Утечек персональных данных за последние два года стало больше, и они превратились в проблему для государства, бизнеса и пользователей. По данным исследования ГК InfoWatch, в 2023 году утекло более 1,12 млрд записей.
В топ отраслей с наиболее масштабными утечками вошли госорганы (19,2%), ритейл (16,6%), банки (10%). В этих сферах распространены электронные сервисы, где хранятся паспортные данные и платежная информация граждан.
Бизнес-партнер в компании Edna (поставщик решений и сервисов в области цифровых коммуникаций) Александр Дубровин рассказал, почему увеличивается количество утечек и как бизнес может защитить данные своих клиентов с помощью двухфакторной аутентификации.
Причины, по которым утечек становится все больше
У роста утечек есть несколько причин.
Хактивисты взламывают ИТ-инфраструктуру и сливают данные по политическим мотивам. Если крупные компании достаточно защищены, то малый и средний бизнес уязвим перед ними. В прошлом году доля малого бизнеса в структуре утечек выросла до 34,1%.
Социальные инженеры взламывают аккаунты с целью наживы. При этом социальная инженерия активно развивается за счет искусственного интеллекта, больших языковых моделей, которые помогают разрабатывать наиболее эффективные схемы влияния на людей.
Слитые в сеть данные используются для взлома аккаунтов. Зная паспортные данные, дату рождения, номер телефона человека, пару «логин-пароль» от одного сервиса, преступник может взломать практически любой аккаунт. Часто для этого используются брутфорс, то есть автоматический подбор пароля или его «восстановление» через кодовое слово.
Часто пользователи сами облегчают работу хакерам. Многие люди склонны применять для авторизации на всех сервисах одну пару «логин-пароль» или использовать в качестве пароля дату рождения, имя и другую личную информацию. Такой пароль — подарок хакеру, так как его можно подобрать за минуту.
Зачем нужна двухфакторная аутентификация
В ответ на рост утечек государство стало ужесточать законодательство в сфере защиты персональных данных. С 1 декабря 2023 года была запрещена авторизация на российских сайтах с помощью Google и Apple ID. На государственных ресурсах, например, на порталах «Госуслуги» и «Мос-ру» введена обязательная двухфакторная аутентификация (2FA).
Появились и отраслевые требования. Например, ЦБ рекомендовал банкам проверять email-адреса, которые используются при авторизации, делать мониторинг IMSI (идентификатор мобильного абонента) и IMEI (индивидуальный номер мобильного телефона) клиентов.
Бизнесу тоже пришлось решать задачи защиты персональных данных, чтобы избежать штрафов и репутационных потерь. В результате здесь стал расти спрос на подключение двухфакторной и многофакторной аутентификаций.
Двухфакторная аутентификация подходит и для защиты персональных данных клиентов компании, и для контроля доступа к внутреннему ИТ-ландшафту: корпоративным системам, облакам, административной панели сайта, авторизованной зоне сайта для партнеров, поставщиков и т.д.
Проникновение в эти системы приводит к утечкам коммерческой информации, ущерб от которых, как правило, больше, чем от утечек личной информации.
По теме. Онлайн-мошенничество скоро превратится в битву между ИИ
Человеческий фактор vs второй фактор
Второй фактор защищает авторизацию почти на 100%, но слабое звено этой технологии — человек. Отправляемый OTP (One Time Password или одноразовый пароль) имеет ограниченный срок действия. Как правило, несколько минут. Это делает любые попытки взлома брутфорсом или восстановлением пароля бесполезными, так как без второго фактора авторизоваться все равно не получится, а к нему доступа нет.
Однако второй фактор не поможет, если в компании не соблюдается политика доступа, правила включения и отключения пользователей. Около 45% утечек связаны с действиями персонала, в том числе и неосознанными. Нужно следить, чтобы у уволившихся сотрудников не было доступа к корпоративным системам. При этом важно обучать персонал кибергигиене.
Частично проблему человеческого фактора можно решить и за счет сокращения срока жизни OTP, например, дав пользователю не более 20 секунд на ввод кода.
Из старых схем обхода второе рождение переживает подмена SIM-карты. Возрождение метода связано с распространением eSIM и увеличением количества виртуальных операторов связи.
Для подмены SIM-карты мошеннику нужен скомпрометированный аккаунт, который он взял из ранее утекших данных, и телефон с поддержкой eSIM. Он подает заявку на перевыпуск карты или «переходит» к виртуальному оператору с сохранением номера. Получив телефон с нужным номером, можно войти в любые сервисы и украсть деньги, взять кредиты и т.д.
Будущее двухфакторной аутентификации
По нашим данным, среди компаний, использующих 2FA, 20% добавляет только один дополнительный фактор, а 40% — два и более. В качестве второго фактора используются разные методы: SMS OTP, email-ссылка, email OTP, SMS со ссылкой, голосовые звонки с кодом-роботом, приложения аутентификаторы, флеш-носители с токеном, биометрия.
На наш взгляд, технология 2FA будет развиваться дальше и появятся новые методы защиты. Например, из последних новинок можно отметить QR-код в качестве второго фактора. Это интересный метод с точки зрения надежности, но он не очень удобен для пользователей.
Рано или поздно придет в Россию и технология RCS. Это новый протокол коротких сообщений, который позволяет пользователям обмениваться медиафайлами. Скорее всего, со временем технология полностью заменит SMS.
Двухфакторную аутентификацию будут подключать все больше компаний: причем даже из тех отраслей, которые раньше не задумывались о защите аккаунтов своих пользователей, клиентов и сотрудников. При этом, как нам кажется, будет расти и количество случаев, когда используется второй фактор. Например, если раньше банки отправляли код подтверждения в среднем в четырех случаях, то сейчас таких сценариев около 15.
По теме. Тест: Узнайте, насколько ваш сайт готов к хакерской атаке
Как пользователям обезопасить себя
Пользователям можно посоветовать подключать двухфакторную аутентификацию не только на портале «Госуслуги» и в приложении банка, а везде, где есть какая-то значимая информация: социальные сети, мессенджеры, e-mail, личные кабинеты на маркетплейсах и в интернет-магазинах.
Подключение даже одного дополнительного фактора повышает безопасность в несколько раз. Авторизация по паре «логин-пароль» или «телефон-пароль» дает мнимое спокойствие. Из-за массовых утечек номера телефонов давно доступны, а пароль, особенно если он не самый надежный, можно подобрать за минуту брутфорсом.
Фото на обложке: Freepik
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025