СДЭК подтвердил факт утечки базы данных своих клиентов. В открытом доступе оказалась личная информация более ста тысяч пользователей. Как обезопасить себя от последствий таких сливов? Об этом телеканал «МИР 24» спросил эксперта по кибербезопасности Павла Мясоедова.
– По данным СМИ, в сеть были слиты имена и фамилии пользователей, логины и пароли, телефоны, адреса электронной почты, даты рождения и даты создания профилей. Чем это грозит клиентам СДЭК?
Павел Мясоедов: Да, действительно, в последнее время учащается количество больших утечек данных из крупных компаний. Это во многом связано с некомплексным подходом к системам безопасности со стороны крупного бизнеса.
Что касается самих пользователей, то, на самом деле, риски могут быть достаточно велики. Особенно если речь идет о базах данных компаний, которые, в том числе, проводят через себя финансовые платежи. Когда мы оплачиваем ту или иную покупку, у нас обычно вылетает так называемое факторинговое окно, куда мы вбиваем данные нашей кредитной карточки, после чего происходит оплата. Но очень многие компании пытаются внедрить эту систему гораздо глубже в свои сайты для создания так называемого «бесшовного опыта» для того, чтобы пользователю было удобнее. Но именно за этим «бесшовным опытом» следуют достаточно высокие риски, связанные, в том числе и с хранением финансовых данных.
Поэтому в целом можно сказать, что риск зависит от того, какие данные компания агрегирует. Если речь идет только о телефонном номере и имени клиента, и даже о его покупательских привычках и предпочтениях, то это не так страшно. Если же компания сохраняет то или иное количество вашей финансовой информации, то есть здесь риски кратно выше.
– В компании как раз и заявили, что в базу данных не попали номера документов, удостоверяющих личность, и данные банковских карт. То есть серьезных последствий опасаться не стоит?
Павел Мясоедов: Здесь надо сохранять трезвость ума и понимать, что любая компания официально не заявит о еще более высоких рисках для своих пользователей. Потому что репутационный ущерб может быть слишком велик и уже необратим. Но, я думаю, что в случае компании СДЭК, а это все-таки достаточно серьезная организация, и финансовые данные они хранили за своим контуром.
В принципе, каждый бизнес старается в параллель созданию бесшовного опыта для пользователей фокусироваться именно на своих основных компетенциях. В случае со СДЭКом их основные компетенции явно не касаются финансовых транзакций. Поэтому вероятность того, что финансовые данные они не хранили, а как-то старались вынести за контур своих информационных систем, достаточно велик. Остается только надеяться на это.
– Это не первая утечка СДЭК и, как вы сказали, такие сливы происходят на регулярной основе. Что пострадавший в таком случае может сделать, какие меры принять?
Павел Мясоедов: Здесь достаточно сложная ситуация, потому что, конечно, пострадавшим нужно, особенно в случае утечки или риска утечки каких-то финансовых данных, обращаться в полицию. А если еще вслед за утечкой финансовых данных у вас заморозилось какое-то количество средств на счете компании или уже осуществилось то или иное мошенничество в виде кражи даже небольшой суммы, то, конечно, нужно писать заявление в правоохранительные органы. Потому что, даже если правоохранительные органы в силу сложности ситуации не среагируют сразу, в перспективе это будет приложено, может быть, к какому-то более крупному делу. Или, если дело будет увеличивать, ускорять свои обороты, то, опять же, тот факт, что вы изначально писали заявление, может сыграть в вашу пользу. И действительно вам помогут вернуть ваши средства. Но опять же, это долгоиграющее уже постфактум действие.
Что мы можем сделать превентивно? Превентивно нам желательно создавать отдельные номера, отдельные аккаунты для онлайн транзакций. То есть создавайте виртуальную карту, заносите ее данные и в случае, если действительно у вас есть какие-то опасения об утечке или утечка всплыла уже в СМИ, как мы знаем в случае СДЭКа или Яндекс.Еды, когда персональные данные стали достоянием общественности, то вас хотя бы не лишат ваших финансовых средств.
– Если все же невозможно предотвратить такие утечке, как их сделать менее болезненными для пользователей и усложнить задачу для злоумышленников?
Павел Мясоедов: Здесь, на самом деле, вопрос лежит на стороне самих этих компаний, которые активно работают в онлайне. К ним относятся СДЭК, Яндекс, Деливери Клаб и так далее. То есть все наши крупные маркетплейсы, сторы или организации, оказывающие услуги онлайн. Хотя бы в каком-то количестве у всех этих компаний достаточно серьезные бюджеты на кибербезопасность. Но, как вы видите, все равно происходят утечки. Происходят они как раз из-за отсутствия комплексного подхода. Эти компании могут приобрести два-три серьезных продукта по кибербезопасности, но при этом их внедрению уделят недостаточное внимание.
Либо их сотрудники сидят в общей базе данных и в параллель с этими системами имеют возможность просто сфотографировать базу данных банально на свой телефон. Естественно, такой частичный, а не комплексный подход, приводит к тому, что где-то играет тот самый человеческий фактор и происходят сливы. В принципе, те сливы, о которых мы слышали за последние несколько месяцев, по мнению экспертов, с высокой долей вероятности происходят из-за вот этого человеческого фактора внутри организации. То есть кто-то их сотрудников просто нарушает свои регламенты. Может, он вообще с ними не знаком и просто эту историю скачивает, фотографирует, возможны разные варианты. И впоследствии продает ее на каких-нибудь торрент-сайтах и зарабатывает большие деньги.
Да, иногда хакеры атакуют напрямую такие системы. Ищут так называемые бэкдоры или уязвимости. Но это не очень распространенный случай, потому что это стоит очень много денег. Хотя, такие ситуации тоже происходят.
– А какой фактор, на ваш взгляд, опаснее. Человеческий или технический?
Павел Мясоедов: Комплексно. Информационные технологии – это как раз смешение человеческого фактора, то есть мира офлайн и онлайн. То есть у вас есть хорошие программные продукты, которые увеличивают безопасность в целом информационной системы, у вас есть программные продукты, которые не дают происходить сливам в массовом ключе. У вас есть даже программные продукты, которые следят за сотрудником. Ну то есть без их ведома, сотрудники об этом подписывают договор с компанией, эти программные продукты следят, чтобы сотрудник не воткнул флэшку, не скачал какие-нибудь конфиденциальные корпоративные документы, чтобы этот сотрудник даже периодически не фотографировал экран. То есть туда встраивают решения, которые мониторят со стороны действия сотрудника и так далее.
Но, во-первых, этот продукт сообщит вам уже постфактум об этом. А во-вторых, программные продукты бывают настолько сложными и комплексными, а некоторые программные продукты в этих компаниях установлены достаточно давно, ими пользуются, но их уже не обновляют, что так или иначе существуют какие-то бреши. Поэтому в безопасности, cyber security, в целом комплексные системы, как видите, работают не очень хорошо, работают лишь их части.
– По словам представителей компании, она сейчас работает над, цитирую, «внедрением мер по недопуску распространения украденной информации». Можете предположить, что это может обозначать?
Павел Мясоедов: При все уважении к компании СДЭК, в данном случае это, скорее, красивые слова. Потому что, если утечка произошла и она уехала в даркнет, то компания практически ничего сделать не сможет. В лучшем случае, она сможет купить эту базу данных и посмотреть, в какой части произошла утечка, и подтереть эти данные уже в своих собственных так называемых контейнерах данных и предупредить пользователей о возможных рисках.
Постафктум обычно уже ничего сделать особенно нельзя. Есть компании, которые работают с деловой репутацией. Есть cyber security компании, занимающиеся так называемым threat intellegence, которые мониторят уже постфактум какие-то риски. Но это очень кропотливая и долгая работа. Обычно базы данных продаются уже каким-то третьим лицам, каким-то потенциальным преступникам или, в лучшем случае, каким-нибудь серым маркетологам. Продаются и, соответственно, этот мошенник или бывший сотрудник, или даже действующий сотрудник, который продал, зарабатывает деньги, и его никто не найдет. Либо вы найдете, но это уже не очень поможет делу.
Поэтому к безопасности надо внимательно относиться до момента утечки. И поэтому сейчас активно на уровне Минцифры, на уровне разных законодательных органов обсуждается привлечение к ответственности компаний за утечки информации, персональных данных. Потому что мы сейчас знаем, что какая-нибудь крупная компания с оборотом даже в миллиарды долларов, или сейчас мы говорим, переводя на рублевую зону, в десятки миллиардов рублей, мы знаем, что эта компания в случае массовой утечки данных платит лишь 100 тысяч рублей штрафа. Естественно, это ненормально, штрафы должны быть оборотными, с какими-то определенными градациями согласно вине компании. И вот как раз такого рода оборотные штрафы обсуждаются. Иначе, как мы видим, эти компании просто в должной мере не относятся серьезно к вопросам кибербезопасности.
– И тогда последний вопрос: что самое главное при защите своих персональных данных? Как свести риски их утечки до минимума?
Павел Мясоедов: Если вы не публичный человек, то начинать надо, конечно, с отдельного платежного инструмента для онлайн покупок. Я говорил ранее, что существует отличный инструмент, который предоставляют практически все крупные банки России, – это так называемая электронная дебетовая карточка. Вы ее создаете отдельно в своем кабинете. Вам даже не нужно ее иметь в физическом виде. Соответственно, вы на эту карточку ставите определенный лимит, например, три-пять тысяч рублей в зависимости от того, какой размер покупок вы обычно осуществляете, то есть какие суммы вы обычно тратите. И вы знаете, что при самом худшем сценарии максимальный риск для вас – эта сумма. Просто мошенник не сможет снять больше денег с вашего финансового инструмента. Для большинства людей, если это не публичная личность, этого, в принципе, более-менее достаточно. Потому что для большинства людей самое чувствительное – это вопрос денег.
Если вы публичный человек, или вы так или иначе заботитесь о своей репутации, здесь имеет смысл создавать отдельный никнейм для сайтов. И задача состоит в том, чтобы развести вашу реальную идентичность с вашей виртуальной. Чтобы в интернете было как можно меньше данных, действительно указывающих на вас как на физическое лицо.
Подробнее в сюжете: Гости эфира