В сети появилась информация об очередной масштабной утечке персональных данных. Группа хакеров сообщила в телеграм-канале о взломе серверов департамента информационных технологий (ДИТ) Москвы. Киберпреступники утверждают, что получили доступ к базам московской мэрии еще год назад и смогли похитить 40 терабайт информации. Хакеры заявили, что у них есть персональные данные всех москвичей и сведения о пациентах, зарегистрированных в единой медицинской информационно-аналитической системе (ЕМИАС).
С 9 апреля хакеры начали публиковать в своем телеграм-канале базы данных, якобы украденные с серверов ДИТ. Злоумышленники сообщили, что смогли получить доступ к электронным ресурсам прошлой весной и в течение года беспрепятственно скачивали и анализировали размещенную на них информацию.
«Нам удалось взломать все технические ресурсы ДИТ, выгрузить 40 терабайт баз данных различных ресурсов Москвы, включая ЕМИАС, УДРВС, портал мэра Москвы, СУДИР и другие. У нас имеются данные на всех госслужащих Москвы за все время. Персональные данные всех москвичей – паспорта, номера телефонов, почты и многое другое. Мы также не оставили без внимания разработки департамента», – заявили киберпреступники.
Подтвердить или опровергнуть эту информацию пока не представляется возможным. На запрос «Октагона» в пресс-службе столичного ДИТ не ответили.
Утечки с серверов департамента уже происходили. В 2020 году в сети появилась база, содержащая персональные данные 300 тысяч москвичей, переболевших COVID-19, а в 2022-м была взломана Московская электронная школа (МЭШ). Несмотря на то что второй эпизод в мэрии официально не признали, украденная база находится в открытом доступе в сети, а родители школьников подтверждают, что информация в ней соответствует действительности.
В сеть утекли персональные данные и медицинские анализы чиновников, судей и полицейских
В России разгорается очередной скандал, связанный с масштабной утечкой персональных данных. Россияне обнаружили в Telegram несколько чат-ботов, через которые бесплатно можно получить досье практически на любого гражданина, однажды оставившего за собой цифровой след. В открытом доступе оказались персональные данные как частных пользователей, так и базы государственных ресурсов.
Перейти к материалу
В январе Госдума приняла в первом чтении законопроект об усилении ответственности за утечку персональных данных: он предполагает увеличение размера штрафа для юридических лиц до 15 млн рублей, а также выплаты компенсаций пострадавшим лицам. 1 апреля документ получил положительный отзыв Правительства и сейчас дорабатывается перед вторым чтением.
– По действующему законодательству серьезного наказания за нарушение при хранении персональных данных виновнику не грозит, – поясняет «Октагону» юрист Александр Востриков. – Если утечка из ДИТ подтвердится, то максимум, что можно взыскать с ведомства, – штраф до 100 тысяч рублей. Вероятно, будет также иметь место и невыполнение обязанности по хранению персональных данных в обезличенном виде.
Крупные базы данных становятся мишенью для киберпреступников
Несмотря на регулярные утечки персональных данных граждан с официальных ресурсов и рост случаев мошенничества, власти продолжают процесс укрупнения электронных баз. Из-за этого при взломе в руках преступников оказывается огромный объем конфиденциальной информации.
В марте Минцифры представило для общественного обсуждения проект приказа об установлении единых требований по взаимодействию федеральной государственной информационной системы «Моя школа» с региональными системами в сфере общего образования, среднего профессионального и дополнительного образования детей и взрослых. Предполагается, что все сведения о детях, педагогах и родителях, которые хранятся в региональных электронных журналах и дневниках, по онлайн-запросу с помощью технологии «витрина данных» будут доступны на портале Госуслуг.
В Минцифры заверяют, что к дополнительным рискам утечек это не приведет, так как информация не будет храниться на федеральном портале, а после просмотра по онлайн-запросу она удаляется. Однако родители считают, что утечек избежать не удастся.
– Цифровизаторы говорят, что данные будут храниться и передаваться в обезличенном виде, но как можно обезличить СНИЛС и номер свидетельства о рождении или паспорта? – задается вопросом мама московских школьников Елена Соколова. – В последние годы были взломаны портал Госуслуг и Московская электронная школа, мало кто верит, что подобная участь не постигнет и систему «Моя школа». Объем персональных данных, которые в нее предлагается собирать, хотят максимально расширить. В том числе там будет медицинская информация, сведения о дополнительном образовании, участии в общественных движениях и исчерпывающие данные о родителях.
Родители обращают внимание на то, что инициатива отчасти реализует положения скандального законопроекта о системе «Контингент обучающихся», на который президент наложил вето еще в 2016 году.
– Цифровизаторы поняли, что инициативу о сборе полного досье на детей и родителей нельзя протащить через федеральное законодательство, и теперь пытаются навязать ее через создание собственных локальных актов. Если такая база будет украдена, в руках преступников окажется полная информация о большей части семей страны. К чему это может привести для каждого отдельного человека, страшно даже представить, – заключает Елена.
В 2023 году объем утекших персональных данных в России вырос на 60 процентов по сравнению с прошлым годом и составил 1,12 млрд записей, такие данные приводятся в исследовании экспертно-аналитического центра компании InfoWatch.
Кроме того, резко – с 0,9 до 1,7 млн записей – возросло среднее количество персональных данных, похищенных за один раз.
– Разговоры о том, что большие базы данных намного привлекательнее для киберпреступников, ведутся постоянно, – говорит IT-специалист Игорь Лосев. – При этом на государственном уровне проводится политика укрупнения реестров персональных данных россиян. За большими массивами информации хакеры охотятся в первую очередь, поэтому во всем мире уходят от практики создания больших баз. Проблема еще и в том, что государственные структуры не несут реальной ответственности за утечки и часто даже не признают их. Хотя во многих случаях утечки происходят не из-за взлома, а из-за слива информации сотрудниками госструктур. Помимо ужесточения ответственности, целесообразно проводить и политику ухода от сбора избыточных персональных данных граждан как коммерческими, так и государственными структурами.