III КВАРТАЛ 2022Г. - 55 баллов 
– На первый взгляд, очень большой опасности эта утечка не представляет, так как ни банковских, ни паспортных данных там нет. Однако содержащаяся в ней информация может использоваться для фишинга. Например, персонализированные (с упоминанием фамилии, имени и должности) письма могут быть направлены как конкретным сотрудникам РЖД, чьи данные есть в базе, так и еще кому-то от их имени. С помощью фишинга могут похищены пароли к внутренним ресурсам компании, однако более вероятно, что большая часть атак будет направлена на личные банковские счета сотрудников, например через фальшивые письма от бухгалтерии с требованием предоставить данные о счетах или картах или войти по специальной ссылке в интернет-банк.
– Какие манипуляции могут быть совершены с украденными данными?
– В первую очередь – то, что уже произошло: данные будут выставлены на продажу и будут куплены злоумышленниками. Вторая достаточно опасная манипуляция – данные будут «обогащены» путем слияния с другими криминальными базами, например паспортных данных или банковских счетов. После этого они будут представлять уже большую опасность и давать преступникам возможность в том числе и для телефонного мошенничества с банковскими счетами.
– Какие могут быть последствия для РЖД как компании?
– Так как РЖД оперируют в российском, довольно несовершенном в плане охраны персональных данных, правовом поле, то вряд ли последует что-то большее, чем репутационный ущерб и имидж компании, не умеющей хранить не только клиентские данные, но и информацию о собственных сотрудниках. А вот если бы компания находилась, например, в Европе, то в соответствии с GDPR ее ждал бы штраф размером до 4% от общего годового оборота.
Беседовала Юлия Чернышевская
