. Поисковые системы индексируют такие ресурсы за считанные часы.
Пример: утечка, где в открытом доступе оказалась база с несколькими миллионами записей клиентов, включая паспортные данные. Следствие установило, что доступ был открыт для удалённой работы сотрудника, а после его увольнения никто не отозвал права и не изменил конфигурацию.
Ошибки сотрудников и инсайдерские угрозы
Человеческий фактор остаётся критичным. Сюда относится не только отправка файла с данными не тому адресату. Более опасны сценарии, когда сотрудник с широкими правами, часто в IT-отделе, выгружает большие объёмы данных «для работы» на локальный компьютер или личный облачный диск. Устройство заражается трояном, или данные сливаются умышленно после конфликта с работодателем.
В судебной практике стали появляться дела по статье 272 УК РФ («Неправомерный доступ к компьютерной информации») именно в отношении инсайдеров. Объём утекших данных в таких случаях может быть меньше, но их качество (актуальность, детализация) — максимально высоким.
Уязвимости в цепочках поставок и у партнёров
Компания может инвестировать в свою защиту, но при этом получать данные от агрегаторов или передавать их на обработку сторонним сервисам. Взлом партнёра, который имеет доступ к API или регулярным выгрузкам, автоматически становится утечкой и для самой компании. Особенно это касается сектора услуг, где активно используются сторонние CRM, платёжные шлюзы и сервисы рассылок.
Типичный признак такой утечки — появление в продаже на теневых форумах данных из разных, логически не связанных между собой компаний одной отрасли. Источником становится общий подрядчик.
Кейсы, определившие тренды регуляторного реагирования
Анализ публично известных инцидентов позволяет выделить несколько, которые повлияли не только на репутацию компаний, но и на подход регуляторов.
Финансовый сектор: уязвимости API и агрегаторов
Один из самых громких кейсов был связан не с прямым взломом банка, а с уязвимостью в системе агрегатора финансовых данных. Через незащищённое API можно было получить доступ к транзакциям и балансам клиентов множества банков, подключённых к сервису. Данные были в реальном времени.
Инцидент привлёк внимание не только Роскомнадзора, но и Центробанка, который впоследствии ужесточил требования к безопасности открытых банковских API и к процедурам аудита сторонних поставщиков.
Ритейл и e-commerce: утечки из баз лояльности
Крупные сети, собирающие детальные профили покупок для программ лояльности и персонализированных скидок, стали мишенью. В одном из случаев утечка произошла через взломанную учётную запись сотрудника маркетингового агентства, которое занималось рассылками для сети.
Были компрометированы не только имена и телефоны, но и полная история покупок за несколько лет. Это пример, когда ценность утекших данных для мошенников (возможность таргетированных фишинговых атак) и для конкурентов (анализ покупательского поведения) была крайне высока.
Последствием стала волна проверок Роскомнадзора именно в ритейле с фокусом на то, как хранятся и обрабатываются данные для CRM и программ лояльности.
Государственные и окологосударственные сервисы
Инциденты в этой сфере редко получают широкую огласку, но их последствия наиболее серьёзны. Речь идёт об утечках через взломанные аккаунты сотрудников или уязвимости в веб-приложениях, которые давали доступ к данным, собранным для оказания государственных услуг.
Такие кейсы практически всегда заканчиваются возбуждением уголовных дел по статьям о нарушении тайны связи или неправомерном доступе. Они же заставляют ФСТЭК и ФСБ проводить внеплановые проверки целых отраслевых институтов.
Реакция регуляторов: эволюция от штрафов к системным требованиям
Если несколько лет назад реакция Роскомнадзора часто сводилась к штрафу по статье 13.11 КоАП за ненадлежащую защиту персональных данных, то сейчас подход стал комплекснее.
- Фокус на эксплуатационные процедуры. Регуляторы начали проверять не только наличие сертифицированных средств защиты, но и то, как организованы процессы управления доступом, учёта носителей, реагирования на инциденты. Штраф может быть выписан за отсутствие журнала учёта обращений к базе ПДн, даже если СЗПДн установлены.
- Претензии к юридическим основаниям обработки. После утечки проверяют, было ли у компании законное основание хранить те конкретные данные, которые утекли. Например, если утекли сканы паспортов, а в уведомлении в РКН была заявлена обработка только ФИО и телефона, это влечёт отдельное нарушение.
- Требования к облачным провайдерам. С учётом массовой миграции в облака, ФСТЭК ужесточила требования к операторам облачных услуг, имеющим допуск для обработки ПДн. Компания-арендатор теперь несёт ответственность за конфигурацию своей части, но провайдер — за физическую и среднюю защиту.
Что делать, чтобы не стать следующим кейсом: практические выводы
Анализ прошлых инцидентов позволяет сформулировать неочевидные, но критичные меры, выходящие за рамки простой установки DLP или межсетевого экрана.
- Картографирование потоков данных до партнёров. Составьте не схему своей ИС, а карту того, куда и какие данные уходят регулярно (партнёрам, агрегаторам, сервисам рассылок). Это самый уязвимый контур, часто выпадающий из поля зрения внутренней безопасности.
- Регулярный поиск своих данных в открытых источниках. Используйте мониторинг специализированных форумов и паст-бинков на упоминание вашего бренда, доменов, типовых структур ваших баз. Многие утечки обнаруживают энтузиасты или конкуренты раньше, чем внутренние системы.
- Сегментация не только сетей, но и прав доступа внутри систем. Принцип минимальных привилегий должен работать не на уровне «сотрудник отдела», а на уровне «конкретная задача». Аккаунт для выгрузки отчётов не должен иметь возможности делать SQL-запросы к живой базе.
- Проверка инцидент-ответа на реалистичных сценариях. План реагирования на утечку должен быть отрепетирован не на абстрактной «атаке», а на конкретных сценариях: «Что делать, если база клиентов появилась на форуме?», «Как взаимодействовать с РКН в первые 24 часа?». Включает ли план обязательное обращение в правоохранительные органы для фиксации факта, что это противоправное деяние?
Крупные утечки в России перестали быть технической неожиданностью. Они стали индикатором зрелости операционных процессов компании. Внимание сместилось с вопроса «взломают ли нас?» к вопросу «насколько хорошо мы понимаем, где лежат наши данные, и кто к ним может прикоснуться на каждом этапе их жизни?». Ответ на него и определяет, попадёт ли компания в печальную хронику инцидентов или сможет выявить и закрыть брешь до того, как её найдут извне.