Positive Technologies опубликовала исследование, посвященное утечкам конфиденциальных данных из организаций во втором полугодии 2024 года. Оно основано на результатах анализа данных об утечках из авторитетных открытых источников и около 3500 объявлений о бесплатных раздачах, продажах и покупках утекших данных на тематических теневых ресурсах.

Отмечается, что более половины успешных атак на организации заканчиваются утечками данных и во втором полугодии 2024 года этот показатель составил 52%. Предполагается, что в 2025 году доля атак на организации с кражей данных будет варьироваться в диапазоне от 50% до 55%. В случае если в повсеместно используемых программных решениях будут выявлены критически опасные уязвимости нулевого дня, которые массово возьмут на вооружение киберпреступные группировки, показатель может временно повыситься до 60–65%.

Финансовые организации остаются в числе наиболее уязвимых структур. Основными типами компрометированной информации являются персональные данные (76% объявлений), платежные реквизиты (12%) и учетные записи пользователей (11%). При этом в категории продаж дороже 10 тысяч долларов каждая пятая публикация связана именно с финансовым сектором.

Отмечается, что несмотря на усиление банками и другими финансовыми учреждениями защитных мер, хакеры находят лазейки, проникая в системы через уязвимые звенья — подрядчиков и поставщиков IT-услуг. Особую опасность представляют атаки на компании, работающие с несколькими банками сразу. Через одного слабо защищенного подрядчика злоумышленники могут получить доступ к множеству финансовых организаций.

Другие выводы исследования:

🔹 Наиболее часто жертвами утечек становились госучреждения (13%), промышленность (10%), IT-компании (10%), финансовые организации (8%) и медицинские учреждения (7%).

🔹 На теневых форумах растет спрос на покупку данных. Во втором полугодии произошло существенное увеличение (с 3% до 12%) доли объявлений о покупке информации, причем средняя1 цена, указанная в таком объявлении, выросла с 600 до 1700 долларов.

🔹 Вместе с тем в 60% объявлений на тематических площадках данные раздаются бесплатно и только в 28% продаются. Более чем в половине объявлений о продаже (55%) стоимость данных не превышает 1 тыс. долларов, и лишь в 6% объявлений назначена цена более 10 тыс. долларов.

🔹 Самые высокие цены на теневых ресурсах установлены на данные платежных карт, медицинские данные и исходный код. Средняя цена за набор данных платежных карт — 2500 долларов. Самые низкие цены установлены на персональные данные, средняя цена в объявлениях об их продаже — 835 долларов.

🔹 Утечки становятся более объемными. На теневых ресурсах доля баз данных, в которых более 100 тыс. строк, выросла с 52% до 56%, а доля наборов данных объемом более 1 ГБ повысилась с 35% до 52%. Это может свидетельствовать об интересе злоумышленников к предприятиям среднего бизнеса.

🔹 Азия по-прежнему лидирует в рейтинге регионов по числу утечек. Во втором полугодии доля объявлений здесь составила 35%, что на 5 процентных пунктов больше, чем в первом полугодии.

🔹 С 10% до 16% выросла доля публикаций, связанных со странами Северной Америки. Регион стал вторым по числу объявлений на теневых площадках, сместив Латинскую Америку на четвертую позицию. США стали лидером в рейтинге отдельных стран по количеству объявлений в дарквебе — их доля составила 15%,.

🔹 Доля европейских стран, напротив, снизилась на 5 п. п. и во втором полугодии составила 15%. Снизилась также и доля стран СНГ, в том числе России. В связанных с утечками объявлениях на теневых ресурсах во втором полугодии 2024 года она составила всего 4%.

🔹 В большинстве успешных атак на организации, повлекших за собой утечки данных, использовалось вредоносное ПО (71%) и методы социальной инженерии (60%).

🔹В 38% атак на организации с использованием вредоносного ПО, которые закончились утечками данных, были задействованы шифровальщики.

Более подробно об исследовании

#безопасность

В советы директоров включат специалистов по кибербезопасности

В 2025 году глобальные расходы на защиту данных вырастут на 15% и достигнут $212 млрд.

К 2027 году 17% всех кибератак будут использовать генеративный ИИ. Несмотря на угрозу, среди руководителей компаний только 54% считают, что их организации готовы к кибератакам, а 37% сомневаются, что их системы справятся с новыми вызовами.

Однако признание проблемы — половина решения. Советы директоров начинают воспринимать кибербезопасность как бизнес-риск, а не айти-проблему. К 2026 году хотя бы один специалист по кибербезопасности будет в 70% советов директоров.

#безопасность #деньги #исследования

Отчет о рисках для корпоративных данных за 2024 год

Компания Makves представила отчет по актуальным проблемам хранения, обработки и защиты неструктурированных данных в российских компаниях в 2024 году.

Разбираемся в цифрах и делаем выводы.

Главный инсайт:

У 100% российских компаний в общий доступ утекла конфиденциальная информация и персональные данные. При этом 95% не контролируют доступ уволенных сотрудников.

Другие ключевые цифры:

- 40% файлов в компаниях не используются более 5 лет.

- 60% компаний имеют аккаунты с уязвимыми паролями.

- 35% объема файловых хранилищ занимают неделовые данные — фото, видео, личные файлы.

- 26% файлов в типовой инфраструктуре — дубликаты.

Риски, связанные с пользователями:

- Неактивные более 2 месяцев аккаунты — потенциальные точки для атак.

- Уволенные сотрудники с активным доступом — ключевой риск утечки данных.

- Слабые пароли и отсутствие MFA — массовая проблема, особенно в крупных компаниях с текучкой кадров.

Риски, связанные с файлами:

- Дубликаты файлов повышают риск утечек и усложняют управление доступом.

- Ручное назначение прав приводит к избыточным привилегиям и ошибкам.

- Конфиденциальные данные в общем доступе — нарушение ФЗ-152, GDPR, PCI DSS, что грозит штрафами и приостановкой деятельности.

Всем компаниям показано:

Обучать сотрудников основам ИБ, регулярно архивировать и удалять устаревшие данные, внедрять системы для аудита прав доступа, удалять неактивные аккаунты и аккаунты уволенных сотрудников.

#безопасность #исследования

Минцифры выдаст операторам персональных данных черные ящики

Минцифры утвердило методы обезличивания персональных сведений, которыми будут наполнять госозеро данных. Система заработает в сентябре этого года.

Бизнес сможет обезличить данные только через специальное ПО — его бесплатно предоставит Минцифры. Компании должны обеспечить раздельное хранение персональных и обезличенных сведений, гарантировать их безопасность и удалять из обезличенных наборов любую закрытую или защищенную информацию.
 
Доступ к госозеру смогут получить представители организаций, компаний и органов власти только по запросу — с указанием целей. Вынести данные из госконтура будет невозможно.

Как это будет работать?

Обезличивать будут с помощью решения, разработанного, предположительно, АНО «Национальный технологический центр цифровой криптографии».

1. Минцифры отправляет запрос через личный кабинет или СМЭВ.

2. Оператор формирует выборку персональных данных.

3. Данные проходят обезличивание в черном ящике.

4. Данные шифруются криптографическими средствами.

5. Обезличенные данные загружаются в госозеро.

Заочный спор по теме госозера и методов обезличивания уже начался.

В Минцифры заверяют:

ПО для обезличивания гарантирует правильное применение методов обезличивания с учетом заданных в требованиях Минцифры параметров.

И добавляют:

Благодаря обезличенным данным государство сможет принимать более эффективные решения.

Однако компании не будут знать подробности алгоритмов, что вызывает опасения по поводу ответственности за корректность и безопасность обработки данных.

Поэтому в Ассоциации больших данных скептичны:

Безальтернативное использование ПО организациями, которые работают с охраняемыми тайнами, лишает их возможности управлять рисками и угрозами безопасности; необходимо однозначно решить вопрос об ответственности за нарушение охраны передаваемых в систему дата-сетов.

Подробности читайте в Форбсе.

#безопасность #статьи

Межсетевые экраны нового поколения

АНО «Цифровая экономика» совместно с проектом «Кибердом» представила обзор российских межсетевых экранов нового поколения (NGFW) и их функций, включая механизмы обработки трафика, обнаружения угроз и предотвращения вторжений.

Каталог представляет собой актуальный обзор российских решений в области средств защиты информации типа межсетевые экраны нового поколения.

В нем собрана информация о доступных и перспективных продуктах, обеспечивающих защиту информационных потоков с поддержкой современных механизмов обработки трафика, функционала обнаружения, предотвращения вторжений, авторизации пользователей и других функций.

Каталог будет полезен заказчикам, специалистам по информационной безопасности, айти-архитекторам и всем, кто заинтересован в импортозамещении и развитии отечественных киберзащитных технологий.

Делитесь.

#безопасность

Как-то не ладится в логистике ни с большими, ни с персональными данными

Мы уже писали, что пока Амазон оптимизирует логистику с помощью больших данных, российские логистические компании этого по каким-то причинам чураются.

И вот сфера российской логистики снова в повестке больших данных в дурном свете.

Федеральный координатор проекта «Цифровая Россия» Антон Немкин заявил, что наибольшее количество утечек персональных данных в 2025 году связано с логистическими компаниями:

В логистике много подрядчиков, внутренних платформ и мобильных приложений, что создает уязвимую среду с большим числом потенциальных точек входа.

Что дальше?

Хочется верить, что на фоне сильно выросших штрафов и повышенного внимания к отрасли логистические компании займутся данными по-взрослому и достигнут с их помощью результатов, как это вышло у того же Амазона.

#безопасность

Считаете, что ваши данные при передаче третьей стороне защищены? Ну и зря

Скандалы, интриги, расследования.

В федеральном законодательстве США есть лазейка. Регуляторы могут получить доступ к вашим личным данным без ордера — если эти данные хранятся у третьей стороны.

Сейчас Верховный суд США рассматривает резонансное дело Джеймса Харпера против главы Налоговой службы США Дугласа О’Доннелла. В деле фигурирует Third-Party Doctrine. На русский это можно перевести как «Доктрина отказа от конфиденциальности при передаче данных третьим лицам».

В 2016 году налоговая провела масштабный сбор данных, потребовав от криптобиржи Coinbase записи транзакций более чем 14 000 клиентов платформы. После клиент Coinbase Джеймс Харпер получил письмо от налоговой с обвинением в занижении доходов от криптовалют.

Харпер обвинение отрицает. Он узнал, что налоговая без ордера получила доступ к его журналам транзакций, адресам кошельков и публичным ключам.

Юристы Харпера заявили, что налоговая нарушила его конституционные права, в частности четвертую поправку, которая защищает от необоснованных обысков и изъятий.

Суды низших инстанций несколько раз отклоняли иск Харпера, ссылаясь на ту самую Third-Party Doctrine, основанную на двух решениях Верховного суда США 1970-х годов. Тогда суд постановил, что «человек не может рассчитывать на неприкосновенность данных, которые он добровольно передал третьим сторонам».

После апелляции суд постановил, что записи Харпера принадлежат Coinbase, и потому подпадают под исключение из действия четвертой поправки.

Это вообще законно?

Формально все законно. С точки зрения гражданских прав — спорно.

Ордер обязателен только при физическом обыске или прямом вмешательстве в частную жизнь. Если же информация хранится у сторонней компании, ее можно запросить административно, без суда. Так что это не халатность налоговой, а особенности правовой системы.

На чем настаивают юристы Харпера:

Эта доктрина имела смысл в 1970-х, когда никаких персональных данных в сети не водилось. Но в 2025 году почти у каждого гражданина США есть обширный цифровой след.

Юристы утверждают, что Харпер имеет право на «разумное ожидание конфиденциальности своих финансовых данных».

Почему?

Ибо Верховный суд более 7 лет назад в деле Карпентера против США решил, что данные геолокации телефона частично защищены, а уж детализированные финансовые записи заслуживают не меньшей защиты от обысков без ордера.

Выходит, что не все данные подлежат автоматической передаче — вопрос в том, какие именно. Именно это и должен прояснить новый судебный прецедент.

Институт Катона подал в Верховный суд amicus curiae в поддержку Харпера, заявив, что Third-Party Doctrine угрожает праву американцев на неприкосновенность частной жизни.

Если Верховный суд поддержит налоговиков, это создаст прецедент, при котором любые данные, хранящиеся у сторонних компаний, окажутся вне зоны защиты четвертой поправки. Теоретически это может коснуться всего: от банковских счетов до истории чатов.

Если же суд встанет на сторону Харпера, это ограничит действия государственных органов и ужесточит требования к доступу к цифровым данным, даже если они формально не находятся у пользователя.

В России же уже на этапе законодательного оформления банковской тайны, закона о персональных данных и налогового кодекса изначально закладывается идея, что определенные государственные органы (прежде всего ФНС) вправе получать данные без судебного решения.

То есть никакого сюрприза в том, что ФНС может обратиться в банк за выпиской, в российском законодательстве нет — напротив, все открыто и закреплено.

#безопасность

Кажется, мало кто переживает по поводу безопасности при внедрении ИИ

В Коммерсанте пишут, что из 43% компаний, которые уже внедрили нейросети в свои процессы, только 36% обеспечили их защиту.

Может, это халатность, а может, все ждут, пока в Минцифры опубликует «Концепцию развития регулирования ИИ до 2030 года»:

Сейчас доработка документа почти завершена, в ближайшее время мы согласуем ее с другими ведомствами.

При этом в AppSec Solutions предупреждают:

Особенно уязвимыми становятся ИИ-ассистенты, встроенные в корпоративную инфраструктуру. Они получают доступ к клиентским базам, внутренним документам и системам управления и могут стать источником утечек

Кажется, что всем стоит поторопиться: регуляторам с требованиями, а бизнесу с внедрением протоколов безопасности, ибо в России растет количество исков из-за ИИ:

В 2021 году таких исков было 112, а в 2024 году их было уже 292. Совокупная сумма исковых требований по уже рассмотренным делам превышает ₽1,7 млрд.

В большинстве случаев — это споры, касающиеся авторского права. На втором месте иски, связанные с защитой прав потребителей.

#ии #безопасность

Иногда персональные данные нужно раскрывать в упрощенном порядке

МТС и «Лиза Алерт» запускают сервис для поиска пропавших людей. С поисково-спасательным отрядом уже несколько лет сотрудничает Вымпелком, но даже при пропаже человека передавать геоданные по текущему законодательству довольно сложно.

Сервис будет бесплатно доступен абонентам МТС. Подключить его можно в приложении МТС в разделе «Защитник» или в «Семейной группе», при этом пользователю необходимо дать согласие на передачу данных о его местоположении и заряде мобильного устройства в поисково-спасательный отряд «Лиза Алерт» в случае возникновения чрезвычайной ситуации.

Данные будут передаваться автоматически сразу после поступления запроса от отряда «Лиза Алерт». Как пояснила глава МТС, сервис не будет нарушать существующее законодательство: данные будут передаваться через зашифрованный канал и интерфейс, которые были разработаны специально для работы с «Лиза Алерт».

#безопасность

Кто и зачем запускает ЦОД к Луне

В феврале Lonestar Data Holdings вместе с Phison и Intuitive Machines отправила на Луну устройство Freedom на посадочном модуле IM-2 Athena, запущенном ракетой Falcon 9 SpaceX.

Freedom — петабайтный ЦОД на SSD, защищенный 3D-печатным корпусом, способный работать в условиях космоса: корпус обеспечивает естественное охлаждение, а солнечные панели — питание. Внутри — SSD Phison и FPGA Microchip PolarFire для базовых задач шифрования и передачи данных.

Цель миссии — проверить надежность SSD и вычислительной платформы в транслунном пространстве.

В течение пятидневного полета Lonestar тестировала прием, отправку и шифрование файлов для клиентов (госструктур, ИИ-стартапов, развлекательных компаний), доказав работоспособность RISC-V процессора и кастомной Linux-сборки. Отсутствие атмосферы и стабильный доступ к солнечной энергии показали эффективность радиационного охлаждения без сложных систем термоменеджмента.

Коммерческая цель — создать премиальное решение для аварийного восстановления.

Хранение критичных данных на Луне исключает риски земных катастроф (ураганы, землетрясения), а edge-вычисления на узле снижают задержки и повышают безопасность для финансовых и оборонных систем. Инвесторы (Scout Ventures, 2 Future Holdings, Seldor Capital) вложили около $10 млн, рассчитывая на спрос крупных корпоративных и правительственных клиентов.

Хотя старты и тесты в CisLunar Space прошли успешно, при мягкой посадке 6 марта 2025 года Athena перевернулась из-за тонкой конструкции шасси и сильного похолодания, что вывело Freedom из строя.

Тем не менее миссия доказала, что SSD Phison с RISC-V и FPGA способны работать в космосе. Lonestar планирует запустить первую серию лунных орбитальных ЦОДов в 2027 году, продолжая развивать технологии хранения и обработки данных вне Земли.

#безопасность

Вы не представляете, сколько стоит доступ к персональным данным пассажиров американских авиакомпаний

Американская ARC (Airlines Reporting Corporation), принадлежащая крупнейшим авиакомпаниям вроде Delta и United, продала данные о внутренних авиаперелетах пассажиров федеральной службе CBP (Служба таможни и охраны границ США).

Данные включают имена, маршруты, информацию об оплате и передаются в рамках многолетнего контракта, подписанного в 2024 году. При этом CBP обязана не раскрывать, что именно ARC является источником информации. Это подтверждают опубликованные в статье документы, полученные журналистами 404Media через запрос FOIA.

Правозащитники бьют тревогу: вместо получения данных через суд или по ордеру, власти США просто покупают их у частных брокеров, обходя законодательные ограничения. Этот случай — пример того, как госструктуры США используют лазейку брокеров данных, чтобы вернуться к модели массового сбора информации.

Сама ARC позиционирует передачу данных как часть борьбы с преступностью и террористическими угрозами, но фактически это масштабный и скрытный рынок чувствительных данных.

С точки зрения монетизации — перед нами зрелая экономика данных. Есть поставщик, продукт и стабильный покупатель — государство. Именно оно здесь играет роль маркетмейкера: формирует спрос, платит за доступ, а не изымает данные напрямую.

Вот тут и хочется сказать:

Это резкий контраст с Россией, где данные чаще всего передаются властям в обязательном порядке, а попытки построить рынок ограничиваются административным регулированием.

Однако подождите. Знаете, сколько федеральная служба заплатила за доступ к миллиардам строк данных?

В июне 2024 года ARC получила $11025. И в мае 2025 года еще $6847.

Утверждать ничего не будем, но либо оставшиеся суммы где-то спрятаны так, что журналисты до них не докопались, либо эти платежи — просто формальность, а передать данные авиакомпании банально обязали.

Как ни крути, на практике для граждан разницы немного: и там и там государство получает доступ к личной информации.

Но в США хотя бы существует экономическая оболочка процесса — рынок, где данные, пусть и формально, становятся товаром. В России же данные чаще всего изымаются как ресурс, без возможности влиять на их оборот или использовать их экономически.

#безопасность #деньги #статьи

Бизнесу могут запретить создавать профайлы клиентов на базе персональных данных

Как пишут Ведомости, в России готовится законопроект, запрещающий автоматизированный профайлинг пользователей без отдельного согласия. Банки, маркетплейсы и телеком-компании больше не смогут собирать и анализировать данные из разных источников для персонализированного маркетинга, скоринга и таргетинга.

Все согласия на обработку должны будут проходить через ЕСИА или напрямую оператору. Изменения вносятся в статью 5 Федерального закона №152-ФЗ «О персональных данных».

Законопроект мотивирован борьбой с айти-мошенничеством: по данным МВД, в 2024 году зарегистрировано 380 300 преступлений, предусмотренных статьями 159, 159.3 и 159.6 УК РФ, что на 6,8% больше, чем в 2023 году. Ущерб составил ₽188 млрд — рост на 38%.

Минцифры утверждает, что цель инициативы — защита прав граждан и минимизация сбора данных.

Бизнес предупреждает: новые правила парализуют развитие технологий на основе данных. Компании уже вложили миллиарды в системы персонализации, и теперь они рискуют оказаться вне закона. Особенно сильно пострадают малые компании и стартапы, которым будет сложно соблюдать новые требования к администрированию и отчетности в ЕСИА.

Эксперты также отмечают, что в действующем законе уже запрещено объединять базы данных, обрабатываемые с несовместимыми целями. Новый запрет дублирует это положение, вводя дополнительные формулировки — «разные источники», «прогнозирование характеристик» — не определенные юридически, что создает риск правовой неясности.

Все это усложнит архитектуру сервисов, использующих машинное обучение, скоринг и таргетинг. Операторам придется пересматривать алгоритмы, наращивать юридическую и техническую нагрузку, а также отказываться от привычных моделей персонализации.

Предсказываем:

Сперва это выльется в дополнительные издержки для операторов данных и поставщиков услуг, а затем они переложат этот груз на плечи пользователей, повысив стоимость своих продуктов.

Если подумать, то пользователи из своего кармана заплатят за свою же безопасность. Это в лучшем случае.

#безопасность #статьи

Если друг оказался вдруг и не друг, и не враг, а дипфейк

Контур.Толк представили инструмент, который выявляет дипфейки прямо во время видеозвонков. Сервис уже работает в формате «один на один» и скоро будет доступен для конференций.

Технология анализирует видеопоток на артефакты, изменения положения и несоответствия в кадре, чтобы выявлять поддельные изображения, созданные нейросетями.

Решение помогает бизнесу защищать удаленные переговоры от атак, снижает нагрузку на проверяющих и соответствует новым законодательным требованиям о дистанционной идентификации и онлайн-собраниях.

Инструмент уже тестируется крупнейшим российским банком.

Вы тоже можете подключить детектор дипфейков по запросу. Для этого нужно обратиться в службу поддержки Толка.

#ии #безопасность