Kyushu Electric Power Transmission and Distribution Co., стопроцентная дочерняя компания одной из крупнейших региональных энергетических компаний Японии, сообщила 8 июня об утере твердотельного накопителя размером с ладонь, содержащего персональные данные до 10,9 миллиона клиентов, — при этом накопитель не был ни зашифрован, ни защищен паролем. Этот инцидент, по всей видимости, является крупнейшей утечкой персональных данных в истории Японии, превосходя утечку данных JTB в 2016 году, затронувшую 7,93 миллиона записей.
Утерянный SSD-накопитель делает этот инцидент принципиально отличным от волны атак программ-вымогателей и эксплойтов удаленного доступа, доминировавших в заголовках новостей о безопасности в 2026 году. Его не заблокировал ни один файрвол. Ни один инструмент обнаружения конечных точек не смог бы его перехватить. 10,9 миллиона записей на этом накопителе — имена клиентов, адреса мест предоставления услуг, номера телефонов, данные об использовании электроэнергии и названия розничных поставщиков электроэнергии — могли быть прочитаны любым, кто взял устройство в руки, поскольку компания их никогда не шифровала.
Утеряно в помещении, защищенном биометрией
Цепочка сбоев началась 27 апреля 2026 года, когда подрядчик, работавший на дочернюю компанию, выполнял плановое ежемесячное резервное копирование для освобождения места на сервере. Поскольку серверу не хватало достаточной емкости, подрядчик скопировал базу данных клиентов на портативный SSD — устройство, достаточно малое, чтобы поместиться в ладони. Накопитель хранился в шкафу внутри серверной, защищенной биометрическим контролем доступа.
26 мая тот же подрядчик вернулся для выполнения другого задания и обнаружил, что шкаф открыт, а накопителя нет. Компания опросила весь персонал, входивший в помещение, и просмотрела записи камер видеонаблюдения, но накопитель не был найден. Журналы показали, что 57 человек из 10 различных подрядных фирм прошли через биометрический контроль доступа в течение примерно 30-дневного периода между моментом хранения накопителя и моментом обнаружения его пропажи. 4 июня компания подала заявление в полицию, выразив подозрение, что устройство было изъято без разрешения.
Компания заявила, что накопителю не разрешалось покидать объект. Она также сообщила, что на данный момент нет доказательств утечки данных, хотя накопитель так и не был найден.
👉 Читайте далее: 318166 Сбой уведомления об утечке данных ServiceNow
Незашифрованные резервные носители: предсказуемо и предотвратимо
Самая важная деталь этой утечки заключается не в том, что SSD пропал, а в том, что SSD никогда не был зашифрован. Согласно Специальной публикации 800-209 Национального института стандартов и технологий, регулирующей безопасность хранения данных, резервные данные на переносных носителях должны быть зашифрованы для защиты именно от такого сценария: физической потери или кражи. Этот стандарт действует уже много лет и широко используется операторами критической инфраструктуры.
Зашифрованный накопитель, исчезнувший из серверной, — это потерянный предмет. Незашифрованный накопитель, исчезнувший из серверной, — это утечка данных. Рабочий процесс резервного копирования Kyushu Electric привел ко второму исходу, хотя мог привести к первому.
Этот сбой усугубляет сбой физической безопасности. Серверная имела биометрический контроль доступа — значимый уровень защиты. Модель эшелонированной защиты конфиденциальных данных требует, чтобы каждый уровень функционировал независимо: если внутренний уровень выходит из строя (замок шкафа был найден открытым), следующий уровень (шифрование) все равно должен защищать данные. В данном случае для самих данных такого уровня не существовало.
KPMG Japan установила, что отечественные субподрядчики и деловые партнеры являются наиболее частым источником инцидентов безопасности в японских организациях, составляя 10,8% подтвержденных случаев — шаблон, которому этот инцидент полностью соответствует, учитывая, что процедура резервного копирования выполнялась подрядчиком и что 57 сотрудников подрядчиков из 10 фирм имели доступ в помещение в период утечки.
История утечек данных в Японии: масштаб ставит этот инцидент на первое место
В Японии за последнее десятилетие наблюдается устойчивая эскалация масштабов утечек. Туристическая компания JTB сообщила об утечке 7,93 миллиона записей в 2016 году. Сеть интернет-кафе Kaikatsu Club пострадала от утечки 7,29 миллиона записей в начале 2025 года. Инцидент с Kyushu Electric, затронувший 10,9 миллиона записей, превосходит оба этих случая.
Что отличает случай Kyushu от предшествующих, так это затронутый сектор. JTB и Kaikatsu Club — коммерческие предприятия. Kyushu Electric Power Transmission and Distribution Co. является оператором критической инфраструктуры — стопроцентной дочерней компанией коммунального предприятия, обслуживающего семь префектур региона Кюсю, включая Фукуоку, Нагасаки, Кумамото и Кагосиму. Клиентская база компании представляет собой электрическую сеть для населения численностью около 12,6 миллиона человек. Утечка такого масштаба у такого оператора имеет иной вес, чем утечка розничных данных.
Какие данные были раскрыты в результате утечки Kyushu Electric Power?
Накопитель содержал имена клиентов, адреса мест предоставления услуг (физический адрес, по которому доставляется электроэнергия), данные об использовании электроэнергии, номера телефонов и названия розничных поставщиков электроэнергии для 10,9 миллиона учетных записей. Компания подтвердила, что на накопителе не хранилась информация о банковских счетах или кредитных картах.
Отсутствие финансовых данных имеет значение, но не устраняет риск. Имена, адреса, номера телефонов и шаблоны использования электроэнергии достаточны для целевых фишинговых атак, мошенничества с верификацией личности в финансовых учреждениях и кампаний социальной инженерии. Данные об использовании электроэнергии, в частности, могут указывать на то, пустует ли дом и когда — информация, ценная для преступлений, связанных с физическим доступом.
Что требует японский закон о защите данных далее
Закон Японии О защите личной информации (APPI), принятый в 2003 году и существенно дополненный в 2022 году, требует от организаций, столкнувшихся с подлежащей уведомлению утечкой данных, без неоправданной задержки уведомить как Комиссию по защите личной информации, так и пострадавших лиц. Kyushu Electric уведомила и PPC, и Министерство экономики, торговли и промышленности Японии (METI). METI предоставило компании срок до 8 июля 2026 года для предоставления полного отчета об инциденте и о мерах по предотвращению, которые она намерена внедрить.
Компания обязалась уведомить пострадавших клиентов индивидуально, хотя пока этого не сделала, пока продолжается расследование. Согласно действующим нормам APPI, максимальный корпоративный штраф составляет 100 миллионов иен, что составляет примерно 700 000 долларов США. Этот потолок активно пересматривается: Кабинет министров Японии 7 апреля 2026 года одобрил поправку, которая впервые введет административные денежные штрафы, рассчитываемые на основе экономической выгоды, полученной от нарушений, — конфискационный подход, смоделированный по образцу системы антимонопольных надбавок Японии. Если поправка пройдет через Парламент, как ожидается, в течение 2026 года, новый режим, по прогнозам, вступит в силу к 2028 году.
Пробел в физической безопасности, который не покрывает ни одно предписание
Утечка в Kyushu высвечивает структурный пробел в оценке операторов критической инфраструктуры. Регуляторные рамки и стандарты аудита для коммунальных предприятий за последнее десятилетие стали уделять все больше внимания киберугрозам — сегментации сетей, обнаружению вторжений, темпам установки исправлений программного обеспечения и защите конечных точек. Физическая безопасность носителей данных получила сравнительно менее стандартизированное внимание.
Сбой в данном случае не был связан со сложным злоумышленником. Он был связан с рутинной процедурой ежемесячного резервного копирования, портативным накопителем, которому не разрешалось покидать здание, открытым шкафом и 30-дневным окном, в течение которого 57 человек из 10 различных организаций прошли через биометрические ворота. Биометрические ворота сработали штатно. Все, что находилось за ними, — нет.
Регуляторы США на этой неделе приняли меры по ужесточению управления уязвимостями программного обеспечения для федеральных агентств: CISA выпустила Обязательное оперативное распоряжение BOD 26-04 10 июня, установившее рамочную структуру с учетом уровня риска, которая требует установки исправлений для известных эксплуатируемых уязвимостей наивысшего риска в течение трех дней. Распоряжение касается удаленных кибератак. У него нет аналога для обеспечения безопасности физических носителей — это напоминание о том, что руководящие принципы защиты данных критической инфраструктуры по-прежнему сосредоточены на сетевом уровне, даже несмотря на то, что инциденты, подобные случаю Kyushu, демонстрируют, что физический уровень несет эквивалентный риск.
Часто задаваемые вопросы
Какие данные были раскрыты в результате утечки данных Kyushu Electric Power?
Утерянный SSD содержал имена клиентов, адреса мест предоставления услуг, данные об использовании электроэнергии, номера телефонов и названия розничных поставщиков электроэнергии для 10,9 миллиона учетных записей. Компания подтвердила, что на накопителе не хранилась информация о банковских счетах или кредитных картах, хотя раскрытые персональные данные достаточны для мошенничества с верификацией личности и целевого фишинга.
Как произошла утечка данных Kyushu Electric?
Подрядчик скопировал резервные данные на портативный SSD 27 апреля 2026 года, поскольку на сервере не хватало места. Накопитель был помещен в шкаф внутри серверной, защищенной биометрией. Когда подрядчик вернулся 26 мая, шкаф был найден открытым, а накопитель пропал. Накопитель не был зашифрован или защищен паролем, что означало, что его содержимое было немедленно доступно для чтения без каких-либо учетных данных.
Что такое закон Японии о защите данных и что он требует после утечки?
Закон Японии о защите личной информации (APPI), последний раз существенно дополненный в 2022 году, требует от организаций уведомлять как Комиссию по защите личной информации, так и пострадавших лиц после подлежащей уведомлению утечки данных. Kyushu Electric уведомила регуляторов и должна представить полный отчет об инциденте в Министерство экономики, торговли и промышленности до 8 июля 2026 года. Индивидуальное уведомление клиентов ожидается. Поправка 2026 года, находящаяся на рассмотрении Парламента, впервые введет административные денежные штрафы — в настоящее время максимальное корпоративное наказание составляет 100 миллионов иен (примерно 700 000 долларов США).
Находятся ли пострадавшие клиенты в опасности, несмотря на отсутствие финансовых данных?
Да. Имена, домашние адреса и номера телефонов достаточны для целевых атак социальной инженерии, верификации личности в финансовых учреждениях и фишинговых кампаний, которые могут выглядеть как исходящие от компании-поставщика электроэнергии клиента. Данные об использовании электроэнергии могут дополнительно указывать на шаблоны присутствия в доме. Клиенты региона Кюсю должны быть бдительны в отношении неожиданных контактов, представляющихся сотрудниками их коммунальной службы, и не должны предоставлять личную информацию в ответ на нежелательные звонки или сообщения.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Bright
