Информация о клиентах слишком часто оказывается в руках самых низкооплачиваемых сотрудников
Средний российский пользователь предоставляет свои данные 15 контрагентам: госсистемам, операторам связи, банкам, интернет-сайтам и др. Число таких организаций и низкая зарплата их сотрудников — главные причины утечек, считают в EY.
Средний потребитель в России вынужден проходить идентификацию и предоставлять данные в 15 и более различных организаций. К такому выводу в своем исследовании пришла EY (РБК ознакомился с презентацией). В Москве подобных организаций на одного пользователя приходится еще больше — в среднем 24.
Чем больше компаний, которые собирают данные о пользователях, тем выше вероятность их утечки, отметил руководитель центра технологий, медиа и телеком EY Юрий Гедгафов.
Чем грозят пользователям массовые утечки данных и как сократить их количество — в материале РБК.
Как оценивали
В рамках исследования EY опросила 1500 респондентов в российских городах с населением более 1 млн человек, провела интервью с экспертами, проанализировала нормативно-правовые акты и открытые источники по теме.
Слишком много людей имеют доступ к данным
Сейчас предоставление данных обязательно при получении госуслуг, покупке сим-карты, получении финансового и медицинского обслуживания, покупке билетов на транспорт дальнего следования, отметил Юрий Гедгафов. Также данные запрашивают различные интернет-сайты и сервисы, например каршеринг или интернет-магазины.
В зависимости от типа сервиса могут запрашиваться персональные (Ф.И.О., биометрия, номера телефона и паспорта и др.) и социальные данные (национальность, здоровье, семья, покупки, фактическое местоположение и др.). Так, у 70% российских пользователей есть профиль в Единой системе идентификации и аутентификации (ЕСИА), одна сим-карта, банковская карта, аккаунты на нескольких интернет-сайтах.
По оценке EY, 88% утечек данных пользователей в России происходит по вине сотрудников компаний, которые их запрашивали. В мире этот показатель равен 56%.
Гедгафов говорит, что средняя зарплата человека, который работает с персональными данными (операциониста банка, сотрудника салона связи, оператора call-центра, сотрудника на ресепшен в гостиницах и бизнес-центрах), в России составляет 27 тыс. руб. Аналогичную сумму можно получить, продав на черном рынке несколько записей с персональными данными, отметил эксперт EY. Например, стоимость истории звонков, СМС и базовых станций, к которым подключался абонент, на сайтах, занимающихся пробивкой данных, составляет около 17 тыс. руб., информации о передвижениях автомобиля — 8 тыс. руб., банковской выписки — 2 тыс. руб.
В январе—июне 2019 года было обнаружено 13 тыс. объявлений о покупке и продаже персональных данных, говорилось в ежегодном докладе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ). В EY указывают, что во многих случаях источника утечки сложно установить.
Примеры утечек
- В начале октября в Сеть утекли данные держателей кредитных карт Сбербанка. Продавец утверждал, что у него в распоряжении около 60 млн записей, банк подтвердил утечку данных 5 тыс. клиентов.
- Позднее другой продавец выставил на профильном форуме, как он утверждал, данные 11,5 тыс. клиентов Сбербанка. Вскоре он был задержан. Выяснилось, что утечка произошла из коллекторского агентства «Национальная служба взысканий», теперь уже бывшего партнера банка.
- В конце октября на специализированном форуме появилось объявление о продаже данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования».
- В начале ноября на черном рынке появилась база данных вкладчиков ВТБ, которая включает 5 тыс. строк.
По оценке HeadHunter, средняя зарплата операционистов банка, продавцов-консультантов компьютерной техники, специалистов сall-центра и ресепционистов в Москве в январе—октябре этого года составляла 43,8 тыс. руб.
Директор департамента информационной безопасности банка «Открытие» Владимир Журавлев согласен с выводом EY: чем больше количество организаций, в которые граждане предоставляют свои персональные данные, тем выше вероятность их утечки. Однако со значимостью фактора низкой зарплаты Журавлев согласился лишь частично: «Известны случаи, когда инсайдерами становились хорошо оплачиваемые сотрудники. Низкая зарплата способствует утечкам, но не является основной причиной». По его мнению, основная причина утечек — безнаказанность лиц, занимающихся сбором и продажей персональных данных. «Всем известно, что в даркнете имеется большое количество ресурсов, на которых продаются базы персональных данных и предоставляются сервисы по пробивке информации о конкретных гражданах. Возможностей правоохранительных органов, по нашему мнению, достаточно, чтобы установить и привлечь к ответственности владельцев этих ресурсов и организаторов этих сервисов, но они годами продолжают свой противозаконный бизнес, а привлекаются к ответственности, как правило, рядовые инсайдеры», — заключил эксперт.
Представитель ВТБ сообщил, что банк обеспечивает своих сотрудников конкурентоспособной заработной платой. «Стоит отметить, что всегда остается риск человеческого фактора, например фотографирование экранов мониторов и распечатывание текста на бумаге», — оговорился он. Представители Сбербанка и Райффайзенбанка отказались от комментариев.
Представители других банков из топ-10, в том числе Альфа-банка, не ответили на вопросы РБК.
Риски для пользователей
- Телефонный или почтовый спам с «уникальным предложением».
- Социальная инженерия (используя данные о пользователе, злоумышленник пытается склонить жертву к тому, чтобы она назвала свой CVV — код на банковской карте для подтверждения транзакции).
- Имитация сетевой активности пользователя для входа в его аккаунт и проведения онлайн-операций от его имени. Подделка голоса и видео пользователя (deepfakes).
Риски для бизнеса
В США получает все большее распространение создание синтетических ID — полностью искусственной личности, когда, например, злоумышленник получает кредит на паспорт несуществующего лица.
Стоимость одной утечки идентификационных данных, по оценке EY, в среднем в мире равна $3,9 млн (прямые убытки, отток онлайн-клиентов, сокращение операций). При нарушении требований о защите данных компании могут быть оштрафованы (в ЕС штраф может составлять 4% от выручки).
EY проанализировала поведение пользователей в 25 странах и пришла к выводу, что опасения за свои данные в среднем на 22% снижают количество транзакций, которые люди проводят онлайн, на 33% уменьшают число онлайн-покупок и на 9% — использование интернета в принципе.
Затраты на регистрацию новых онлайн-клиентов составляют до $180 на клиента, указывают авторы исследования.
Перспективный рынок идентификации
За последние три года инвестиции в проекты, связанные с идентификацией, в мире составили около $2,5 млрд, из которых 71% пришелся на компании, занимающиеся распознаванием лиц. Цифра не учитывает проекты, которые работают с идентификацией не напрямую, а косвенно, уточнил Юрий Гедгафов. Сразу несколько крупных технологических компаний анонсировали свои решения в области идентификации — Intel, Apple, Microsoft, Samsung c Mastercard и др.
В исследовании отмечается, что во многих странах реализуются национальные проекты цифровой идентификации. Например, подобная система в Индии охватывает 94% населения. Она позволила решить проблему отсутствия документов у граждан, в семь раз увеличила количество банковских счетов, снизила риск мошенничества.
Но сами пользователи не заинтересованы в создании единого ID для доступа ко всем сайтам в Сети. В таком случае придется привязать паспорт к аккаунту в игровом сервисе или на сайте знакомств.
Для повышения безопасности данных необходимо переходить к модели, когда при необходимости подтвердить личность пользователя компания обращается к специальному ID-провайдеру и получает от него не данные, а ответ, что этот человек подходит под определенные критерии, например, что ему можно выдать кредит, считают в EY. Такой ответ может передаваться с использованием технологии блокчейн. ID-провайдеров может быть несколько, в такой роли может выступать государственная или частная компания. Но в странах, где уже есть несколько крупных игроков с большими базами данных о пользователях, как в России, модель с единым ID-провайдером, скорее всего, не получится реализовать из-за конкуренции между этими компаниями, отметил Юрий Гедгафов.
Анна Балашова, Евгения Чернышова
По материалам: “РБК”
