Как выяснилось благодаря утечке одного из внутренних документов Amazon, компания пыталась скрыть реальные масштабы потребления питьевой воды её дата-центрами. Более того, гиперскейлер наращивает вычислительные мощности несмотря на опасения общественности и экоактивистов относительно объёмов воды, используемых для охлаждения гигантской инфраструктуры компании, сообщает The Guardian.

Компания принимает меры по увеличению эффективности водопользования, но непрозрачность отчётности вызывает немало критики. Например, Microsoft и Google регулярно публикуют данные о потреблении воды, хотя на последнюю пять лет назад оказали давление в этом вопросе. С AWS дело обстоит иначе, и соответствующая информация замалчивается. Согласно попавшей в распоряжение The Guardian служебной записке, AWS решила учитывать только наименьший из возможных показателей использования воды, не принимающий во внимание все способы применения её в дата-центрах, чтобы минимизировать репутационные риски.

Как сообщается, в 2021 году компания в целом использовала 39,7 млн м3 воды — больше, чем 95 тыс. домохозяйств США. На вопрос журналистов об утечке в Amazon заявили, что документ «устарел» и «полностью искажает текущую стратегию Amazon по использованию воды». Более того, в компании заявили, что факт существования документа не гарантирует его точности или «окончательности», поскольку такие документы часто пересматриваются, но не стали уточнять, в какой именно части документ устарел.

Источник изображения: Ajay Kumar Jana/unsplash.com

В Amazon утверждают, что уже добились экономии воды благодаря повышения эффективности её использования, и кивают в сторону других компаний, которые тоже не учитывают «вторичное» водопотребление. По словам Amazon, что с 2021 года водопользование дата-центров AWS стало на 40 % эффективнее, а в 2024 году они использовали меньше питьевой воды для охлаждения по всему миру, чем в 2023 году. По имеющимся данным, записка была подготовлена за месяц до того, как в ноябре 2022 года облачное подразделение AWS инициировало кампанию Water Positive с обязательством к 2030 году восстанавливать больше питьевой воды, чем потреблять. Некоторые эксперты утверждают, что такой подход всё равно не позволяет называть компанию водно-положительной.

В записке обсуждается, стоит ли раскрывать сведения об использовании уровня Scope 2. Речь, в частности, о воде, применяемой при выработке энергии для питания ЦОД, мощность которых только за последние 12 мес. выросла на 3,8 ГВт. Авторы записки пришли к выводу, что полная прозрачность — «билет в один конец», поэтом рекомендуется оставить в секрете «неудобные» данные. Более того, высказывались опасения, что подобные рекомендации могут привести к обвинениям в сокрытии информации. В частности, прямо прогнозировалось появление заголовков вроде «Amazon скрывает своё потребление воды».

Источник изображения: Juno Jo/unsplash.com on Unsplash

В итоге компанией было принято решение использовать только показатель «первичного» потребления — более 29 млн м ³ ежегодно. К 2030 году планировалось уменьшить первичное потребление до 18,5 млн м³. Отмечалось, что ни потребители, ни СМИ не уделяют должного внимания воде, применяемой при производстве энергии для ЦОД. В будущем допускалось раскрытие полного потребления, но только если отсутствие такой информации будет вредить репутации или же если раскрытия потребует регулятор. При этом Amazon в целом потребляет гораздо больше воды, чем AWS. Сама AWS по-прежнему строит свои ЦОД в некоторых засушливых регионах мира, где нехватка воды ощущается особенно остро.

В Amazon подчёркивают, что компания разрабатывает отраслевые стандарты, призванные сократить объёмы потребления воды и помочь избежать проверок. Компания финансировала некоммерческие Nature Conservancy и World Resources Institute и консалтинговую LimnoTech для создания всемирно признанной методологии оценки выгоды от проектов восстановления воды. Компании утверждают, что Amazon не оказывала влияние на разработку методик. В самой Amazon утверждают, что полученные данные заверены третьей стороной и взяты из реальных счетов за коммунальные услуги.

Источник изображения: Tsai Derek/unsplash.com

Впрочем, самый главный страх для Amazon — раскрытие показателей потребления воды Scope 3. Это, например, расходы на орошение хлопковых плантаций для выпуска одежды и полей для выращивания продуктов Amazon Fresh. В целом вся цепочка поставок сельхозпродукции потребляет огромное количество воды. Авторы записки рекомендовали не публиковать данные о компании в целом и предупредили, что выборочное раскрытие сведений может привести к обвинениям в сокрытии информации и нежелании брать на себя ответственность за водопользование.

В августовском отчёте, посвящённом устойчивому развитию, AWS заявила, цель программы Water Positive выполнена на 53 %. Программа в основном опирается на проекты по пополнению запасов воды, некоторые развиваются совместно с некоммерческой Water.org. В записке такие меры называются «компенсациями». Также предлагается применять IT-технологии Amazon для помощи коммунальным службам в определении приоритетов ремонта труб для минимизации утечек. При этом там же отмечается, что из $109 млрд, выделенных на такие «компенсации», около половины в любом случае пришлось бы потратить на выполнение требований регуляторов и даже не упрощения доступа самой AWS к чистой воде.

Ещё в 2023 году сообщалось, что AWS всё активнее использует оборотную воду для охлаждения дата-центров. В июне 2025 года появилась информация о том, что AWS переведёт ещё 100 дата-центров на использование очищенных сточных вод для охлаждения, в дополнение к уже использующим эту технологию объектам. Кроме того, в том же месяце появилась информация, что AWS с нуля разработала и начала выпуск собственной СЖО для ИИ ЦОД.

Израильские власти заключили весьма специфические соглашения с облачными провайдерами AWS и Google Cloud — в них предусмотрена система негласных оповещений на случай, если к израильским данным получат правоохранительные органы других стран, сообщает The Guardian со ссылкой на утекшие правительственные документы, посвящённые облачному контракту Project Nimbus стоимостью $1,2 млрд, который был анонсирован в 2021 году. На запрос журналистов Google и Amazon (AWS) ответили категорическим отрицанием наличия подобных положений в договоре, а представители Тель-Авива заявили The Guardian, что подобные «инсинуации» не имеют под собой почвы.

Утверждается, что он предусматривал систему негласного и весьма изобретательного оповещения Израиля — предположительно, облачные провайдеры должны отправлять на ассоциированные с Тель-Авивом счета относительно небольшие суммы денег, от ₪1000 ($307) до ₪9999 ($3070), по которым можно определить, власти какой именно страны запрашивали информацию. Платежи должны быть сделаны в течение 24 часов после передачи запрошенной информации.

Первые цифры суммы перевода соответствуют телефонному коду страны, запросившей данные. Так, в случае запроса израильских данных американскими властями (код США +1) на специальный счёт отправляется ₪1000, Италии (код +39) — ₪3900 и т.п. Утверждается, что такая система позволяет соблюдать букву американского закона, но весьма гибко обходиться с его духом. Требование предположительно было выдвинуто израильской стороной, поскольку та опасается, что операторов могут принудить к выдаче данных в судебном порядке, причём Израиль даже не будет знать, кто и когда требовал эти данные.

Источник изображения: Joe Green / Unsplash

СМИ также утверждают, что Google и AWS документально признали право Израиля получать доступ к облачным технологиям, даже если он нарушает правила использования облачных сервисов. Если компании примут решение прекратить их предоставление, их ожидают штрафы и судебное преследование. Сообщается, что это было сделано на случай, если на компании окажут давление акционеры или общественность.

Прецеденты уже имеются. Так, внутри Microsoft есть группа активистов, которая призывает отключить Израилю доступ к Azure. Причём некоторых сотрудников даже арестовали за попытки захватить штаб-квартиру Microsoft, а часть активистов уволили. Аналогичным образом поступила и AWS. Тем не менее, в сентябре Microsoft по итогам внутреннего расследования отказалась предоставлять израильским военным доступ к некоторым сервисам Azure.

По словам двух бывших высокопоставленных сотрудников службы безопасности Великобритании, а также других информированных источников агентства Bloomberg, на протяжении более десяти лет китайские государственные структуры систематически взламывали секретные компьютерные системы правительства страны.

Источники утверждают, что Китай регулярно получал доступ к информации низкого и среднего уровня секретности в защищённых ИТ-сетях правительства Великобритании, включая информацию с грифом «служебная тайна» и «секретно». Вместе с тем доступа к совершенно секретной информации у Китая не было.

По словам одного из источников, одним из каналов утечек стал ЦОД в Лондоне, который использовался для хранения некоторой конфиденциальной правительственной информации. Он был продан организации, связанной с Китаем, в связи с чем в правительстве обсуждался план уничтожения ЦОД до того, как он сможет быть защищён иным способом.

Источник изображения: Marek Studzinski / Unsplash

Название ЦОД, о котором идёт речь, не разглашается. Также не уточняется, что подразумевалось под уничтожением, поскольку был и другой выход — попросту убрать свои серверы с объекта. Так, например, поступила CloudFlare после компрометации своих систем, полностью заменив оборудование в одном из ЦОД.

Комментируя сообщения прессы об утечках, представитель правительства Великобритании заявил, что «наиболее чувствительная» правительственная информация и системы, в которых она хранится, не были взломаны.

Однако в среду бывший глава администрации премьер-министра Великобритании в 2019–2022 гг. сообщил газете The Times, что Китай взломал засекреченную компьютерную систему британского правительства и получил доступ к секретной информации: «Огромные объёмы данных, классифицированных как совершенно секретные и крайне опасные для получения любой иностранной организацией, были скомпрометированы». Его слова подтвердил в интервью радио LBC бывший министр безопасности страны в 2022–2024 гг., отказавшись вдаваться в подробности.

Работы в дата-центре, предназначенным для обслуживания радиообсерватории Square Kilometre Array (SKA) на западе Австралии, практически завершены. В числе прочего установлены две клетки Фарадея, блокирующие радиоволны — это делается, чтобы ЦОД не повлияли на работу сверхчувствительных антенн гигантского радиотелескопа, сообщает The Register.

SKA представляет собой международный проект, предусматривающий строительство 131 072 антенн. Это крупнейший радиоинтерферометр в мире, потенциально позволяющий совершенно по-новому взглянуть на Вселенную. Работы начались в 2022 году. По имеющимся данным, уже установлено 12 100 антенн, работы по прокладке силовых кабелей и оптоволокна тоже в основном завершены.

Работы над дата-центром в Мерчисоне (Murchison, штат Виктория), отдалённой части SKA, тоже завершены. Мерчисон выбран потому, что там почти нет людей и, следовательно, современной техники, что позволяет соблюдать режим радиомолчания. В дата-центре размещены около 100 стоек с серверами на базе FPGA, которые отвечают за фильтрацию терабайт данных, ежедневно собираемых SKA. Ценная информация будет отправляться по 10-Тбайт/с ВОЛС суперкомпьютеру в городе Перт (Perth).

Источник изображения: SKA Observatory

Несмотря на то, что в Мерчисоне в целом мало электронных устройств, компьютеры генерируют немало радиопомех. Хотя в большинстве случаев в ЦОД и офисах это не проблема, в случае с SKA дело обстоит совсем иначе, поскольку тот настроен на поиск даже самых слабых сигналов. Именно поэтому ЦОД поместили сразу в две «клетки Фарадея». Экранированы даже входы в здание, а внутренняя дверь не откроется, пока не закрыта внешняя.

Строительство на объекте SKA, вероятно, продолжится до 2029 года. В 2026 году учёным предложат представить собственные предложения по использованию радиотелескопа, некоторые выберут для испытаний SKA в 2027 году — к тому времени SKA уже будет самым большим «физическим низкочастотным радиотелескопом на планете». Руководство SKA уверено, что даже тесты 2027 года уже дадут результаты, достойные включения в научные труды. Одно из препятствий — поиск дополнительных средств. У SKA пока есть лишь 80 % средств для завершения проекта.

Хотя обычно на блошиных рынках продают почти бесполезные предметы, иногда там можно встретить настоящие сокровища. Так, любитель электроники из Нидерландов приобрёл «пучок» старых HDD с гигабайтами конфиденциальных медицинских записей, сообщает The Register.

Роберт Полет (Robert Polet) купил пять жёстких дисков по €5 ($5.21) каждый на блошином рынке недалеко от одной из местных авиабаз. Как сообщает издание Omroep Brabant, Полет более 30 лет является IT-энтузиастом и активным фотографом (что и побудило его к покупке HDD), хотя работает водителем. На купленных дисках Полет обнаружил медицинские записи сограждан, включая номера социального страхования, даты рождения, домашние адреса, сведения о выписанных лекарствах, информацию о врачах и аптеках. Записи были сделаны в 2011–2019 гг. и в основном касались лиц из городов Утрехт (Utrecht), Хаутен (Houten) и Делфт (Delft). Поэтому Полет вернулся на рынок и купил оставшиеся десять HDD у того же продавца.

Источник изображения: William Warby / Unsplash

Полет ознакомился всего с двумя из пятнадцати HDD, но этого было достаточно, чтобы сделать вывод — утечка касается какой-то местной медицинской организации. Судя по всему, это обанкротившаяся Nortade ICT Solutions, которая разрабатывала ПО для сектора здравоохранения. Как отмечают эксперты, у разработчика ПО вообще нет прав хранить подобную информацию. Но даже если он попал под какое-то исключение из закона, то всё равно все данные должны быть зашифрованы, а накопители при выводе из эксплуатации должны быть утилизированы должным образом. Законы Нидерландов требуют, чтобы удаление медицинских данных с накопителей проводилось профессионалами (где-то это поставлено на поток), а сам процесс удаления должен быть сертифицирован.

Инциденты безопасности, связанные с некорректной утилизацией электронных отходов, случаются регулярно. Например, летом 2023 года сообщалось, что из дата-центра SAP украли SSD с конфиденциальными данными, причём это был уже пятый случай за два года, а один из накопителей появился на Ebay. Morgan Stanley когда-то сэкономил $100 тыс. на утилизации жёстких дисков, а в результате потерял $120 млн.

В среднем у каждого 19‑го сотрудника российских компаний данные корпоративной почты утекают в открытый доступ, сообщили аналитики платформы BI.ZONE Brand Protection. Главная причина заключается в использовании адресов корпоративной почты для регистрации на сторонних сайтах. В 2023 году BI.ZONE выявила утечки 75 тыс. email‑адресов российских компаний.

Всего в 2023 году, по данным BI.ZONE, в открытый доступ попали 420 баз данных с более 981 млн строк, содержащих паспортные данные граждан, адреса, телефонные номера, платёжную информацию, а также личные и корпоративные email‑адреса. В январе 2024‑го года в открытый доступ утекло 62 базы общим объёмом свыше 525 млн записей, а с начала февраля зафиксировано 29 утечек общим объёмом более 11 млн строк, 85 % которых содержали пароль или его хеш. В 2023 году пароли в открытом или хешированном виде встречались в 13 % случаев, в январе 2024 года — в 6 %.

Источник изображения: TheDigitalArtist/Pixabay

В BI.ZONE назвали опасным заблуждением считать, что если в утечке не присутствует пароль, то она не представляет угрозы. И без этого в базе могут быть паспортные данные, номера телефонов, адреса, коды домофонов и другая чувствительная информация. Опасны и утечки хешированных паролей, поскольку из них иногда можно восстановить исходные пароли.

Эксперты рекомендуют не использовать для регистрации на сторонних сайтах адрес корпоративной почты, так как их могут взломать. BI.ZONE рекомендует для минимизации рисков, связанных с утечками данных корпоративной почты использовать для разных ресурсов разные пароли, периодически менять их и применять менеджеры паролей, а также регулярно проверять наличие электронных адресов компании в базах утечек. BI.ZONE также предупредила об опасности стилеров, добывающих логины и пароли от корпоративных ресурсов. Стилеры в основном доставляются с помощью фишинговых писем.

«Лаборатория Касперского» опубликовала инструкции по организации процессов отслеживания и реагирования на утечки данных в дарквебе. Руководство предназначено для компаний, столкнувшихся с кражей конфиденциальной корпоративной информации, и будет полезно в первую очередь аналитикам Cyber Threat Intelligence, инженерам SOC, специалистам по реагированию на инциденты, ИБ-службам.

Представленные «Лабораторией Касперского» инструкции позволят организациям структурировать процессы реагирования на утечки данных — обозначить необходимые шаги и предписать конкретные роли ответственным лицам. Руководство включает в себя не только технические детали, например, как настроить систему постоянного мониторинга ресурсов дарквеба для оперативного выявления инцидентов, но и рекомендации по тому, как выстроить в случае утечки эффективную коммуникацию со СМИ, клиентами, партнёрами, высшим руководством и другими вовлечёнными сторонами.

«Компаниям часто не хватает понимания, как действовать в результате инцидента, как отреагировать не только быстро, но и корректно, чтобы максимально снизить возможный ущерб, репутационный и финансовый. Мы видим, что у бизнеса назрела необходимость в чётко выстроенном процессе реагирования на утечки, и, поскольку такие инциденты в ближайшее время не прекратятся, решили поделиться своим многолетним опытом и знаниями в детальном многостраничном руководстве. Уверены, что оно будет полезно для большинства компаний», — комментирует Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence.

По данным сервиса Kaspersky Digital Footprint Intelligence, в 42 % организаций, подвергнувшихся компрометации данных в 2022 году, не было контактного лица, ответственного за обработку таких инцидентов. Более четверти компаний (28 %) либо не отреагировали на уведомление, либо заявили о том, что это не вызывает у них беспокойство. Только 22 % компаний отреагировали на информацию о киберинциденте должным образом, а 6 % сообщили, что они уже в курсе произошедшего.

«Лаборатория Касперского» опубликовала отчёт «О значимых утечках данных в России» в 2023 году. Эксперты пришли к выводу, что в количественном выражении число инцидентов по сравнению с 2022-м несколько сократилось, однако общий объём опубликованных сведений существенно вырос.

В 2022 году зафиксирован 141 случай публикации значимых баз данных российских компаний. При этом были похищены в общей сложности более 230 млн наборов пользовательских данных. Утекло свыше 33 млн записей с паролями. В 2023-м число утечек снизилось до 133, то есть приблизительно на 6 %. Но количество наборов похищенных пользовательских данных выросло на треть (33 %) — до 310 млн. При этом украдено 47 млн записей с паролями.

Источник изображения: «Лаборатория Касперского»

По итогам уходящего года большинство утечек, как и в 2022-м, произошло в сегменте малого и среднего бизнеса. Однако более чем в полтора раза вырос объём информации, полученной в результате инцидентов в крупных компаниях. В отчёте говорится, что основная часть утечек зафиксирована в таких сферах, как ретейл, карьера и образование, интернет-сервисы, финансы и IT. Причём наиболее значительный рост в 2023 году отмечен в двух последних из перечисленных сфер. Наборы похищенных сведений чаще всего включают информацию о пользователях ресурсов и/или их историю заказов. Базы данных сотрудников в 2023 году публиковались реже, нежели в 2022-м.

Исследование показало, что основная масса скомпрометированных данных (71 %), которые оказались в открытом доступе, датируются уходящим годом. Иными словами, эта информация носит актуальный характер. Более половины (55 %) изученных баз становились публичными в течение месяца после предполагаемой даты выгрузки из систем компании. Основным каналом распространения утекшей информации стал мессенджер Telegram, а не специализированные теневые форумы, как было годом ранее.

В Государственную думу, по сообщению газеты «Коммерсантъ», внесены два законопроекта, которые предусматривают серьёзное ужесточение наказаний за утечки персональных данных. В частности, вводятся оборотные штрафы — крупные денежные взыскания, исчисляемые определённой долей от оборота компании за тот или иной период. Один из законопроектов предполагает внесение изменений в Кодекс об административных правонарушениях (КоАП).

В настоящее время компании, допустившие утечку персональных данных, в соответствии с ч. 1 ст. 13.11 КоАП штрафуются на 100–300 тыс. руб. Однако, как утверждается, эти взыскания несоразмерны с возможными последствиями от происшедших утечек. Поэтому для юрлиц предлагается установить значительно более крупные штрафы:

• от 3 млн до 5 млн руб. при утечке данных от 1 тыс. до 10 тыс. субъектов;
• от 5 млн до 10 млн руб. при утечке информации о 10–100 тыс. субъектов;
• от 10 млн до 15 млн руб. при утечке сведений о более чем 100 тыс. субъектов.

При этом максимальный штраф для юридических лиц составит от 0,1 % до 3 % выручки за календарный год, но не более 500 млн руб. Кроме того, определены взыскания для должностных лиц и просто граждан, допустивших утечку: 100–200 тыс. руб. для физлиц (максимум 300–400 тыс. руб.) и 0,8–1 млн руб. для должностных лиц (максимум 1,5–2 млн руб.).

Источник изображения: pixabay.com

Второй законопроект предусматривает введение дополнений в Уголовный кодекс. Необходимость принятия поправок авторы объясняют «ростом противоправных действий в отношении персональных данных, а также их незаконного использования при совершении преступлений». За сбор, использование и передачу персональных данных граждан предлагается наказывать штрафом в размере до 300 тыс. руб. либо принудительными работами на срок до четырёх лет, либо лишением свободы до четырёх лет.

Предлагается также наказание за незаконное использование данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, биометрических персональных данных. За такие нарушения будет грозить штраф до 700 тыс. руб. или тюремное заключение на срок до пяти лет.

Недавно представленный Amazon чат-бот Amazon Q страдает характерными для этого типа решений «галлюцинациями» и допускает утечки конфиденциальных данных, сообщает Platformer. Пользователям превью-версии стали доступны данные о местоположении ЦОД компании, непубличных дисконтных программах и ещё не представленных функциях.

Инцидент получил статус утечки уровня 2. Это означает, что он оказался достаточно серьёзен, чтобы привлечь специалистов к его устранению ночью и работе в течение выходных. Проблемы Q весьма некстати проявились тогда, когда Amazon пытается отвоевать себе место на рынке ИИ-ассистентов. Пионерами здесь стали Microsoft, Google и некоторые стартапы. В сентябре компания объявила о намерении инвестировать $4 млрд в стартап Anthropic, а на этой неделе, наконец, представила собственный чат-бот Q.

В ответ на сообщения о проблемах Q в компании заявили, что некоторые сотрудники действительно обмениваются отзывами по внутренним каналам, но нет свидетельств того, что в материалах обратной связи упоминаются случаи явной утечки данных. Позже компания ещё раз подчеркнула, что Amazon Q не допускал утечек конфиденциальной информации. При этом в компании уточняют, что обратная связь только приветствуется, поскольку поможет лучше настроить поведение ИИ-ассистента. Однако внутренние документы компании, утекшие в Сеть, свидетельствуют об обратном — Q выдавал вводящие в заблуждение или же потенциально опасные ответы, например, касающиеся вопросов безопасности.

Источник изображения: John Schnobrich/unsplash.com

До сих пор Amazon тщательно скрывает местоположение ЦОД из своего огромного парка, включающего как собственные объекты, так и арендованные мощности. В 2018 году WikiLeaks обнародовала внутреннюю документацию IT-гиганта, включающую сведения о координатах дата-центров компании по состоянию на 2015 год. С тех пор расположение ЦОД раскрывалось только в документах о планируемом строительстве, но точных сведений о местонахождении всех площадок компании данных нет до сих пор. В последнем отчёте K-10, AWS уведомила, что на конец 2022 года компания владела по всему миру ЦОД общей площадью более 1,4 млн м² и арендует ещё более 1,6 млн м².