Суд в Москве признал компанию «ВК» виновной в утечке данных пользователей почты на Mail.ru и назначил ей административный штраф в размере 60 тыс. руб. Причиной инцидента признано проникновение внешнего злоумышленника в апреле 2022 года в тестовый контур ИТ-инфраструктуры оператора. О том, зачем взламывают аккаунты пользователей, какие от этого могут быть последствия и как обезопасить себя от хакеров,— «Ъ-Кубань» рассказал директор краснодарской IT-компания «Вангард софт» (занимается разработкой программного обеспечения для аппаратного программного комплекса «Безопасный город») Виктор Тонконог.
Виктор Тонконог
Фото: предоставлено автором
«Злоумышленники могут использовать похищенные данные (ID, почтовые адреса, логины, пароли, номера телефонов, адреса, имена фамилии), чтобы через серые базы достать все остальные необходимые сведения: паспортные данные, сведения о прописке, недвижимости, доверенностях и прочее. Гипотетически они могут позвонить в банк с подменного номера, владея полной информаций о жертве, и добиться от банка совершения банком каких-то операций. Банки сейчас борются с этим, но пока это местами все еще возможно. Дистанционно можно даже оформить кредит. Злоумышленники могут украсть у пользователя красивый телефонный номер и потом требовать выкупа, шантажировать иным образом и в итоге доставить человеку массу неприятностей.
Защита от утечек, по сути, это дело общее. Сам пользователь должен стремиться использовать двухфакторную идентификацию, причем желательно не через sms, а через отдельное приложение, где коды авторизации меняются очень часто — такую авторизацию перехватить практически невозможно, если не иметь доступа к его устройству.
Но это не панацея. В случае с ВК мы видим, что утечка произошла через другой канал, то есть эта проблема — уже в зоне ответственности оператора данных. И здесь следует сказать, что современных систем безопасности и используемых ими алгоритмов достаточно для того, чтобы обеспечить безопасность. Просто их нужно использовать и внедрять. И второе: как правило, ведущие компании активно внедряют системы безопасности. Вывод: в основном причиной утечек является человеческий фактор. Так что ответственность компании еще и в том, чтобы снизить его влияние.
И конечно, далеко не последнюю роль в формировании самой культуры информационной безопасности играет государство. Возьмем две ситуации. Первая: у руководителя организации при проверке на рабочем столе выявили ксерокопию паспорта сотрудника — это нарушение закона о персональных данных, штраф от 30 тыс. руб. Вторая: произошедшее в ВК — тоже нарушение закона о персональных данных, штраф тот же. Сопоставимы ли последствия? Стимулирует ли закон к тому, чтобы оператор данных относился к подобным утечкам серьезно? Очевидно, что законодательство в этой части у нас не отработано, что и делает возможными подобные инциденты».
Читайте нас в Telegram 