Дата
10.01.2024
Автор
Скрыт
Источник
Полит.ру
Сохранённая копия
Internet Archive
Original Material

Татьяна Исакова – об опровержимых доказательствах утечек


Журналистка Татьяна Исакова в издании «Коммерсантъ» пишет:

«Новый год начался с громкого объявления о крупной утечке финансовых данных: 8 января проукраинская группировка Kiborg совместно с NLB (Nice Leak Bro, русскоязычные хактивисты) заявили о публикации якобы украденных еще в октябре данных клиентов Альфа-банка, утверждая, что речь идет о 38 млн человек <…>.

Представители банка утечку и тогда, и сейчас назвали “фейком” и “компиляцией данных из открытых источников”. Несмотря на несоответствие числа клиентов, разобраться, кто прав, хакеры или банк, непросто. <…>.

Похожая история в 2023 году произошла с утечкой у МТС-банка, ответственность за которую также взяла NLB. В компании тогда не подтверждали утечку “банковской тайны и иных чувствительных данных клиентов”. Но в октябре Роскомнадзор подтвердил факт инцидента.

В целом, пока средние штрафы за утечки данных граждан не превышают 60 тыс. руб., компаниям проще отмолчаться или сразу опровергнуть инцидент, ссылаясь на старые данные. Но с введением внушительных штрафов — до 500 млн руб., которые сейчас рассматривает Госдума в рамках соответствующего законопроекта, ситуация может измениться, предупреждают специалисты в области информбезопасности.

Причем дело не только в прямых финансовых последствиях крупных штрафов. Мои собеседники говорят о риске шантажа со стороны злоумышленников, которые могут скомпилировать данные из прошлых утечек и пригрозить выдать их за результат нового инцидента. При высоком уровне штрафов откупиться может быть выгоднее, чем разбираться с регуляторами.

Между тем законопроект, вводящий оборотные штрафы за утечки данных, риска подделки утечек не оговаривает. Глава профильного комитета Госдумы Александр Хинштейн подтвердил, что этот аспект не поднимался в ходе работы над законопроектом, рассмотрение которого запланировано на весеннюю сессию.

Поэтому, признают участники рынка кибербезопасности, компаниям придется самим вырабатывать методы оперативного расследования инцидентов и “их грамотного опровержения”. Например, публично и оперативно проводить проверку данных в слитых базах, будь то ФИО клиентов или номера карт, которые в каждом банке имеют уникальные комбинации цифр, так что выдать ее за карту якобы жертвы уже не удастся».