Роскомнадзор вполне грамотно реагирует на утечку логинов и паролей 450 тысяч пользователей Ozon, о которой сервис своевременно не сообщил. Об этом ФБА "Экономика сегодня" рассказал эксперт в области информационной безопасности, издатель журнала "Information Security" Александр Власов.
Роскомнадзор направит запрос российскому интернет-магазину Ozon в связи с утечкой персональных данных более 450 тысяч пользователей, о которой сервис своевременно не сообщил. Российское ведомство выразило обеспокоенность действиями компании, которая своим молчанием поставила под угрозу безопасность всех пользователей интернет-магазина. РКН намерен получить от руководства электронной торговой платформы разъяснения его действий по сокрытию информации о проблеме.
"Утечка данных пользователей Ozon – наглядный пример удачной классической хакерской атаки – возможно, с элементами диверсии, - отмечает специалист. – Взломщики предпринимают ежедневно тысячи попыток атак на компании по всему миру - большинство отражается, но какие-то достигают цели. Банально в компанию мог попасть вирус, прикрепленный к письму – его активировали, после чего создалась лазейка в системе безопасности интернет-магазина. Кто-то перешел по ссылке, антивирусы не сработали…
Хотя по статистике 80% подобных утечек происходит с участием сотрудника компании, поэтому нельзя исключать и сговор с элементами диверсии. То есть Ozon должен провести полноценное корпоративное расследование. Так или иначе, под ударом оказались сотни тысяч клиентов – базу данных хакеры, возможно, пытались продать, и после все равно выложили в интернет. Таких случаев много, но Ozon не заурядный мелкий магазин, а транснациональная торговая платформа с огромным числом пользователей".
"Замолчать" проблемы
В пресс-службе Ozon подтвердили, что хакеры похитили не просто имена пользователей, но также их адреса электронной почты и пароли – такие данные дают доступ к аккаунтам клиентов. Это означает, что мошенники могут делать покупки за счет ничего не подозревающих пользователей торговой площадки и проводить другие финансовые махинации. Кроме того, взломщики получили возможность "несанкционированно получать информацию о пользователях и совершать от их имени различные действия".
Роскомнадзор считает: такой набор личных сведений позволяет отнести их к персональным данным, которые в России защищаются законом. Около сотни случайных e-mail из этой базы были проверены с помощью сервиса Email Checker, все они актуальны. Больше всего российское ведомство возмущено молчанием руководства компании об утечке. Интернет-магазин предпринял меры - указанные пароли для входа в Ozon были заменены. Но факт ЧП от пользователей скрыли.
"К сожалению, подавляющее большинство крупных корпораций, "потерявших" данные пользователей, предпочитают об этом молчать. Довольно часто об утечках все равно становится известно – хотя бы стараниями тех же хакеров, выкладывающих украденную информацию в Сеть. Однако компании все равно надеются, что им удастся как-то избежать скандала. Они предпринимают определенные действия по усилению мер безопасности, но "сор из избы" стараются не выносить. Авось обойдется.
Ведь признание, что компания не смогла уберечь данные клиентов – это мощный удар по репутации. Это означает, что фирма с мировым именем не способна или не хочет защитить своих клиентов. Это подрыв доверия к компании, отказ от сотрудничества. Ни одна корпорация такого сценария не хочет. А когда СМИ начинают трубить об утечках, ситуация становится лишь хуже – своим молчанием компания поставила под удар финансовые интересы своих клиентов, которые имели право знать о проблеме", - подчеркивает эксперт.
Сделали выводы
По итогам инцидента с Ozon в Роскомнадзоре пообещали внести изменения в законодательство, согласно которым надзорный орган нужно будет обязательно оповещать об утечках данных. Нововведения примут с учетом положений обновленной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Предполагается, что эти нормы расширят права пользователей на получение информации о несанкционированном доступе третьих лиц к их персональным данным.
"Люди имеют право не просто заявить о своем несогласии, но и, независимо от гражданства и места жительства, получать квалифицированную защиту от надзорного органа", - подчеркнули в Роскомнадзоре. Отныне компании, работающие с пользователями в РФ, обязаны будут в случае утечек персональных данных незамедлительно сообщать об этом российскому регулятору. За молчание можно будет поплатиться немалыми штрафами.
"Во всем мире сейчас принимаются законы об ответственности за молчание об инцидентах. Россия идет по единственно верному пути, которые убережет ее граждан от рисков, связанных с хакерскими атаками на крупные фирмы по всему миру. Само собой, хакерские атаки это не отразит, но даст эффекты другого рода.
Для начала, это научит многие компании ответственности – сотрудники не будут открывать "левые" ссылки и не попадутся на другие уловки взломщиков. Руководство фирм будет кровно в этом заинтересовано. Равно как и в усилении бдительности служб внутренней безопасности в компаниях.
Для пользователей же своевременное оповещение станет сигналом к действию. Данные утекли в руки хакеров – значит, нужно оперативно менять пароли электронных почтовых ящиков и обращаться в банки для консультации по защите своих средств на картах и счетах. Кто предупрежден – тот вооружен", - заключает Александр Власов.
