Корпоративные базы данных, содержащие имена, даты рождения, номера удостоверений личности и другую информацию о сотрудниках или клиентах, все чаще становятся мишенью киберпреступников, пишет InfoWatch. Обычным делом становится так называемая «кража личности» (англ. Identity theft — термин впервые появился в 1964 году) — преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды.
Согласно опросам, кража личности является одним из основных опасений граждан США, где в качестве удостоверения личности используют SSN (Social Security Number). Его номер запрашивают большое количество организаций для подтверждения личности граждан. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. В Великобритании для осуществления «кражи личности» используются страховые идентификаторы NINO (National Insurance number) и NHS (National Health Service Number).
В России нет статистики, какие из электронных идентификаторов подвержены наибольшему риску компрометации, однако стремительно растет сама вовлеченность граждан в процессы электронного взаимодействия, в том числе и на корпоративном и государственном уровне. Так, по данным Минкомсвязи России, уже более 50% граждан используют государственные услуги в электронном виде, а число пользователей Единого портала госуслуг достигло 40 млн человек.
Утечки данных в мире растут
В конце февраля 2017 года правоохранительным органам КНР удалось предотвратить шесть крупномасштабных операций по краже персональных данных, полиция арестовала 138 подозреваемых в 14 точках города Гуанчжоу. По данным следствия, было украдено более 100 млн личных данных: от почтовых адресов до истории телефонных звонков. Преступники приобретали данные потерпевших у сотрудников банков, крупнейших телекоммуникационных и логистических компаний. Полученную информацию они перепродавали.
В феврале 2017 года злоумышленники, имея в распоряжении ПДн и банковскую информацию 143 тыс. американцев, создавали фальшивые документы, удостоверяющие личность. Подделки использовались для открытия кредитных счетов в магазинах и совершения покупок.
В Индии под угрозой оказались биометрические данные 1 млрд человек: анкетные данные, отпечатки пальцев и фотографий радужной оболочки глаза. В системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев.
В декабре 2016 года стало известно о краже базы данных, содержащих имена, даты рождения, адреса, телефонные номера, сведения о семейном положении, финансовую информацию и прочие данные 203 млн клиентов компании Experian. Хакеры намеревались продать украденную информацию за 600 долларов.
В организации еще одной «мега-утечки», целью которой были сбор и продажа персональных данных 24 млн клиентов компании, обвиняются руководитель и несколько высокопоставленных сотрудников корейской компании Homeplus (подразделение британской Tesco PLC). Фигурантам дела удалось продать собранную информацию страховым компаниям. Объем выручки от незаконной сделки составил 21,14 млн долларов.
В марте 2017 года в распоряжении специалиста по безопасности из США оказались данные 33,6 млн американских пользователей, в том числе военнослужащих. База содержит адреса и телефоны, места работы и должности, а также данные об уровне доходов граждан США. Владельцем базы оказалась организация, которая собирает и продает различные корпоративные данные для проведения «маркетинговых кампаний».
Введения единого идентификационного документа грозит России грандиозными утечками
По мере цифровизации происходит и значительно больше утечек ПДн, масштаб которых ограничен разве что размером базы данных компании или организации. Основную угрозу несут атаки на крупные сервисы, которые хранят огромные массивы информации. В 2016 году в мире было зафиксировано 44 «мега-утечки» (против 21 в 2015 году), в результате каждой из которых «утекло» не менее 10 млн персональных данных, совокупно на «мега-утечки» пришлось 94,6% всех скомпрометированных записей.
В России продолжают обсуждать возможности введения единого идентификационного документа, приравненного к паспорту гражданина страны. Напомним, концепция единого универсального электронного документа гражданина уже была опробована в рамках проекта УЭК. Кроме того, во время проведения Кубка конфедераций FIFA 2017 и Чемпионата мира FIFA 2018 по футболу в России будут использоваться электронные паспорта болельщиков, которые позволят гостям турниров не только получить доступ к спортивным объектам, но и осуществить безвизовый въезд на территорию РФ. Введение электронных паспортов, удостоверяющих личность граждан, является лишь делом времени, а это означает, что количество «краж личности» может резко вырасти.
Если до сих пор российским разработчикам удается своевременно адаптировать свои ИТ-решения для защиты данных даже по наиболее уязвимым каналам передачи информации, то по мере роста вовлеченности персональных данных граждан в работу корпоративных и государственных электронных систем, для обеспечения их безопасности потребуется координированная работа государства и бизнес-сообщества. При этом проблема безопасности персональных данных не сводится только к одной их защите, а существует как минимум еще один аспект, на который следует обратить особое внимание — это возможность извлечения информации из сверхбольших объемов данных.