Основной сценарий или, наверное, правильнее сказать основной канал утечек — это подключенные к интернету корпоративные системы и облачные хранилища. Утечки происходят как по причине неправильной настройки доступа к хранилищу или неправильной настройки прав доступа пользователей, так и в результате их взлома.

Часто крупные утечки происходят даже без взломов, а по недосмотру. По разгильдяйству исполнителей оказывались в открытом доступе базы данных, содержащие персональные данные людей. Последняя громкая утечка данных была из сервиса по доставке еды — любой желающий мог подключиться и загрузить все содержимое себе. В данном случае вина лежит на том, кто конфигурировал эту базу и настраивал доступ к ней, то есть на системных администраторах.

Я начну со второй половины вопроса. Данные чаще всего крадутся с целью дальнейшей их перепродажи, то есть тот, кто крадет данные редко их самостоятельно использует. Он просто формирует архив информации и говорит, что у меня есть данные, условно — 100 000 пользователей такого-то ресурса. Кому интересно — стартовая цена такая, а дальше, кто больше предложит. Есть целые тематические форумы, в основном в Даркнете, посвященные купле-продаже данных.

Какие данные чаще крадутся? Наверное, не совсем корректная формулировка.

Данные крадутся те, которые в первую очередь легко украсть: все, что плохо лежит уже давно украдено. Не важно в какой области работает система или какого характера данные: медицинские, коммерческие или другие. Понятно, что есть там наиболее интересные категории данных: связанные с платежными системами, картами или учетные данные каких-то банковских приложений.  Такие вещи очень хорошо защищаются, и данные из таких систем крадутся в основном через целевые атаки, когда против конкретной системы работает группа злоумышленников и изучает уязвимости этой системы. Проводят атаки и получают несанкционированный доступ к данным.

Отдельно стоит сказать о том, что есть рынок точечной «пробивки» людей, где о человеке можно узнать практически любую информацию, начиная от ФИО и паспортных данных, заканчивая наложенными на него запретах, браках, разводах и т.д. Можно узнать всё, что хранится в базах либо государства, либо каких-то коммерческих структур. Опять же в даркнете есть тематические форумы, где недобросовестные сотрудники различных госорганизаций, правоохранительных органов или лица, имеющие доступ к закрытым базам, предоставляют информацию о человеке за деньги.

Модель поведения наиболее приемлемая для компании, которая допустила утечку, как и в любой другой ситуации — вести себя адекватно. Для российских организаций, особенно крупных, самая распространенная модель поведения — это отрицание очевидного.  Например, у крупного банка была утечка данных миллионов кредитных карт. И банк говорил, что в качестве примера злоумышленники выложили 100 000. Вот мы считаем, что на самом деле утекло 100 000.

Идёт занижение масштабов и принижение важности инцидента — это сейчас распространенная практика. А хорошей практикой считается, когда компания адекватно оценивает последствия произошедшего. Извиняется за произошедшее перед теми, кто мог понести или понес ущерб в результате этого взлома и активно работает в сторону расследования произошедшего. И принимает меры и рассказывает о них для недопущения подобных инцидентов в будущем.