2023 год был насыщенным как в законотворчестве, так и в части масштабных взломов и хакерских атак. Общий тренд ИБ – ужесточение законодательства и рост количества инцидентов. Постоянное развитие в сфере кибербезопасности и максимальное внимание защите информации становится не только способом избежать серьезных штрафов за несоответствие требованиям НПА, но и жизненной необходимостью для организаций.
Защита персональных данных
В 2023 году законодатели сосредоточились на вопросах, касающихся хранения и обработки ПДн. Вновь принятые НПА ужесточают требования и повышают ответственность компаний, работающих с ПДн.
В частности:
1 марта 2023 года вступили в силу правки в Федеральный закон № 152-ФЗ от 27.06.2006, касающиеся уничтожения ПДн, их трансграничной передачи, порядка ведения учёта связанных с ними инцидентов и ряда иных моментов.
Внесены изменения в Федеральный закон №218-ФЗ от 13.07.2015. С 2023 года предоставление персональных данных собственников из ЕГРН могут предоставляться третьим лицам только при наличии надлежащим образом оформленного согласия. Также правки определяют перечень лиц-исключений, которым не требуется согласие субъекта.
4 декабря в Госдуму поступили для рассмотрения два законопроекта:
Предлагается дополнить УК РФ новой статьей – 272.1. Статья будет предусматривать ответственность за незаконное хранение, сбор, обработку и передачу неправомерно полученных ПДн. В зависимости от квалифицирующих признаков злоумышленников ждет ответственность в виде штрафов до 1 миллиона рублей, лишение свободы на срок до 6 лет или лишение права на занятие определенных должностей / выполнение видов деятельности сроком до 3 лет.
Инициировано внесение изменений в ст.13.11 КоАП РФ. Предполагается, что сумма штрафа за утечку ПДн для ИП и юр.лиц будет напрямую зависеть от объема «пострадавших» субъектов ПДн. Минимальный штраф при этом составит 3 миллиона рублей (если «утекли» данные 1-10 тысяч субъектов), а максимальный достигнет 15 миллионов рублей (если утечка охватывает данные 100 тысяч субъектов и более). За повторные нарушения объем штрафных санкций будет варьироваться в диапазоне 15 – 500 миллионов рублей.
Ещё одно знаковое событие 2023 года – введение новой, третьей, формы национальной валюты РФ – цифрового рубля. Основные моменты, касающиеся правового статуса, порядка проведения операций и других важных деталей, связанных с цифровой валютой, регламентированы комплексом НПА, куда вошли:
Федеральный закон № 339-ФЗ от 24.07.2023;
№ 340-ФЗ от 03.08.2018;
Положение ЦБ РФ № 820-п от 03.08.2023.
Пилотный проект по проведению операций с цифровым рублем стартовал 15 августа 2023 года. В нем принимают участие 13 банков в 11 городах России. Круг клиентов, участвующих в «пилоте», пока небольшой. Планируется, что пилотный проект продлится в течение всего 2024 года, а в 2025 обычные граждане и бизнес уже смогут активно пользоваться цифровым рублем наравне с двумя другими, более привычными формами валюты.
Что касается защиты информации при совершении сделок и иных действий с цифровым рублем - Банк России в августе 2023 года представил проект соответствующего положения. Сейчас документ проходит стадии рассмотрения и согласования.
Биометрия и ограничения в обработкеБиометрическая информация, ее сбор, хранение и обработка до сих пор вызывают противоречивые эмоции как у простых граждан, так и у организаций.
С 1 июня автоматизированная обработка биометрии без использования ЕБС запрещена в соответствии с положениями Федерального закона № 572-ФЗ от 29.12.2022. Даже для того, чтобы установить систему автоматического контроля за охраной труда на производственном предприятии, потребуется подключение к ЕБС – если система умеет узнавать сотрудников «в лицо». Чтобы подключиться к ЕБС понадобиться пройти аккредитацию в Минцифры.
Еще одно важное нововведение было введено в действие в конце года. С 23 декабря вступили в действие изменения в КоАП РФ, предусматривающие усиление ответственности за допущенные нарушения в сфере биометрии. В соответствии с поправками увеличен размер штрафов. Минимальная сумма штрафа выросла с 6 до 10 тысяч рублей, а максимальная увеличилась со 150 до 700 тысяч рублей.
Расширение полномочий Роскомнадзора и ФСТЭК РоссииС 14 февраля 2023 года РКН получил право на проведение внеплановых проверок, если компания допустила распространение в глобальной сети баз данных, содержащих ПДн. Согласно постановлений Правительства № 336 и № 448 в случае подобного инцидента организация не подпадет под действие моратория на проведение контрольных / надзорных мероприятий. Поэтому, в случае утечки или взлома стоит разработать соответствующий план действий и быть готовыми к тому, что придет проверка из Роскомнадзора.
Что касается ФСТЭК – эта служба занимается защитой информации объектов КИИ. В соответствии с Указом Президента РФ ФСТЭК получила более широкие полномочия как в части контроля и мониторинга, так и в сфере разработки процессов технического характера. Теперь служба дополнительно будет заниматься мониторингом состояния безопасности объектов КИИ, разработкой процессов технической защиты информации, учетом объектов КИИ и ИС, а также созданием специализированных ИС.
Самые громкие события и инциденты 2023 года в РоссииВ 2023 году активность киберпреступников возросла в сравнении с 2022 годом. Согласно открытым данным количество инцидентов в сфере кибербезопасности увеличилось примерно на 76-85%.
В первой половине года киберпреступники отдавали предпочтение краткосрочным атакам длительностью до 20 минут. При этом к концу 2023 года значительно выросло количество атак большой длительности (24 часа и более).
Хакеры не «разработали» абсолютно новых, оригинальных методик взлома. Вместо этого делался упор на увеличение количества, мощности и длительности атак. Преступники фокусируются на выявленных уязвимостях в инфраструктуре компаний, активно используют фишинг, вредоносное ПО и техники социальной инженерии.
Необычный метод мошенничества выявлен в сфере здравоохранения. С целью хищения баз данных медицинских учреждений хакеры представляются представителями подрядных организаций Роскомнадзора. План действий довольно прост — клинику уведомляют, что она нарушает № 152-ФЗ, угрожают штрафами и требуют предоставить доступ к базам данных.
Сервисы российского сегмента Википедии оказались под ударом в III квартале 2023 года. В результате DDoS-атаки русскоязычная страница сервиса временно вышла из строя.
Наибольшей «популярностью» у хакеров пользуются сферы ИТ, телекоммуникаций, сельского хозяйства, производственные предприятия и организации финансового сектора.
Востребованность ИТ-сектора объясняется просто. Путем атак на инфраструктуру ИТ-подрядчика злоумышленник получает доступ к данным заказчиков, и в случае взлома, под угрозой оказываются все клиенты пострадавшей подрядной организации.
В декабре 2023 года злоумышленники организовали масштабную DDoS-атаку систем ГИБДД из-за чего в течение 48 часов не функционировал ряд сервисов, а регистрация и постановка автомобилей на учет осуществлялась с использованием бумажных носителей.
Также в открытый доступ попало почти 45 Гб данных с исходными кодами фирменных сервисов Яндекс. Предположительно утечка стала следствием не внешней атаки, а противоправных действий одного или нескольких сотрудников компании.
По данным Роскомнадзора в ушедшем году было зафиксировано более 160 крупных утечек ПДн, из-за чего в открытый доступ попало более 300 миллионов записей.
2 миллиона строк, содержащих пароли, логины и электронные адреса клиентов хакеры похитили в результате взлома баз данных сети косметических магазинов «Подружка».
3,5 миллиона строк из баз данных Mail.ru попали в открытый доступ вследствие преступных действий хакерской группы NLB. «Слитая» часть данных сервиса содержит имена, почтовые адреса и телефонные номера пользователей. По заявлениям представителей NLB, общий объем похищенных данных составляет около 2 миллиардов строк, однако оставшиеся данные группировка не публиковала.
Злоумышленники не обошли своим вниманием и сферу образования. После атаки на сервисы «Российской электронной школы» в сети оказалось около 9 миллионов уникальных строк с чувствительными данными сотрудников и учеников.
В публичный доступ попала часть баз данных ОАО «РЖД». Злоумышленники выложили более миллиона уникальных строк, содержащих паспортные данные пассажиров, сведения о купленных билетах и другую информацию. Ранее сервисы компании подвергались массированной DDoS-атаке, из-за чего была нарушена работа мобильного приложения, сайта и ряда виртуальных сервисов.
14 миллионов строк с ФИО, логинами, паролями и датами рождения были опубликованы киберпреступниками в результате взлома сервиса kassy.ru.
Хакерская группировка NLB взломала базы данных МТС Банка. Злоумышленники заявили об успешном хищении 21 миллиона строк, однако в публичный доступ выложили только 1 миллион.
Более 30 миллионов строк было украдено и опубликовано после масштабной июньской атаки на несколько крупных сетей ритейлеров.
99 миллионов строк — таков объем утечки ПДн из-за взлома базы данных клиентов сети магазинов «Спортмастер». Помимо телефонных номеров, электронных адресов и имен «слитый» архив также содержит даты рождения клиентов.
Среди менее крупных взломов 2023 года можно отметить:
данные 210 тысяч пользователей ИТ-издательства «Открытые системы»;
430 тысяч строк было похищено у сервиса «Рулю.ру» - агрегатора заказов для автокурьеров и водителей такси. Украденная информация содержала ФИО, электронные адреса, телефонные номера, данные банковских карточек. Номера водительских удостоверений. Преступники не стали требовать выкуп, а просто выложили информацию в свободный доступ.
500 тысяч строк архива похитили при взломе ресурса «Навигатор поступления».
Тенденции ИБ, на которые стоит обратить внимание в 2024 году
2024 год обещает стать значимым и насыщенным событиями в сфере ифнормационной безопасности.
В первую очередь компаниям стоит учесть, что в 2024 году завершается трансформация сферы ИБ, предусмотренная Указом Президента РФ №250 от 01.05.2022 г. Поэтому стоит вспомнить о необходимости организации отдельной службы информационной безопасности и принять соответствующие управленческие решения, если компания не сделала этого ранее. Вступают в силу положения, предусматривающие индивидуальную ответственность за киберинциденты для зам.ген.директора по ИБ (вплоть до уголовного преследования).
Предписание о замене иностранного программного обеспечения на российские аналоги должно быть исполнено до 2025 года. Это значит, что на 2024 год необходимо запланировать такие ключевые процессы замены, как подбор, закупка, внедрение и запуск нового ПО.
Со второго полугодия 2024 года вступает в силу Постановление № 1912 от 14.11.2023 г., предусматривающее обязанность согласовать с регулирующим органом мероприятия по переходу на отечественное ПО. Чтобы немного упростить процесс перехода и избежать необходимости получения дополнительных согласований, стоит запланировать большую часть мероприятий на начало года.
Ожидается, что количество атак хакеров в 2024 году будет только расти, при этом киберпреступники будут применять все более изощренные, продуманные и масштабные методы атак. Этот фактор имеет критическое значение, компаниям стоит задуматься о разработке стратегии в сфере информационной безопасности, предполагающей не только краткосрочные шаги по исполнению требований НПА, но также постоянное совершенствование, поиск новых рисков и уязвимостей, их оперативное устранение.
