Поделиться
Бывший сотрудник «Ростелекома» выложил в сеть персональные данные ста тысяч коллег
В открытый доступ утекли данные сотрудников государственного провайдера «Ростелекома». В даркнете оказались ФИО, должности людей, адреса корпоративной почты, логины от нее и телефонные номера. В компании утверждают, что слив произошел по вине бывшего сотрудника. Делом заинтересовался Роскомнадзор.
Виноват бывший сотрудник
Данные сотрудников «Ростелекома» оказались в открытом доступе, сообщил Telegram-канал «Утечки информации». В даркнете опубликован файл с информацией из телефонного справочника компании. В текстовом документе на 109,3 тыс. строках перечислены ФИО сотрудников, должности, которые они занимают, адреса их корпоративных почтовых ящиков, логины от них и номера служебных и мобильных телефонов.
Представители «Ростелекома» сообщили CNews, что за утечку может отвечать один из бывших сотрудников государственного провайдера.
«Проверяем на причастность к инциденту одного из бывших сотрудников, который в декабре 2021 года скопировал часть внутреннего телефонного справочника», — рассказали представители компании, добавив, что ведут внутреннее расследование по факту утечки.
Как сообщает «Интерфакс», Роскомнадзор уже запросил у «Ростелеком» информацию о деталях утечки персональных данных сотрудников.
По мнению админов канала «Утечки информации», организатор нынешнего «слива» причастен к утечкам данных образовательного портала GeekBrains, «Школы управления «Сколково», якутского портала Ykt.Ru и службы доставки Delivery Club.
Слив за сливом
За последний месяц стало известно о ряде утечек персональных данных сотрудников крупных российских компаний. В начале мая 2022 г. в сети появились данные 30 млн клиентов сети лабораторий «Гемотест». 20 мая служба доставки Delivery Club сообщила о том, что в интернете оказалась база данных сотрудников из 350 млн строк. В службе безопасности компании после инцидента пообещали провести проверку и дополнительный аудит внутренних систем.
30 мая 2022 г. в даркнете появилась база данных сотрудников «Яндекс. Еды» из 700 тыс. строк. Позже в интернете опубликовали ссылку на сайт, где выложили личные данные пользователей «Яндекс.Еды» в виде карты c адресами доставки и электронной почтой. После инцидента Роскомнадзор составил на «Яндекс.Еду» протокол за нарушение российского законодательства в сфере персональных данных и компании назначили штраф на сумму 60 тыс. руб. Также несколько сервиса подали коллективный иск к «Яндекс.Еде», потребовав компенсировать моральный вред.
7 июня 2022 г. стало известно о том, что клиенты сервиса доставки СДЭК подали к компании коллективный иск на 2,2 млн руб., чтобы взыскать компенсацию за утечку персональных данных. В конце февраля 2022 г. в сети появились две таблицы с ФИО, номерами телефонов, адресами и другими данными клиентов компании: один файл с 466 млн строк, второй — с 822 млн. В СДЭК объяснили произошедшее хакерской «политически мотивированной» атакой.
Штрафы вырастут в миллионы раз
Огромное количество утечек персональных данных форсировало жесткие корректировки российского законодательства: в конце мая 2022 г. Минцифры России согласовало законопроект, по которому компания в случае утечки информации должна уведомить об этом Роскомнадзор в течение суток. Если же в организации попытаются инцидент скрыть, штраф увеличится с 1% до 3% годового оборота компании. Ужесточение законодательства о персональных данных в России обсуждали больше года.
Согласно действующему в стране законодательству, наказание за утечки персональных данных прописано в КоАП. По статье 13.11. первая утечка обойдется оператору персональных данных в сумму от 60 тыс. руб. до 100 тыс. руб. За вторую и последующие — 500 тыс. руб. По мнению Антона Горелкина, заместителя председателя комитета Госдумы по информполитике, такие скромные штрафы не мотивируют компании вкладываться в защиту информации о клиентах. Об этом он высказался 30 мая в своем Telegram-канале.
Впрочем, одним лишь кнутом ситуацию с утечками исправить получится вряд ли. В беседе с CNews директор Института исследований интернета Карен Казарян подчеркивает, что такого огромного количества утечек информации удалось бы избежать, если бы в стране хватало специалистов по информационной безопасности.
«Причин происходящего две: значительно вырос уровень киберугроз, и ИБ-шники просто не справляются, — объяснил эксперт. — Кроме того, злоумышленники хорошо платят сотрудникам за слив баз — финансовый фактор мотивации сбрасывать со счетов нельзя. Но ужесточение законодательства радикально ситуацию не изменит, так как ИБ-шники из воздуха не берутся. И тратить значительные деньги на обеспечение кибербезопасности, учитывая нестабильную экономическую ситуацию в стране, многие компании не будут».
По мнению Казаряна, правильной мерой были бы штрафы за бездействие компаний — то есть не по факту утечки, а в том случае, если она произошла, а компания ничего не делает, чтобы найти виновных и усилить безопасность. Сейчас тщательным расследованием таких дел фактически не занимаются и сотрудников, которые продают базы, к ответственности не привлекают.
Поделиться
Короткая ссылка
