В 2023 году из банков и финансовых компаний утекло 170,3 млн записей персональных данных клиентов — больше, чем население России, подсчитали в InfoWatch. За год их число выросло в 3,2 раза. Жертвы могли попасть в базы неоднократно

В 2023 году из российских финансовых организаций утекло 170,3 млн записей персональных данных клиентов (без учета платежных данных) — это больше, чем в 2022 году, в 3,2 раза; по сравнению с 2021 годом показатель подскочил почти в 57 раз. Об этом говорится в исследовании экспертно-аналитического центра (ЭАЦ) компании InfoWatch об утечках из финансового сектора за 2021–2023 годы (есть у РБК).

Всего российские финансовые организации допустили 64 случая потери персональных данных клиентов, что превышает показатели 2022 года на 12,3%, а 2021 года — почти вдвое. Примерно половина утечек — 46,9% — пришлась на банки. С компрометацией данных клиентов также сталкиваются микрофинансовые организации (МФО), платежные сервисы, криптобиржи, традиционные биржи, инвестиционные компании и другие участники финансового рынка.

«Существенный рост количества инцидентов связан с активизацией организованных групп хакеров, прежде всего — политически мотивированных хактивистов, на фоне проведения СВО (специальной военной операции России на Украине. — РБК). Их главными задачами стали подрыв устойчивости, психологическое давление на финансовые организации и запугивание клиентов», — отмечают авторы исследования.

Как указано в отчете, когда злоумышленникам удавалось взломать системы российских банков и других финансовых компаний, то украденные данные, как правило, размещались в открытом доступе. В дальнейшем они использовались хакерами для проведения фишинговых атак и реализации различных мошеннических схем, в том числе с использованием методов социальной инженерии (обман клиентов), поясняет руководитель направления аналитики и специальных проектов ЭАЦ InfoWatch Андрей Арсентьев.

Ранее свою оценку слитым персональным данным в 2023 году дал Роскомнадзор. По оценкам ведомства, всего в прошлом году произошло 168 утечек персональных данных из российских компаний (не только финансовых). В открытый доступ попало 300 млн записей. По информации сервиса DLBI, за прошлый год в Сеть утекли 240 млн уникальных телефонных номеров россиян, в эту статистику входят не только банки и финансовые организации, но и сегмент электронной коммерции, компании здравоохранения, досуга и т.п.

Как утекают данные

Как отмечают авторы исследования, доля банков в распределении утечек по типу участников рынка остается стабильно высокой на протяжении всех трех лет — не ниже 45%. При этом в 2023 году резко вырос процент инцидентов, допущенных страховыми компаниями, — с 3,5% в 2022 году до 25%. Одновременно с этим снизилась доля утечек из МФО (с 14% в 2022 году до 9,4%).

87,5% утраченных записей относились к персональным данным клиентов банков и финансовых организаций, указывают в InfoWatch. На втором месте находятся данные, составляющие коммерческую тайну, — 7,8%. На третьем месте (3,1%) — платежные сведения.

Большинство утечек в 2023 году произошли в результате кибератак — 87,5%. Для сравнения: в 2022 году этот показатель составлял 84,2%, а в 2021-м был значительно меньше — 57,6% случаев. Доля инцидентов из-за умышленных действий внутренних нарушителей (сотрудников банков и компаний), наоборот, снизилась — с 21,2% в 2021 году до 8,8% в 2022-м и 4,7% в 2023-м. Похожая динамика отмечается и в утечках, допущенных из-за случайных действий внутренних нарушителей: если в 2021 году их доля составляла 21,2%, то в 2023-м — уже 1,6%.

«Часть кибератак может носить гибридный характер, то есть, вероятно, они совершаются с привлечением лиц, работающих в финансовых организациях, или являются прикрытием для внутренних хищений. Исходя из этого, доля инцидентов, связанных с действиями внутренних нарушителей, формально снизилась», — отмечают авторы исследования. Они добавляют, что такую динамику также можно объяснить и эффективной работой компаний по настро