Рост штрафов за утечку персональных данных приведет к учащению шантажа
В этом году эксперты ожидают роста вымогательств со стороны хакеров из-за возросших штрафов за утечки данных. На шантаж переключаются даже те группы, которые раньше занимались исключительно политическими акциями. Проблем добавляет и ускоренное импортозамещение, когда не до конца обкатанные с точки зрения информбезопасности решения внедряются в бизнес-процессы.
Выйти из полноэкранного режима Развернуть на весь экран Фото: Артемий Шуматов, Коммерсантъ Фото: Артемий Шуматов, Коммерсантъ По данным компании «Позитив Технолоджис», 76% всех украденных в финансовых организациях сведений относятся к персональным данным, при этом на данные о платежных картах приходится всего 12%. В своем исследовании компания отмечает, что появились так называемые гибридные группы хакеров: часть хактивистов начали внедрять тактику вымогательства, характерную для классических финансово мотивированных группировок. «Продолжая сопровождать атаки политической риторикой, они шифруют и похищают данные, после чего требуют выкуп за их восстановление или неразглашение»,— говорится в исследовании. Его авторы считают, что этот тренд особенно опасен, потому что организации демонстрируют готовность идти на уступки злоумышленникам: выплата выкупа воспринимается как быстрый способ решить проблему, но на практике лишь подпитывает интерес атакующих к подобным схемам. В «Позитив Технолоджис» ожидают роста случаев шантажа с использованием утечек персональных данных в 2026 году, поскольку с 30 мая 2025 года в России значительно увеличены штрафы за нарушения в этой сфере: теперь они могут достигать миллионов рублей. «Злоумышленники начнут оказывать давление на жертву, ссылаясь на возможные санкции, и в первую очередь под удар попадает малый и средний бизнес: недостатки в системе защиты в сочетании с высокой чувствительностью к репутационным потерям могут повышать вероятность уступок вымогателям»,— считают авторы исследования. В документе также отмечается, что на фоне импортозамещения возрастают риски утечек. «Импортозамещение усиливает риски: переход на отечественные ИT-решения часто происходит в сжатые сроки, без должного внимания к анализу их защищенности, что упрощает задачу злоумышленникам, особенно при наличии уязвимостей нулевого дня или утечек исходного кода»,— уверены авторы исследования. В компании «Информзащита» отметили, что официально в 2025 году в РФ зафиксировано около 120 утечек персональных данных, тогда как реальные утечки у бизнеса, по оценкам участников рынка, в несколько раз больше. «По объему утекших данных разумно оценивать риск на уровне сотен миллионов записей в год с высокой вероятностью одна-две мегаутечки (десятки и сотни миллионов строк)»,— считают в компании. Там также обращают внимание, что растет не только число атак, но и доля тех, что заканчиваются утечкой данных и вымогательством, а ужесточение штрафов за утечки делает угрозу «слива плюс доноса регулятору» сильным рычагом давления на жертву. Эксперты отмечают, что, несмотря на заметное повышение размера штрафов, они остаются несоизмеримыми с теми потенциальными потерями, которые могут случиться у граждан, чьи персональные данные были украдены. МВА-профессор бизнес-практики по цифровым финансам РАНХиГС Алексей Войлуков обращает внимание, что размер штрафа только выглядит очень заметным — в отдельных случаях он может доходить до полумиллиарда рублей при повторном нарушении. «Если же разделить эту сумму на количество скомпрометированных данных, то при крупной утечке на персональные данные одного человека может получиться всего 150 руб.»,— говорит он. При этом, по его словам, компания может попытаться скрыть факт утечки и заплатить выкуп, но ей никто не гарантирует, что потом эти данные не будут проданы и факт утечки не вскроется, тогда она кроме выкупа заплатит еще и штраф. В свою очередь, председатель комиссии по финансовой безопасности Совета ТПП России Тимур Аитов обращает внимание, что в мире в 2025 году средний мировой штраф за утечку составляет около $1,16 млн. По его словам, из-за страха перед репутационными потерями и санкциями компании уходят в «подполье»: вместо того чтобы вкладываться в безопасность, бизнес порой тратит ресурсы на заметание следов. Проблема, по его мнению, усугубляется тем, что некоторые популярные мессенджеры стали торговыми площадками для слитых данных и важно, что платформы не несут реальной ответственности за распространение украденных данных. Тимур Аитов отмечает, что росту числа утечек способствуют привычные безликие «согласия», которые снимают всякую ответственность со сборщика данных. «Уже очевидно, что вместо «согласия» нужны контракты на обработку персональных данных, которые указывают, как операторы будут хранить данные, как будут обрабатывать и как и когда эти данные будут уничтожены за ненадобностью»,— заключает эксперт. http://www.kommersant.ru/doc/8460885
Объем утечек данных из российских сервисов за год увеличился в полтора раза