Эксперты выявили резкий рост слитых из банков данных о клиентах

В 2023 году из банков и финансовых компаний утекло 170,3 млн записей персональных данных клиентов — больше, чем население России, подсчитали в InfoWatch. За год их число выросло в 3,2 раза. Жертвы могли попасть в базы неоднократно

В 2023 году из российских финансовых организаций утекло 170,3 млн записей персональных данных клиентов (без учета платежных данных) — это больше, чем в 2022 году, в 3,2 раза; по сравнению с 2021 годом показатель подскочил почти в 57 раз. Об этом говорится в исследовании экспертно-аналитического центра (ЭАЦ) компании InfoWatch об утечках из финансового сектора за 2021–2023 годы (есть у РБК).

Всего российские финансовые организации допустили 64 случая потери персональных данных клиентов, что превышает показатели 2022 года на 12,3%, а 2021 года — почти вдвое. Примерно половина утечек — 46,9% — пришлась на банки. С компрометацией данных клиентов также сталкиваются микрофинансовые организации (МФО), платежные сервисы, криптобиржи, традиционные биржи, инвестиционные компании и другие участники финансового рынка.

«Существенный рост количества инцидентов связан с активизацией организованных групп хакеров, прежде всего — политически мотивированных хактивистов, на фоне проведения СВО (специальной военной операции России на Украине. — РБК). Их главными задачами стали подрыв устойчивости, психологическое давление на финансовые организации и запугивание клиентов», — отмечают авторы исследования.

Как указано в отчете, когда злоумышленникам удавалось взломать системы российских банков и других финансовых компаний, то украденные данные, как правило, размещались в открытом доступе. В дальнейшем они использовались хакерами для проведения фишинговых атак и реализации различных мошеннических схем, в том числе с использованием методов социальной инженерии (обман клиентов), поясняет руководитель направления аналитики и специальных проектов ЭАЦ InfoWatch Андрей Арсентьев.

Ранее свою оценку слитым персональным данным в 2023 году дал Роскомнадзор. По оценкам ведомства, всего в прошлом году произошло 168 утечек персональных данных из российских компаний (не только финансовых). В открытый доступ попало 300 млн записей. По информации сервиса DLBI, за прошлый год в Сеть утекли 240 млн уникальных телефонных номеров россиян, в эту статистику входят не только банки и финансовые организации, но и сегмент электронной коммерции, компании здравоохранения, досуга и т.п.

Методология исследования
Исследование InfoWatch проведено на основе среза данных из базы утечек, которую ведет компания. В отчете также представлены результаты опроса среди российских организаций по поводу их информированности об утечках. Персональными данными клиента считаются все виды информации, которая прямо или косвенно относится к физическому лицу, кроме платежных данных. Обычно из финансовых организаций утекают Ф.И.О., паспортные данные, номер телефона, адрес регистрации, адрес электронной почты и т.п., которые принадлежат клиентам.

Как утекают данные

• Как отмечают авторы исследования, доля банков в распределении утечек по типу участников рынка остается стабильно высокой на протяжении всех трех лет — не ниже 45%. При этом в 2023 году резко вырос процент инцидентов, допущенных страховыми компаниями, — с 3,5% в 2022 году до 25%. Одновременно с этим снизилась доля утечек из МФО (с 14% в 2022 году до 9,4%).
• 87,5% утраченных записей относились к персональным данным клиентов банков и финансовых организаций, указывают в InfoWatch. На втором месте находятся данные, составляющие коммерческую тайну, — 7,8%. На третьем месте (3,1%) — платежные сведения.
• Большинство утечек в 2023 году произошли в результате кибератак — 87,5%. Для сравнения: в 2022 году этот показатель составлял 84,2%, а в 2021-м был значительно меньше — 57,6% случаев. Доля инцидентов из-за умышленных действий внутренних нарушителей (сотрудников банков и компаний), наоборот, снизилась — с 21,2% в 2021 году до 8,8% в 2022-м и 4,7% в 2023-м. Похожая динамика отмечается и в утечках, допущенных из-за случайных действий внутренних нарушителей: если в 2021 году их доля составляла 21,2%, то в 2023-м — уже 1,6%.
• «Часть кибератак может носить гибридный характер, то есть, вероятно, они совершаются с привлечением лиц, работающих в финансовых организациях, или являются прикрытием для внутренних хищений. Исходя из этого, доля инцидентов, связанных с действиями внутренних нарушителей, формально снизилась», — отмечают авторы исследования. Они добавляют, что такую динамику также можно объяснить и эффективной работой компаний по настройке мер против нарушений со стороны сотрудников.

Россия находится на втором месте среди стран по утечкам в финансовом секторе, следует из данных экспертно-аналитического центра InfoWatch. В 2023 году на нее пришлось 6,1% от общего числа таких инцидентов, годом ранее — 9,8%, а в 2021 году — 21,2%.

Лидером в этом рейтинге являются США (44,3% всех утечек в прошлом году). Всего в 2023 году эксперты InfoWatch зафиксировали в мире 1049 утечек конфиденциальной информации из банков и других финансовых организаций. За год этот показатель вырос на 79,5%, а по сравнению с 2021 годом — в 6,7 раза.

В результате утечек были скомпрометированы 4,324 млрд записей персональных данных клиентов. «Фактически утекла информация более половины населения Земли. Однако, скорее всего, реальное количество пострадавших от утечек людей все-таки меньше, поскольку некоторые вкладчики банков, клиенты страховых компаний и держатели криптокошельков могли стать жертвами инцидентов неоднократно», — рассуждают авторы отчета.