LIVE

Безопасность и защита персональных данных: главные факторы риска

В Verizon DBIR 2026 зафиксировано: 31% утечек начинались с эксплуатации уязвимостей в программном обеспечении. Впервые за 19 лет существования отчёта этот путь обогнал кражу учётных данных.

Обновлено17 июля 2026 г.
Чтение8 мин
Безопасность и защита персональных данных: главные факторы риска

Сдвиг структурный: персональные данные всё чаще утекают не из-за слабого пароля пользователя, а из-за программной ошибки, которая позволяет обойти аутентификацию — то есть проверку «кто вы» — в принципе.

Та же статистика показывает 48% инцидентов с участием третьих сторон — поставщиков софта, подрядчиков, интеграторов. Контур атаки раздвинулся: уязвимость может жить в библиотеке, которая используется в сотнях продуктов одновременно. Конкретное действие пользователя здесь вторично; на первый план выходит состояние кода, которым этот пользователь пользуется каждый день.

Цифры DBIR — это срез инцидентов в организациях, а не точная вероятность взлома отдельного человека. Но тренды из отчёта показывают направление, в котором двигаются атакующие, и помогают расставить приоритеты.

Эволюция векторов атак: почему уязвимости ПО стали опаснее кражи паролей

Кража учётных данных долгое время оставалась главным способом проникновения. Пароль — это секрет, который пользователь помнит и иногда вводит не туда. Брутфорс (перебор всех возможных комбинаций) и credential stuffing (массовая проверка украденных паролей на разных сайтах, потому что люди используют одну и ту же комбинацию в десятках сервисов) работали, пока пользователи повторяли одни и те же пароли. С распространением менеджеров паролей и крупных утечек хешей — необратимых отпечатков, по которым восстанавливают исходный пароль методом перебора — у атакующих появился стимул искать обходные пути. И они нашли их в самом коде.

Эксплуатация уязвимости — это атака не на пользователя, а на программу. Она использует дефект в логике приложения или сервиса: например, ошибку в обработке запроса, через которую злоумышленник получает доступ к данным без ввода пароля вообще. Для пользователя это выглядит как «я всё делал правильно, но данные всё равно утекли».

Вектор атакиСутьЧто требуется атакующему
Кража учётных данныхПолучение логина и пароля пользователяФишинг, утечки баз, подбор по словарю
Эксплуатация уязвимостиИспользование дефекта в коде сервисаЗнание слабого места в конкретной программе или библиотеке

Дополнительный фактор — высокая доля инцидентов через третьи стороны. По DBIR 2026, она достигла 48%. Современный сервис — это сборка из десятков компонентов: библиотек обработки изображений, платёжных модулей, аналитических SDK (комплектов разработчика, встроенных в приложение для сбора данных и вызова внешних функций). Уязвимость в одном из них распространяется на всех потребителей сразу. Машинное обучение играет здесь двойную роль: автоматические сканеры кода ускоряют поиск слабых мест для защитников, а генеративные модели ускоряют создание эксплойтов — готовых программ для применения уязвимости — для атакующих. Баланс сил смещается, но не в одну сторону.

Мобильная социальная инженерия: почему SMS и звонки обходят фильтры внимания

В Verizon DBIR 2026 зафиксировано: мобильная социальная инженерия — поддельные SMS и голосовые звонки — на 40% успешнее классического email-фишинга. Это устойчивая закономерность последних лет, а не статистическая флуктуация.

Причина в самом канале. SMS приходит на личный номер, уведомление появляется на заблокированном экране, голосовой звонок застаёт врасплох. Корпоративные фильтры почты не работают. Сообщение стилизовано под уведомление банка, курьерской службы или оператора связи. Технический приём — искусственная срочность: «ваш аккаунт заблокирован, подтвердите код», «посылка не пройдёт без доплаты». Окно для принятия решения сжимается до нескольких секунд.

NIST определяет фишинг как попытку мошенника выманить у пользователя секрет аутентификации. Здесь возникает критический нюанс. Стандарт NIST прямо указывает: одноразовые коды — OTP, то есть коды из SMS или приложения-аутентификатора — не считаются фишингоустойчивыми. Суть атаки в том, что пользователь вводит код на поддельной странице, а злоумышленник в реальном времени ретранслирует его настоящему сервису. Человек думает, что подтверждает вход в свой банк, а на деле отдаёт код атакующему.

Фишингоустойчивая аутентификация требует криптографической стойкости не менее 112 бит и предполагает использование аппаратных ключей или протоколов с привязкой к домену — подделать сессию на поддельном сайте в такой схеме технически невозможно.
Способ подтверждения входаУстойчивость к фишингуКак работает
SMS-код или push с ручным подтверждениемНизкаяКод можно перехватить и переслать на поддельный сайт
Приложение-аутентификатор (TOTP, код, обновляющийся каждые 30 секунд)СредняяЛучше SMS, но вводится вручную и подделывается
Аппаратный ключ (FIDO2/WebAuthn, открытые стандарты входа без пароля с использованием физического устройства)ВысокаяПривязка к домену, подделать поддельный сайт нельзя

Ошибки контроля доступа и криптографии: что говорит OWASP Top 10:2025

OWASP Top 10 — это рейтинг наиболее критичных рисков для веб-приложений, который обновляется сообществом разработчиков и специалистов по безопасности. В редакции 2025 года первую строчку заняли нарушения контроля доступа. Это класс ошибок, при которых приложение не проверяет, имеет ли текущий пользователь право выполнить запрошенное действие.

Механика простая: пользователь видит ссылку вида example.com/orders/12345 и меняет в ней число на 12346. Если сервер не сверяется с владельцем записи — данные чужого заказа отдаются кому угодно. По OWASP, под этот класс описано 40 различных шаблонов слабых мест (CWE — общая классификация уязвимостей, поддерживаемая организацией MITRE), средняя встречаемость — 3,74% в проанализированных приложениях. Это не теоретическая угроза: API (программный интерфейс приложения, через который между собой общаются разные сервисы) без проверки прав может отдать весь массив пользовательских данных автоматизированному запросу за минуты.

На четвёртом месте — криптографические ошибки, 32 сопоставленных класса CWE, средняя встречаемость 3,80%. Сюда входят отсутствие шифрования при передаче данных, слабые или устаревшие алгоритмы, утечки ключей и ошибки в управлении ими. OWASP прямо рекомендует шифровать данные и при передаче, и в состоянии хранения — это базовое требование, а не опция.

Нарушения контроля доступа и криптографические ошибки занимают первую и четвёртую строчки OWASP Top 10:2025. Это не экзотические атаки — это базовые свойства приложения, которые либо сделаны правильно, либо нет.

Что это значит для пользователя. Проверить, правильно ли сервер проверяет права доступа к вашему заказу, обычный человек не может. Проверить, каким алгоритмом зашифрованы сообщения в мессенджере, тоже. Это инженерные решения на стороне разработчика. Но они объясняют, почему «надёжный сервис» в рекламе и реальная безопасность — не одно и то же.

Мифы, которые мешают защите

Несколько распространённых представлений не выдерживают проверки источниками и создают ложное ощущение безопасности.

Замок в адресной строке и HTTPS означают, что сайт надёжный. Нет. HTTPS и значок замка означают только то, что соединение с сайтом зашифровано: данные по пути не перехватит третий участник. FTC прямо предупреждает: мошенники тоже создают зашифрованные поддельные сайты, и всё, что на них введено, окажется у атакующего. Шифрование канала — это не доверие к адресату.

Двухфакторная аутентификация всегда спасает. Спасение зависит от типа второго фактора. Если это SMS-код или push-уведомление с ручным подтверждением, NIST прямо не относит такие методы к фишингоустойчивым. Настоящая фишингоустойчивая аутентификация строится на аппаратных ключах с криптографической привязкой к домену — это стандарты семейства FIDO2/WebAuthn.

Пароль плюс PIN — это два фактора. Нет. Это два секрета одной категории — «то, что пользователь знает». Настоящая двухфакторная аутентификация комбинирует разные категории: знание (пароль) плюс владение (аппаратный ключ, телефон) или биометрию (отпечаток, лицо).

Антивирус и обновления гарантируют отсутствие взлома. FTC советует держать антивирус, операционную систему, браузер и мобильную ОС в актуальном состоянии, потому что обновления закрывают известные уязвимости. Это снижение риска, а не его обнуление: новые уязвимости появляются быстрее, чем пользователь успевает обновляться.

VPN делает пользователя полностью анонимным. VPN защищает канал связи между устройством и VPN-сервером. Он не защищает от фишинга, вредоносного ПО на самом устройстве, компрометации аккаунта или утечки данных со стороны сервиса, куда пользователь сам их ввёл.

Стратегия цифровой гигиены: что действительно снижает риск

Эти пункты не дают абсолютной гарантии, но именно они указаны в источниках как практическая основа защиты персональных данных.

  • Разные пароли для разных сервисов. NIST прямо указывает: повторное использование паролей — главный канал успешных атак типа credential stuffing. Менеджер паролей создаёт и хранит отдельный длинный пароль для каждой учётной записи. NIST требует, чтобы сервисы позволяли использовать такие менеджеры и разрешали вставку пароля из буфера обмена — это не роскошь, а стандарт.
  • Корректное хранение паролей на стороне сервиса. NIST требует хранить пароли в форме, устойчивой к офлайн-подбору: с добавлением соли (случайной строки, которая делает одинаковые пароли в базе разными) длиной не менее 32 бит и хешированием — необратимым преобразованием в отпечаток фиксированной длины, который и хранится в базе. Если в новостях об утечке говорится, что «пароли хранились в открытом виде», это прямое нарушение требований.
  • Двухфакторная аутентификация везде, где она доступна. С оговоркой про тип фактора: аппаратные ключи FIDO2/WebAuthn и биометрия с локальной проверкой устройства надёжнее SMS-кодов.
  • Регулярные обновления. Операционная система, браузер, мобильная ОС, антивирус — каждое обновление закрывает конкретные известные уязвимости. Откладывать их не стоит.
  • Проверка домена вручную при подозрительных сообщениях. Не переходить по ссылкам из SMS и мессенджеров; если сообщение кажется важным, лучше набрать адрес вручную в новой вкладке.

Что показывает текущая картина

DBIR 2026 описывает структурный сдвиг, который уже проявился в статистике инцидентов: эксплуатация уязвимостей впервые за 19 лет существования отчёта обогнала кражу учётных данных как основной вектор проникновения. Одна ошибка в коде способна открыть миллионы аккаунтов одновременно — это объясняет, почему атакующие перераспределяют усилия в сторону поиска дефектов в программах, а не пользовательских секретов. Та же логика работает и для мобильной социальной инженерии: по данным отчёта, поддельные SMS и голосовые звонки демонстрируют более высокую эффективность по сравнению с email-фишингом. Сообщение приходит на личный номер, уведомление появляется на заблокированном экране, голосовой звонок застаёт врасплох. Корпоративные фильтры почты здесь не работают — точка входа у атакующего другая, и она совпадает с привычкой пользователя доверять уведомлениям на личном телефоне.

В корпоративных сетях отдельный фактор риска — использование сотрудниками несанкционированных ИИ-инструментов. По DBIR 2026, доля таких сотрудников за год выросла с 15% до 45%. Это формирует канал утечки корпоративных данных через сторонние сервисы, к которым у пользователя нет регламентов и политик обработки.

Безопасность и защита персональных данных — это не один продукт и не одна настройка. Это комбинация инженерных решений на стороне сервиса (корректная аутентификация, шифрование, контроль доступа, работа с уязвимостями) и поведения пользователя (разные пароли, обновления, внимательность к каналу связи). Первая часть зависит от выбора сервиса. Вторая — от привычки. Именно на стыке этих двух контуров формируется реальный уровень защиты — здесь расставляются приоритеты и для тех, кто отвечает за безопасность в организации, и для самого пользователя.

Частые вопросы

Почему кража паролей перестала быть главным способом взлома?
Злоумышленники переключились на эксплуатацию программных ошибок, так как использование менеджеров паролей и развитие методов защиты сделали брутфорс менее эффективным.
Является ли наличие HTTPS-замка в браузере гарантией безопасности сайта?
Нет, значок замка лишь подтверждает шифрование соединения, но не защищает от поддельных сайтов, созданных мошенниками.
Почему SMS-коды для подтверждения входа считаются небезопасными?
Такие коды не являются фишингоустойчивыми, так как злоумышленники могут перехватить их в реальном времени и использовать на поддельной странице.
Что такое фишингоустойчивая аутентификация?
Это методы, использующие аппаратные ключи или протоколы с привязкой к домену, которые технически невозможно подделать на фишинговом сайте.
Какие риски несет использование сторонних компонентов в современных сервисах?
Уязвимость в одной библиотеке или модуле, используемом в продукте, автоматически распространяется на всех его пользователей.