Эксперты выявили резкий рост слитых из банков данных о клиентах

   В 2023 году из банков и финансовых компаний утекло 170,3 млн записей персональных данных клиентов - больше, чем население России, подсчитали в InfoWatch. За год их число выросло в 3,2 раза. Жертвы могли попасть в базы неоднократно.
   В 2023 году из российских финансовых организаций утекло 170,3 млн записей персональных данных клиентов (без учета платежных данных) - это больше, чем в 2022 году, в 3,2 раза; по сравнению с 2021 годом показатель подскочил почти в 57 раз. Об этом говорится в исследовании экспертно-аналитического центра (ЭАЦ) компании InfoWatch об утечках из финансового сектора за 2021-2023 годы (есть у РБК).
   Всего российские финансовые организации допустили 64 случая потери персональных данных клиентов, что превышает показатели 2022 года на 12,3%, а 2021 года - почти вдвое. Примерно половина утечек - 46,9% - пришлась на банки. С компрометацией данных клиентов также сталкиваются микрофинансовые организации (МФО), платежные сервисы, криптобиржи, традиционные биржи, инвестиционные компании и другие участники финансового рынка.
   "Существенный рост количества инцидентов связан с активизацией организованных групп хакеров, прежде всего - политически мотивированных хактивистов, на фоне проведения СВО (специальной военной операции России на Украине. - РБК). Их главными задачами стали подрыв устойчивости, психологическое давление на финансовые организации и запугивание клиентов", - отмечают авторы исследования.
   Как указано в отчете, когда злоумышленникам удавалось взломать системы российских банков и других финансовых компаний, то украденные данные, как правило, размещались в открытом доступе. В дальнейшем они использовались хакерами для проведения фишинговых атак и реализации различных мошеннических схем, в том числе с использованием методов социальной инженерии (обман клиентов), поясняет руководитель направления аналитики и специальных проектов ЭАЦ InfoWatch Андрей Арсентьев.
   Ранее свою оценку слитым персональным данным в 2023 году дал Роскомнадзор. По оценкам ведомства, всего в прошлом году произошло 168 утечек персональных данных из российских компаний (не только финансовых). В открытый доступ попало 300 млн записей. По информации сервиса DLBI, за прошлый год в Сеть утекли 240 млн уникальных телефонных номеров россиян, в эту статистику входят не только банки и финансовые организации, но и сегмент электронной коммерции, компании здравоохранения, досуга и т.п.

Методология исследования

   Исследование InfoWatch проведено на основе среза данных из базы утечек, которую ведет компания. В отчете также представлены результаты опроса среди российских организаций по поводу их информированности об утечках. Персональными данными клиента считаются все виды информации, которая прямо или косвенно относится к физическому лицу, кроме платежных данных. Обычно из финансовых организаций утекают Ф.И.О., паспортные данные, номер телефона, адрес регистрации, адрес электронной почты и т.п., которые принадлежат клиентам.

Как утекают данные

   Как отмечают авторы исследования, доля банков в распределении утечек по типу участников рынка остается стабильно высокой на протяжении всех трех лет - не ниже 45%. При этом в 2023 году резко вырос процент инцидентов, допущенных страховыми компаниями, - с 3,5% в 2022 году до 25%. Одновременно с этим снизилась доля утечек из МФО (с 14% в 2022 году до 9,4%).
   87,5% утраченных записей относились к персональным данным клиентов банков и финансовых организаций, указывают в InfoWatch. На втором месте находятся данные, составляющие коммерческую тайну, - 7,8%. На третьем месте (3,1%) - платежные сведения.
   Большинство утечек в 2023 году произошли в результате кибератак - 87,5%. Для сравнения: в 2022 году этот показатель составлял 84,2%, а в 2021-м был значительно меньше - 57,6% случаев. Доля инцидентов из-за умышленных действий внутренних нарушителей (сотрудников банков и компаний), наоборот, снизилась - с 21,2% в 2021 году до 8,8% в 2022-м и 4,7% в 2023-м. Похожая динамика отмечается и в утечках, допущенных из-за случайных действий внутренних нарушителей: если в 2021 году их доля составляла 21,2%, то в 2023-м - уже 1,6%.
   "Часть кибератак может носить гибридный характер, то есть, вероятно, они совершаются с привлечением лиц, работающих в финансовых организациях, или являются прикрытием для внутренних хищений. Исходя из этого, доля инцидентов, связанных с действиями внутренних нарушителей, формально снизилась", - отмечают авторы исследования. Они добавляют, что такую динамику также можно объяснить и эффективной работой компаний по настройке мер против нарушений со стороны сотрудников.

Ситуация в мире

   Россия находится на втором месте среди стран по утечкам в финансовом секторе, следует из данных экспертно-аналитического центра InfoWatch. В 2023 году на нее пришлось 6,1% от общего числа таких инцидентов, годом ранее - 9,8%, а в 2021 году - 21,2%.
   Лидером в этом рейтинге являются США (44,3% всех утечек в прошлом году). Всего в 2023 году эксперты InfoWatch зафиксировали в мире 1049 утечек конфиденциальной информации из банков и других финансовых организаций. За год этот показатель вырос на 79,5%, а по сравнению с 2021 годом - в 6,7 раза.
   В результате утечек были скомпрометированы 4,324 млрд записей персональных данных клиентов. "Фактически утекла информация более половины населения Земли. Однако, скорее всего, реальное количество пострадавших от утечек людей все-таки меньше, поскольку некоторые вкладчики банков, клиенты страховых компаний и держатели криптокошельков могли стать жертвами инцидентов неоднократно", - рассуждают авторы отчета.

Источник: РБК https://www.rbc.ru/finances/15/02/2024/65ccbe239a7947312bd15991

15.02.2024