Низкую зарплату сотрудников в России назвали причиной утечки данных
У каждого российского пользователя в среднем есть 15 идентификаторов — наборов данных, которые он оставляет государству или различным компаниям для подтверждения своей личности. Такие данные содержатся в исследовании EY, передает корреспондент РБК с презентации работы. Так, у 70% российских пользователей есть профиль в Единой системе идентификации и аутентификации (ЕСИА), одна сим-карта, банковская карта, аккаунты на нескольких интернет-сайтах.
В Москве количество идентификаторов еще выше — в среднем 24 идентификатора на каждого пользователя.
Чем больше компаний, которые собирают данные о пользователях, тем выше вероятность их утечки, отметил руководитель центра технологий, медиа и телеком EY Юрий Гедгафов. По оценке EY, 88% утечек данных пользователей в России происходит по вине сотрудников компаний, которые эти данные запрашивали. Тогда как в мире этот показатель равен 56%.
Гедгафов указывает, что средняя зарплата сотрудника, который имеет доступ к данным, в России составляет 27 тыс. руб. Аналогичную сумму можно получить, продав на черном рынке две-три записи с персональными данными, отметил эксперт EY. При этом за весь 2018 год в стране было подано менее ста исков, связанных с утечками персональных данных.
За последний месяц появилась информация сразу о нескольких утечках данных клиентов банков:
- В начале октября в Сеть утекли данные держателей кредитных карт Сбербанка. Продавец утверждал, что у него в распоряжении около 60 млн записей, банк подтвердил утечку данных 5 тыс. клиентов.
- Позднее другой продавец выставил а профильном форуме, как он утверждал, данные 11,5 тыс. клиентов Сбербанка. Вскоре он был задержан. Выяснилось, что утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал банк (после утечки банк объявил о расторжении договора).
- В конце октября на одном из специализированных форумов появилось объявление о продаже данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования».
- В начале ноября на черном рынке появилась база данных вкладчиков ВТБ, которая включает 5 тыс. строк.
Для повышения безопасности данных необходимо переходить к модели, когда при необходимости подтвердить личность пользователя компания обращается к специальному ID-провайдеру и получает от него не данные, а ответ, что этот человек подходит под определенные критерии (например, что ему можно выдать кредит). Такой ответ может передаваться с использованиях технологии блокчейн. То есть ограничить распространение данных. ID-провайдер может быть один или несколько, в его роли может выступать государство или различные компании. Но в странах, где уже есть несколько крупных игроков с большими базами данных о пользователях, как, например, в России, модель с единым ID-провайдером, скорее всего, не получится реализовать из-за конкуренции между этими компаниями, отметил Гедгафов. Кроме того, необходимо при хранении данных внедрять системы, которые позволят отследить всех, кто получит доступ к данным.