В прошлую пятницу один из крупнейших страховщиков России сбросил пароли в своей системе. Утечка могла затронуть клиентов десятка других крупных компаний, включая Сбер, «Яндекс» и «Теле2». Ни подтверждения, ни опровержения по этому поводу не последовало. При любом раскладе «АльфаСтрахованию» может грозить штраф до 100 тыс. рублей. Законопроект об оборотных штрафах за утечки данных по-прежнему лежит в Госдуме.
28 апреля телеграм-канал «Утечки информации: GreenTerraInfoTech» сообщил , что хакеры из группировки NLB выложили в открытый доступ личные данные клиентов группы «Альфа Страхование». Якобы в распоряжении злоумышленников оказались более 14 миллионов строк с информацией: ID, E-mail, пароль, ФИО или название организации, телефон, дата рождения и дата последнего входа. Из этого массива данных в открытом доступе выложено около миллиона строк.
Важный момент: в утечке фигурируют данные пользователей корпоративных доменов крупных компаний, таких как Сбер, «Ашан», «Магнит», «Яндекс», «Теле2» и X5 Retail Group. Упоминаются в этом массиве и домены государственных структур: Госдумы, Минфина, Минсельхоза, Минздрава, Минпромторга и ФССП.
Если верить источнику, данные свежие и относятся к 14 апреля текущего года. Канал предполагает, что слитая база данных может быть использована «для обзвона и последующих мошеннических действий».
Проверяют каждого?
В тот же день страховая группа опубликовала комментарий следующего содержания: «АльфаСтрахование» располагает информацией о том, что данные ряда учетных записей для доступа в личный кабинет портала alfastrah.ru и в приложение "АльфаСтрахование Мобайл" могут быть известны третьим лицам. В настоящее время мы проводим проверку этих сведений». Её представители заявили, что выложенная хакерами информация не содержит сведений о полисах, объектах страхования, страховых случаях, платежных и медицинских данных и пр. В то же время компания приняла решение сбросить в своей системе все пользовательские пароли, а клиентов попросили зайти в личные кабинеты и установить новые пароли.
К концу первых майских длинных выходных эта история как будто затихла, о результатах проверки публично не сообщалось. Хотя уместно предположить, что сравнение данных, опубликованных хакерами, и информации на серверах «АльфаСтрахования» занимает не больше пары часов (идентификацией всего списка – миллиона строк – вряд ли кто-то будет заниматься).
Вопрос ответственности
Любопытно, что в августе прошлого года «АльфаСтрахование» провела среди пользователей интернета исследование на тему утечек данных. Оказалось, что около 44% из них так или иначе сталкивались с этой проблемой.
«К сожалению, сами пользователи зачастую не спешат следовать дополнительным мерам безопасности. В любом случае на помощь приходят страховые продукты, например, страхование банковских карт с защитой, в том числе, от мошеннических действий третьих лиц, например, случаев несанкционированного доступа к счету держателя банковской карты», – резюмировала руководитель управления страхования имущества физлиц «АльфаСтрахование» Татьяна Ходеева.
Надо понимать, компания проводила опрос, чтобы затем стимулировать пользователей активнее использовать собственные страховые продукты в случае мошенничества. А спустя полгода, по всей видимости, сама стала жертвой хакеров.
Офис президента Шри-Ланки Ранила Викрамасингхе опроверг слова генкомиссара миграционной службы Харша Илукпития о решении властей не продлевать россиянам и украинцам долгосрочные турвизы.
Если факт утечки подтвердится, «АльфаСтрахование» может отделаться небольшим штрафом. В зависимости от квалификации «преступления», ей грозит выплата суммы от 60 до 100 тыс. руб. (ст. 13.11 КоАП РФ). Максимум – пара-другая сотен тысяч, что в любом случае – сущая мелочь для одной из крупнейших страховых компаний России.
Бить по карману
В России давно ведутся разговоры о существенном ужесточении ответственности за утечку персональных данных. В марте Минцифры внесло на рассмотрение комитета Госдумы по информационной политике законопроект, предусматривающий повышение штрафа за утечку до 500 млн руб. Речь даже зашла о возможном введении уголовной ответственности.
Однако, как пишет Forbes, большой бизнес встал в позу и даже предлагает профильному министерству полностью убрать из законопроекта оборотные штрафы, имея в виду, что компания фактически не виновата, если выполнены все требования по защите данных, но утечка все равно произошла.
Это удобная позиция: доказать, что сделано все возможное для обеспечения информационной безопасности, всегда на порядок легче, чем отбиваться от факта утечки и платить миллионы. Результат в таком случае понятен. Руководитель отдела исследования киберпреступности Group-IB Threat Intelligence Олег Деров приводит интересные данные: «Каждая третья строка из баз данных, выложенных в мире в 2022 году, приходилась именно на российские компании».
Копеечные штрафы не решают проблему, а только усугубляют ее. Когда законодатели решатся ввести оборотные штрафы, бизнесу придется тратиться на создание защищенных информационных систем. Если компании не могут сделать это сами, государство обязано их должным образом «стимулировать».
КСТАТИ
В Евросоюзе относятся к информационной безопасности на порядок серьезнее. Недобросовестные компании могут быть оштрафованы на сумму до 20 млн евро или на 4% от оборота за финансовый год.
