Базы тянут ко дну

В первом квартале 2025 года в публичный доступ были впервые выложены 67 баз данных российских компаний — количество утечек подсчитали специалисты компании F6. Хотя это на 28 меньше, чем за три первых месяца прошлого года, утечки остаются одной из главных киберугроз для российского бизнеса. Кроме того, они грозят компаниям колоссальными финансовыми потерями: в рамках закона об оборотных штрафах размеры санкций могут достигать полумиллиарда рублей в случае, если установлено нарушение закона о персональных данных. «Ъ-Review» разбирался, что приводит к утечкам данных в России, какой ущерб они несут для компаний и какие защитные решения помогают их предотвращать.

Выйти из полноэкранного режима

Развернуть на весь экран

Анатомия утечек

С января по март 2025 года аналитики департамента киберразведки компании F6 зафиксировали 67 новых случаев публикации баз данных российских компаний, оказавшихся на андерграундных форумах и в тематических Telegram-каналах. По сравнению с аналогичным периодом прошлого года количество баз уменьшилось на 29% — в первом квартале 2024 года было опубликовано 95 баз данных. Об этом на совместной пресс-конференции Ассоциации BISA и ГК InfoWatch рассказал технический директор компании F6 Никита Кислицин.

Более 46% от всех публичных утечек в 2025 году приходится на ритейл и интернет-магазины. 13% — утечки государственного сектора. Кроме того, в зоне риска по-прежнему находятся IT-компании, интернет-сервисы, телеком и образовательные порталы. Как и раньше, большинство похищенных баз данных в этом году были выложены в публичный доступ бесплатно для нанесения ущерба компаниям и их клиентам. В открытом доступе оказалось порядка 99,7 млн строк пользовательских данных, среди которых можно выделить такую чувствительную информацию, как ФИО, адреса, пароли, даты рождения, паспортные данные и телефонные номера.

По словам руководителя направления «Инженерные инструменты» платформы «Сфера» (IT-холдинг Т1) Евгения Калашникова, утечки данных в российских компаниях зачастую связаны с тем, что последние все чаще внедряют цифровые решения и приложения, которые аккумулируют большие массивы персональных сведений. Однако не все организации, начиная работать с конфиденциальными материалами, обладают достаточными ресурсами для их защиты и придерживаются актуальных мер безопасности, в результате чего количество инцидентов увеличивается.

Утечки данных — проблема не новая и не исключительно российская, дополняет руководитель развития бизнеса по защите данных Positive Technologies Виктор Рыжков. Как правило, мотивация злоумышленников сводится к финансовой выгоде: украденные данные можно перепродать в дарквебе, использовать для мошенничества или вымогательства, а также для развития дальнейшей цепочки атак. Однако за последние годы все большую роль стала играть иная мотивация — хактивизм, стремление выразить политическую, социальную или идеологическую позицию через кражу данных из определенных компаний, говорит собеседник «Ъ-Review».

Удар по бюджетам

Последствия утечек могут быть самыми разными: по словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, киберпреступники могут использовать похищенные данные для пользовательского фишинга, целевых атак на компании (к примеру, если в базе данных есть рабочие почты) и для других целей. При этом для самой компании, допустившей утечку, это серьезный удар по репутации и потеря доверия со стороны клиентов и партнеров.

«Кроме того, за утечку персональных данных законодательно предусмотрена ответственность, которая может включать в том числе крупные денежные штрафы»,— говорит собеседник «Ъ-Review».

До недавнего времени критичность угрозы не соответствовала уровню ответственности: по словам Виктора Рыжкова, ранее максимальный штраф за утечку персональных данных для компаний не превышал 100–300 тыс. руб., что для крупного бизнеса практически незаметно. Однако эта ситуация меняется. В конце 2024 года официально был принят так называемый закон об оборотных штрафах, который позволяет назначать штрафы в размере от 0,05% до 3% от годовой выручки компании (но не более 500 млн руб.), если установлено нарушение закона о персональных данных.

А с 30 мая 2025 года вступили в силу поправки в КоАП РФ, касающиеся защиты персональных данных — они грозят операторам миллионными штрафами за утечку сведений о гражданах и несоблюдение порядка уведомлений Роскомнадзора. Как сообщали в управлении по организации борьбы с противоправным использованием IT-технологий МВД России, в случае, если действия или бездействия организации обернутся незаконной передачей данных 1–10 тыс. человек, штраф для должностных лиц составит 200–400 тыс. руб., а для компаний и ИП — 3–5 млн руб.

При этом штрафы за распространение специальных категорий персональных данных — например, о здоровье — доходят до 15 млн руб. «Кроме того, вводится ответственность за несообщение об утечке — до 3 млн руб., несвоевременное или полное отсутствие уведомления о начале обработки данных — до 300 тыс. руб., отказ в обслуживании из-за отказа от биометрии — до 500 тыс. руб.»,— отмечали в управлении.

Одна из угроз утечек персональных данных у российских компаний связана с так называемыми тестовыми средами, набором программного и аппаратного обеспечения для проверки работоспособности решений. Тестовые среды применяются в самых разных бизнес-сегментах: от IT до ритейла и онлайн-торговли. Как говорит в беседе с «Ъ-Review» руководитель группы аналитиков по информационной безопасности Лиги Цифровой Экономики Виталий Фомин, тестовые среды позволяют выявить ошибки и уязвимости в коде до ввода в эксплуатацию. Разработчики также могут заранее испытать интеграцию решения с другими сервисами и протестировать сценарии отказов и нагрузки.

«Основная проблема тестовых сред заключается в том, что для достоверной проверки зачастую требуются реальные или приближенные к ним условия. Поэтому в них используются копии настоящих баз данных, то есть действительно содержащие персональную информацию»,— отмечает господин Фомин. Таким образом, создается угроза конфиденциальности пользователей: поскольку тестовые среды редко защищены так же хорошо, как эксплуатируемые системы, они становятся легкой мишенью для хакеров и инсайдеров.

Алгоритмы защиты

Проблему утечек персональной информации в тестовых средах можно решить при помощи маскирования — замены реальных данных их модифицированными версиями, не содержащими чувствительной информации. При этом обезличенные данные сохраняют все ключевые характеристики исходных и подходят для тестирования. Наличие множества алгоритмов маскирования позволяет выбрать оптимальный для конкретного случая. Например, подмена или редактирование данных — самые простые и популярные варианты.

«К более сложным алгоритмам, которые требуют больших операционных затрат и усилий, относятся генерация фейковых значений (замена исходной информации искусственной) и токенизация (присвоение реальным данным уникальных идентификаторов для маскировки)»,— говорит господин Фомин.

Маскирование персональных данных не просто механизм защиты информации, но и средство, благодаря которому компании могут подстраховать себя от огромных штрафов. Однако после ухода зарубежных вендоров на рынке возникли трудности с доступностью решений для маскирования, говорит в беседе с «Ъ-Review» Евгений Калашников.

Со временем ситуация начала стабилизироваться: сегодня на рынке представлен широкий спектр решений для защиты данных, включая сертифицированные ФСБ России криптографические средства, программные продукты для маскирования и токенизации данных, а также специализированные решения для обезличивания персональных данных. В то же время число российских разработчиков, предлагающих такие решения, остается ограниченным.

В последние годы в этой области активно развиваются проекты, реализуемые в сотрудничестве с научными и образовательными учреждениями. Например, в 2023–2024 годах Национальный технологический центр цифровой криптографии (НТЦЦК) совместно с ведущими организациями, такими как НИУ ВШЭ, ЦИТП РАН и МГТУ имени Баумана, а также при участии компании «Спутник» работал над созданием новых методов защиты информации. Эти разработки основаны на результатах фундаментальных исследований, проведенных Академией криптографии РФ в 2018–2022 годах.

«Современные алгоритмы обезличивания и маскирования данных требуют глубокой научной проработки. Успешная реализация ряда наших проектов подтвердила, что такие решения не только эффективны, но и полностью соответствуют требованиям российского законодательства в области безопасности данных»,— говорит гендиректор компании «Спутник» Андрей Буланов.

Заместитель генерального директора НТЦЦК Сергей Минаков в беседе с «Ъ-Review» подчеркивает, что взаимодействие с разработчиками и аналитиками позволило создать программное обеспечение, которое активно используется в аналитической лаборатории обезличивания персональных данных центра. Таким образом, отечественные разработки в области защиты данных продолжают развиваться, предлагая решения, которые отвечают как современным вызовам, так и требованиям регуляторов.

Данные под замком

Основное преимущество маскирования данных состоит в превентивности: утечка конфиденциальных данных и несанкционированный доступ предотвращаются еще до инцидента, говорит Виталий Фомин. Такой подход обеспечивает безопасность данных не только на финальном этапе, но и в процессе разработки — даже у тестировщиков нет доступа к реальным данным. Это помогает избежать раскрытия сведений, в том числе из-за человеческого фактора.

«Неоспоримый плюс — сложность расшифровки до исходного состояния для злоумышленника. Это связано с дополнительными затратами при подборе соответствующего алгоритма»,— отмечает собеседник «Ъ-Review».

Гарантированная стойкость защиты может быть обеспечена с использованием сертифицированных криптографических средств защиты (СКЗИ), дополняет Сергей Минаков. Как и в случае с шифрованием, здесь имеются варианты реализации маскирования путем токенизации данных с сохранением формата — наглядным примером этого являются процедуры токенизации идентификаторов при электронных платежах с банковских карт в России и других странах.

А для других методов обезличивания удобно использовать такие возможности СКЗИ, как рандомизация параметров обезличивания и электронная подпись для заверения и контроля целостности обезличенных массивов данных. При этом для многих задач, таких как разработка, тестирование или аналитика, не нужны реальные данные — достаточно данных, которые похожи на них по структуре и статистическим характеристикам, отмечает Андрей Буланов. Именно обезличивание данных позволяет создать такие наборы, сохраняя при этом конфиденциальность информации.

«Обезличивание данных — это не просто техническая необходимость, а ключевой элемент защиты информации. Оно позволяет минимизировать риски утечек и их последствия, обеспечить соответствие законодательным требованиям, а также cохранить возможность эффективно работать с данными, не подвергая их риску»,— заключает господин Буланов.

Павел Тихонов