Прошло чуть больше трех недель с момента утечки данных Apotheka и PetCity через Allium UPI. Об инциденте уже все забыли. Пришло какое-то уведомление на почту, но "что страшного в том, если кто-то узнает мой адрес и подробности каких-то покупок?". Но что на самом деле происходит с этими данными?

Киберпреступность как индустрия

В 2018 году Международный валютный фонд (МВФ) отметил, что киберпреступность превратилась в зрелую отрасль. С ростом киберпреступности в 1990-х годах осуществлять кибератаки становилось все проще и проще благодаря постоянно развивающимся инструментам и лучшей организации.

С появлением искусственного интеллекта (ИИ) сложность планирования и проведения атак и, следовательно, их стоимость еще больше снизились. Проводить атаки способны неквалифицированные рабочие, а не высокооплачиваемые ИТ-специалисты. В результате около 80% атак осуществляются крупными организациями, специализирующимися в этой области.

В итоге сформировалась отрасль, размер которой по данным на 2023 год составил около 7,9 млрд евро. К 2027 году прогнозируется рост почти до 26 млрд евро (ВЭФ). Для сравнения: ВВП Эстонии в 2023 году составил 37,7 млрд евро.

В 2023 году мошенники обманули жителей Эстонии как минимум на 8,3 млн евро. Это официальные данные. Сколько людей стыдятся или не знают, как сообщить о случаях мошенничества, мы не знаем.

Наиболее популярными типами мошенничества являются сообщения от "почтовых служб" с переадресацией, запросы и предупреждения от "Департамента полиции и погранохраны", мошенничество с деловыми письмами, мошенничество на торговой площадке Facebook, мошенничество в сфере отношений, мошенничество с покупкой и продажей транспортных средств и, конечно же, предложение выгодных инвестиций на различных интернет-платформах.

Хоть тематика афер и разная, способы воздействия на людей во всех случаях очень схожи. Используются такие человеческие слабости, как жадность, гордыня, страх, любопытство, невнимательность и одиночество. Cовременная бизнес-культура и быстрый образ жизни также часто приводят к совершению ошибок.

Чтобы не стать жертвой мошенника, следует помнить об ИТ-гигиене. Убедитесь, что используемые системы обновлены и защищены. Обновите пароли и используйте многофакторную аутентификацию. Не разрешайте ненужные файлы cookie при просмотре веб-страниц. Не нажимайте на подозрительные ссылки до их проверки. Это не только снижает риск фишинга, но и повышает общую ИТ-безопасность, поскольку политически мотивированные атаки также растут.

Стоит обращать внимание на то, с каких адресов приходят фишинговые сообщения, логично ли содержание сообщений, разумны ли отправленные ссылки. Зачастую атаку выдает почтовый адрес, похожий на оригинальный.

В то же время нужно понимать, что даже хорошо подготовленные профессионалы в условиях быстрого ритма жизни могут допускать ошибки. За примером далеко ходить не нужно. Был случай, когда премьер-министр Кая Каллас ответила на дипфейковый видеозвонок, во время которого российские агенты, которые использовали подлинные адреса электронной почты, а также внешность и голос другого человека, пытались скомпрометировать ее в вопросах безопасности.

Общественные деятели часто не могут удержаться от размещения информации, изображений и видео, что позволяет легко подражать им. YouTube недавно удалил более миллиона фейковых видеороликов со знаменитостями.

Пострадали и местные общественные деятели. Если вы обнаружите в Интернете Кармен Йоллер, говорящую с финским акцентом и имеющую неестественное выражение лица, то стоит задуматься, действительно ли это она.

В то же время ИИ развивается все быстрее, и становится умнее в том числе в отношении языка. Однако, если присутствует искусственная вежливость, язык по структуре похож на английский или присутствуют ошибки в употреблении падежной формы, то стоит насторожиться.

Исходя из вышесказанного, стоит задуматься о том, какую информацию о себе стоит публиковать. Данные о вас могут быть собраны из потребительских игр, личностных тестов, игр и социальных сетей, особенно если учетная запись является общедоступной. В итоге можно заполучить красивый профиль убеждений, личных данных, внешности и истории общения.

Представьте, если вашей бабушке позвонит кто-то с вашим голосом и скажет, что срочно нужно перевести какую-то сумму денег, иначе случится что-то ужасное. Или если вам позвонит, например, ваш ребенок. Особенно правдоподобно это выглядит, например, через видеосвязь в Facebook.

Дальнейший путь утекших данных

Что будет дальше с данными, полученными из Apotheka и Pet City? Основываясь на классической бизнес-модели, можно предположить, что полученные из Allium UPI данные будут проданы в виде хорошо структурированной базы данных за несколько сотен евро.

Приобретенные базы данных будут объединены с уже существующими данными, что создаст лучший профиль человека. Данные о безрецептурных лекарствах и пищевых добавках многое добавляют к профилю. Имеющиеся данные получены из предыдущих утечек данных, собранных в Интернете с помощью ботов, и включают данные, добровольно переданные подозрительным страницам и интернет-магазинам.

Интересный факт заключается в том, что также можно купить данные людей, которых уже обманули. Оказывается, большое количество людей, ставших жертвами мошенничества, учатся не с первого раза, и обмануть их легче, чем найти новую жертву.

Такие списки уже стали более дорогим товаром. Списки можно анализировать, создавать и продавать как уже собранную мошенническую кампанию, где имеются личные данные, выявленные слабости и привычки, а также информация о платежеспособности человека. Имеется подготовленная ​​схема мошенничества и сценарии его осуществления. Такие подготовленные кампании используют как крупные организации, так и мелкие мошенники. Чем дальше мошенник находится в цепочке мошенничества от изъятия имущества у жертвы, тем меньше риск быть наказанным.

Закон есть, а конкретных механизмов реализации нет

Обмен данными необходим для нормального функционирования повседневной жизни, поэтому должна быть обеспечена защита информации. Это единственный способ доверять предприятиям и учреждениям, которым мы предоставляем наши данные. С этой целью правительство приняло постановление, согласно которому на наш государственный сектор распространяется эстонский стандарт инфобезопасности, который контролируется Департаментом государственных информационных систем (RIA).

Несколько лет назад Европейский союз издал Общий регламент защиты персональных данных (GDPR), согласно которому нельзя запрашивать избыточную информацию, а хранение информации должно быть безопасным. Применение GDPR контролирует Инспекция по защите данных.

Когда в 2018 году Эстония присоединилась к GDPR, то многие компании были напуганы, поскольку предыдущая политика в отношении данных была довольно свободной. Компании боялись огромных штрафов. Правила казались запутанными, но строгими.

Сейчас, спустя пять лет, мало что произошло. Были инциденты с безопасностью. Были предписания. Были скандалы. Что случилось с участниками? Им просто пригрозили пальцем. Потому что закон есть, но нет конкретных механизмов его реализации.

Когда появился GDPR, то в двух странах Европейского союза - Эстонии и Дании - не было, среди прочего, понятия административного штрафа, призванного обеспечить реализацию защиты данных. Применение штрафов может основываться либо на Уголовном кодексе в случае компаний, либо на административном надзоре в случае государственных учреждений.

В 2020 году Минюст попытался ввести административный штраф, был подготовлен соответствующий проект. Однако исследователи из Тартуского университета и канцлер права были убеждены в отсутствии необходимости введения административного штрафа. В 2022 году закон даже прошел чтение в Рийгикогу, но провалился. В Эстонии до сих пор нет судебных решений касательно нарушений GDPR. Таким образом, судебно-правовая ясность отсутствует.

В ноябре прошлого года, после инцидента с утечкой данных в Ида-Таллиннской центральной больнице, Инспекция по защите данных получила возможность внедрить GDPR. В Уголовный кодекс было внесено изменение, допускающее наложение штрафа за совершение проступка в большем размере по сравнению с общим порядком. Такое изменение позволяет рассматривать нарушения, вытекающие из Закона о защите персональных данных, в порядке, предусмотренном в производстве по делам о правонарушениях, и налагать миллионные штрафы.

Также были расширены требования к ответственности юридических лиц. Если раньше нужно было доказывать намерение руководства, то теперь можно наказывать и за случаи, вызванные халатностью. Лицо, ответственное за обработку данных, имеет ряд обязательств, вытекающих из Общего регламента защиты персональных данных, при нарушении которых юридическое лицо может быть наказано.

Ранее ответственность возлагалась при деянии, совершенного в интересах юридического лица, исполнитель которого должен был принадлежать к определенной группе лиц. Согласно поправкам, юридическое лицо также несет ответственность, если нарушение обязательств по защите данных совершено каким-либо лицом в результате недостаточной организации работы. Изменения не касаются учреждений государственного сектора - они по-прежнему подлежат административному надзору, вытекающему из Закона о Правительстве республики.

Надо сказать, что ситуация несколько противоречивая. Государственный сектор, вероятно, располагает самым большим хранилищем данных, собранных о гражданах и лицах, связанных с Эстонией, но ответственность за допущенные ими ошибки более мягкая, чем в частном секторе.

Поэтому неудивительно, если в Департамент государственных информационных систем поступают уведомления о различных инцидентах, связанных с информационной безопасностью, происходящих в учреждениях госсектора, и Департамент по защите данных делает предписания Министерству внутренних дел. Не существует простых в использовании и эффективных приемов, которые могли бы мотивировать государственный сектор избегать утечки данных.

Как общество, мы находимся на этапе, когда наша бизнес-культура перешла от страха перед GDPR к небрежному отношению к данным. Как сообщила Инспекция по защите данных после утечки информации из Allium UPI, с момента взлома системы до момента загрузки данных прошло несколько минут. Посмотрим, как пройдет расследование очередной утечки, что именно будет обнаружено и понесет ли кто-то за это ответственность.

Ущерб нанесен. Многие люди, включая меня, обновили свой профиль или разместили его в даркнете. Я призываю каждого человека защищать свои данные и выступать за разумный сбор данных, потому что никто другой не сделает этого за нас. Если вы чувствуете, что у вас запрашивают слишком много данных или их плохо хранят, то можно обратиться за помощью в Инспекцию по защите данных.