Немного о “слитых базах данных”

На данный пост меня вдохновили новости, которые обсуждают последние несколько дней.

Первая из них — это утечка данных о 60 млн. клиентов Сбербанка. Это, пожалуй, самая большая утечка персональных данных в банковском секторе в России на сегодняшний день.

PS: оговорюсь, что все не так уж и страшно, так как в слитой базе нет номеров телефонов и CV, но факт утечки — это всегда плохо при любых раскладах.

Вторая новость, которая стала обсуждаться пару дней назад, это утечка данных о почти 9 млн пользователей Билайн.

По началу в Билайн отрицали утечку, но на сегодняшний день они официально подтвердили “слив” и основная отговорка в том, что база “протухшая”. Дело в том, что в 2016 году в Билайн уже была подобная утечка и база гуляла по разным теневым форумам, где ее можно было свободно скачать. Вопрос только в том, что по некоторым данным, новая утечка более обширная, но точно сказать сложно.

Как бы там ни было, говорить мы будем сегодня не о конкретных утечках, а о их значении и последствиях. Давайте тезисно:

1. Практически ежедневно (!!!) происходят крупные утечки с данными разной важности. О большей части из них мы просто НИЧЕГО не знаем, если только специально не занимаемся отслеживанием подобного рода инцидентов. У всех на слуху только крупные, по типу случаев с Facebook.

2. Второе вытекает из первого: в среднем 7–8 компаний из 10 НЕ сообщают о своих утечках и статистика от этого факта кажется не такой уж и страшной. На самом деле все несколько хуже. Утечки данных происходят очень часто и почти у всех. Причин тому много, но как показывает мой опыт, самая частая из них — это человеческий фактор и мышление в духе “а, и так сойдет!” Особенно, это касается системных администраторов и служб безопасности.

3. Ну и последний тезис — это странная защитная реакция компаний на утечку.

С первым и последним все более- менее ясно. Чтобы проверить реальное количество слитых баз, достаточно просто зайти на разные специализированные форумы, где под такое создаются отдельные ветки. Естественно, ссылки оставлять я не буду.

Теперь о компаниях. Почему же большинство случаев нам не известно? Самая очевидная причина: ни кто не хочет выносить сор из избы и терять репутацию. Но, на самом деле, не говоря публично об утечках, они делают этим себе только хуже. Во-первых, все равно через какое-то время информация просочится и о сливе узнают все. Во-вторых, клиенты компании, которые попали в слитую базу, находятся под угрозой. Предупредить их об этом, как вы понимаете, ни кто не может, потому что утечка находится в строжайшем секрете. В общем репутация для большинства компаний дороже, чем безопасность их клиентов. С одной стороны это можно понять, но по правильному – такого быть не должно. Клиенты от таких компаний со временем просто отвернутся.

Ну и последнее – странная защитная реакция компаний на утечку. Самые типовые сценарии – это отрицание утечки (что, как я уже говорил выше, очень глупо); скидывание ее на какого-нибудь сотрудника или контр-агента и, самое глупое, обесценивание утечки.

Обратите внимание, что риторика официальных представителей компаний часто сводится к тому, что утёкшие базы данных являются старыми и данные в них не несут угроз. И то, к такому приему прибегают только в том случае, если «замять» утечку уже не получилось. Такое обесценивание сливов баз данных можно встретить повсеместно, и, конечно, верить в это не стоит, за исключением некоторых случаев. Бывает так, что компания может реально подтвердить, что в базе не было важных данных. Все остальное – это просто детская манипуляция и перевод внимания.

Как же обстоят дела в реальности?

Даже базы данных МВД за 2010 год, которые свободно лежат на торрентах, несут угрозу. Да, там скорее всего не будет информации на более молодых людей, но, зато будет на других. Чем больше данных скачает злоумышленник, тем хуже, потому что все такие базы единовременно могут подгружаться в специальный софт и качество обработки информации возрастает многократно. Любые данные о человеке или компании могут дать некое представление по разным вопросам, даже если данным не один год. При атаках с использованием социальной инженерии (можете почитать об этом тут), даже базовый набор данных может быть использован злоумышленниками крайне виртуозно для создания эффекта доверия. Поэтому в нормальном корпоративном мире, когда компания не закрывает свои «дыры в безопасности», на ней будет некое клеймо неблагонадежности.

Отдельного разговора заслуживают действия службы безопасности компании в такой момент. Есть две модели поведения.

Первая – это когда СБ понимает, что это косяк и пытаются решить инцидент максимально быстро, а так же попутно закрывает брешь и делает выводы на будущее. Это в идеальном мире и таких правильных людей точно меньше половины. В реальности же, больше половины подразделений СБ начинает скидывать с себя ответственность и обесценивать утечку. Как следствие, брешь не будет закрыта и клиенты пострадают. Зато, в их понимании, лицо они сохранили. Звучит ужасно, но так делают многие компании.

Давайте подытожим.

Сегодня почти ежедневно происходят утечки персональных данных. То, что мы видим в новостях – это лишь вершина айсберга, так как большинство компаний стараются не говорить о том, что у них «увели» данные клиентов. Если же скрыть это не получается, то многие переходят к стратегии обесценивания данных, например, под предлогом, что информация устарела и не несёт ценности.

Мой основной посыл заключается в том, что, на самом деле, любые данные несут ценность, даже если они не новые. Обесценивать такие утечки не самая лучшая идея, потому что мы живем в то время, когда скрыть какую-либо информацию достаточно проблематично и дорого. Отсюда вытекает логичное умозаключение: проще честно признаться и сделать работу над ошибками. Как говорят сегодня, от этого все будут в ситуации “win-win”.

PS: советую всем почитать мою статью про то, почему любые данные несут большую ценность вне зависимости от вашего статуса. Читаем тут.

PSS: данная статья является всего лишь моим мнением и не призывает не к каким действиям.