«МАКСимальная защита», говорите? Большинство сливов персональных данных в 2025 году пришлось на госсектор

В период с января по сентябрь 2025 года из всего количества зафиксированных утечек персональных данных россиян 73% пришлось на государственные организации. Еще 19% пришлось на сферу торговли. «Тройку лидеров» с показателем в 6,5% замкнула сфера услуг, включая медицину, образование и различные онлайн-сервисы.

«Отдельно стоит отметить инциденты со сливом данных из организаций, которые де-факто являются операторами персональных данных, но не следуют регуляторным требованиям в этой области. Контроль за утечками становится сложнее, что влечет дополнительные риски для клиентов», — отметил, в частности, руководитель сервиса SBA компании «ЕСА ПРО» Сергей Трухачев.

При этом спрос «черного рынка данных» активно смещается от «сырых» строк в сторону сформированных из множества мелких утечек полных цифровых профилей граждан, включающих в себя биометрическую информацию, паспортные данные, а также страховой номер индивидуального лицевого счета (СНИЛС), добавил руководитель направления анализа защищенности «Информзащиты» Анатолий Песковский.

Интересно, что Министерство цифрового развития в корне не согласно с подобной оценкой общего объема утечек персональных данных. Ведомство настаивает на том, что проводимая им в 2025 году совместно с заинтересованными организациями системная работа по повышению уровне защиты информации в госсекторе дает свои плоды, и утечек на самом деле было в 13 раз меньше.

Впрочем, больше интересно во всем этом не то, насколько честны приводимые разными организациями цифры о количестве утечек, а то, почему именно государственный сектор страдает более других, и чем это опасно.

А также то, способно ли государство в принципе разработать абсолютно защищенный от утечек персональных данных сервис, раз уж от цифровой экономики нам никуда не деться?

— Я думаю, различные хакерские атаки и «сливы» прежде всего в госсекторе можно объяснить тем, что именно в таких организациях концентрируются большие объемы данных, — рассказал в беседе с «СП» доцент института ВПСГН НИУ МИЭТ, кандидат технических наук Александр Шарамок.

— Но самое главное — в государственных организациях вопросам кибербезопасности уделяется традиционно недостаточное внимание — и денег выделяется мало, и с точки зрения руководства информационная безопасность является второстепенным вопросом.

«СП»: Это в эпоху-то тотальной цифровизации всего, что только можно и даже нельзя?

— По довольно странной, на мой взгляд, логике информационная безопасность рассматривается в государственном секторе как неочевидная вещь, которую нельзя каким-то образом ощутить или почувствовать.

Траты на нее, с точки зрения основной деятельности, неочевидны и не приносят визуального эффекта.

О ней, как правило, вспоминают только тогда, когда внезапно выясняется, что в системе безопасности вдруг образовалась огромная дыра, и ее надо срочно затыкать подручными средствами.

«СП»: Выходит, спрашивать стоит с руководителей?

— С точки зрения безопасности ключевой фактор — понимание руководством ее первостепенной значимости. Если оно отдает себе отчет в этом, деньги на это в достаточных объемах находятся быстро. Не отдает — не находятся.

Обычно логика руководства какая? Вот мы вкладываем деньги в безопасность один год — все хорошо, второй год вкладываем — никаких изменений, все хорошо, третий год — все точно так же, ни тепло, ни холодно, а раз ничего не меняется, то и деньги вкладывать, получается, нужда отпадает. А потом ­ - раз, и что-то происходит.

Чтобы такого не случалось, надо понимать, что эффект от мер по повышению безопасности данных всегда есть, только он скрытый. Например, говорят о том, что определенный процент утечек данных случается по «халатности персонала».

А что такое эта самая халатность? Это непредумышленные действия из-за недостаточной обученности и информированности. Поэтому не надо пренебрегать проведением периодических анализов рисков, обучением сотрудников в этой сфере, причем даже тех, которые не имеют прямого отношения к обеспечению безопасности данных.

«СП»: А как быть с таким чисто человеческим фактором, как целенаправленный «слив» данных на сторону?

— Он, конечно, имеет место быть. И какое-то время назад это была основная причина любых утечек. Однако сейчас, благодаря принимаемым на государственном уровне мерам, число желающих слить информацию стало заметно меньше. Люди понимают, что за это теперь грозит серьезная ответственность.

«СП»: Несмотря на это, число утечек данных все равно очень высоко. Что, собственно, поставлено тут на кон у заинтересованных в их воровстве сторон?

— На самом деле это не просто опасно, а очень опасно для людей. Вспомните знаменитое кино «Побег из Шоушенка».

Если даже в доцифровую эпоху главному герою удалось фактически сменить личность, представляете, как легко это можно сделать сейчас, имея под рукой все личные данные другого человека, включая не только его документы, но и биометрию?

Однако самая большая опасность здесь видится даже не том, что будут использованы персональные данные конкретного человека, а том, что утечка массивов таких данных из госсектора представляет опасность уже для самого государства, принимая во внимание степень цифровизации экономики.

Что, если будут создаваться другие личности в массовом порядке?

Нивелировать подобные угрозы можно, на мой взгляд, только сделав так, чтобы процесс эффективной защиты персональных данных значительно опережал процесс предоставления новых цифровых сервисов, эти данные использующих.

«СП»: В этом разрезе, получается, мы и буксуем? Предоставляем, например, населению очередной национальный мессенджер, а потом уже, методом проб и ошибок, заделываем в нем дыры. Почему бы не вывести на рынок сразу полностью защищенный продукт? Не получается?

— Если уж говорить об уязвимости мессенджеров, то на данный момент времени, на мой взгляд, все они приблизительно эквивалентны друг другу по степени защиты персональных данных пользователей. Да, на начальных этапах были сыроваты все. Но постоянное использование современных технологий позволило, в принципе, всем популярным мессенджерам сейчас примерно сравняться по степени защиты.

На самом деле проблема тут лежит немного в другой плоскости. Любые мессенджеры так или иначе используются для организации атак на граждан с помощью социальной инженерии.

И самые популярные принципиально не идут на сотрудничество именно с нашим государством, с Роскомнадзором. Хотя с другими государствами и их службами охотно сотрудничают. Все же помнят итоги бесед Павла Дурова с властями Франции, не говоря уж о тех самых продуктах запрещенной у нас корпорации Meta*, которые изначально очень хорошо коммуницировали с западными юрисдикциями.

И вот с этой точки зрения наш MAX защищен от потери персональных данных более других хотя бы просто потому, что «затачивается» под сотрудничество с государством.

Да, можно рассуждать о том, что MAX, дескать, на самом деле это попытка государства залезть в жизнь каждого гражданина. Но это реальность нынешнего дня.

Возьмите любое государство мира ­- местные мессенджеры делают абсолютно то же самое, это основополагающий принцип их работы. Поэтому активное вытеснение других мессенджеров MAX’ом объясняется необходимостью того, чтобы мессенджер сотрудничал не с другими государствами, а именно с Россией, выполняя требования ее законодательства.

«СП»: Однако хорошо известно, что если сегодня появляется что-то, более-менее надежно защищенное от утечек, то завтра появится что-то, способное эту надежность нивелировать. Можно ли в этом свете рассуждать о том, что абсолютно защищенных от взлома сервисов, использующих персональные данные, не будет в принципе?

— Соперничество снаряда и брони, борьба методов нападения и методов защиты вечны.

---

*Решением Тверского суда Москвы от 21.03.2022 организация Meta Platforms Inc. (владелец Facebook и Instagram) признана экстремистской, её деятельность в РФ запрещена.