Почему случаются утечки данных и как их предупредить
В России за последние два года почти в 40 раз выросло количество утечек персональных данных пользователей. Как компаниям обезопасить личные данные клиентов
Считаю, что построение системы защиты информации в компании любого масштаба должно быть направлено не только на реализацию требований регуляторов, но и на обеспечение оптимального уровня защищенности информации и информационных систем.
По данным Роскомнадзора в России за последние два года почти в 40 раз выросло количество утечек персональных данных пользователей. В 2021 году было 4 инцидента, в 2022-м — свыше 140, а за первые семь месяцев 2023-го — уже свыше 150.
Число кибератак неуклонно растет, и чаще всего персональные данные россиян утекают из баз данных именно крупных операторов: интернет-магазинов, различных сервисов доставки, медицинских клиник, сетей аптек. Мелких операторов трогают реже, потому что интерес к их данным ниже.
4 основных фактора утечек
Эксперты компании Б-152 выделили 4 основных фактора утечки ПДн:
- Угроза извне. Даже имея систему защиты, невозможно на 100% обезопасить данные от утечки. Никогда не угадаешь, какими навыками обладает хакер, поэтому невозможно полностью защититься от внешних угроз в наше время.
- Внутренние инциденты, когда в корыстных целях работники компании воруют БД и продают ее в даркнете.
- Халатное отношение компании к данным, когда не было предпринято достаточно мер по защите ПДн, вследствие чего они стали общедоступными.
- Недобросовестные конкуренты, которые воруют базы данных для подрыва репутации и для использования в продаже своих товаров и услуг.
Не на все факторы оператор ПДн может повлиять, но для внутренних факторов, таких как недобросовестные работники, существуют рекомендации по отслеживанию утечек.
Легко ли отследить, кто из сотрудников виноват в утечке?
Все зависит от ситуации и наличия в компании тех или иных средств защиты, выстроенных на организационном уровне процессов защиты информации.
Если у вас есть средства защиты, в том числе системы контроля утечек информации (DLP), то вероятность предотвратить утечку выше и вычислить виновников гораздо проще. Сложнее, если используются только механизмы защиты операционных систем и ПО. Тогда необходимо проводить анализ журналов событий безопасности (логов) как на уровне рабочих станций и серверов, так и на уровне сетевого оборудования.
Способы воровства персональных данных разные: от банального копирования информации на флешку до сложной атаки. Залог успеха – отсутствие контроля:
- над USB-портами (копирование защищаемой информации на флешки)
- над учетными записями (использование учетных записей бывшими работниками)
- над правами доступа (избыточные права доступа к защищаемой информации, к инструментам администрирования)
- над мобильными устройствами (сотрудники фотографируют различные документы (например кадровые), содержащие персональные данные и публикуют их)
Также может произойти такое, что злоумышленник, нацеленный на определенную организацию, может специально попробовать устроиться на работу туда с целью получения доступа к корпоративным данным. Но такое случается довольно редко, хотя и не отменяет необходимости обязательной проверки всех новых сотрудников службой безопасности для исключения таких неприятных ситуаций.
Однако самый частый сценарий, как показывает судебная практика, это желание действующих сотрудников компании дополнительно подзаработать продажей данных компании и ее клиентов.
На различных нелегальных форумах, чаще всего в даркнете, появляется объявление о поиске сотрудников определенной компании с предложением о сотрудничестве, обычно это продажа личных данных клиентов компании, услуги пробива (особенно актуально для госструктур и банков). Поэтому так важно заниматься мониторингом и анализом подобных угроз, регулярно проверять форумы с подобной тематикой.
Рекомендации по работе с данными для операторов
В связи с участившимися случаями неправомерного распространения персональных данных, Роскомнадзор разработал восемь рекомендаций для операторов персональных данных:
- Минимизируйте перечень персональных данных, которые собираете и обрабатываете
- Обеспечьте раздельное хранение различных категорий ПДн
- Храните различные идентификаторы в разных базах. Используйте для связи этих баз синтетические идентификаторы
- Откажитесь от практики накопления ПДн «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации
- Используйте технические и программные средства для обеспечения необходимого уровня безопасности данных
- Своевременно информируйте Роскомнадзор о признаках и (или) наступивших инцидентах
- Принимайте дополнительные меры физического контроля доступа к данным
- Назначьте ответственного за защиту ПДн
Эти восемь заповедей составлены по 152 закону, который операторы обязаны соблюдать. Но лишь время покажет, как будут соблюдаться эти рекомендации на деле, так как их выполнение определенно требует дополнительных финансовых затрат.
От себя могу добавить еще несколько рекомендаций:
- Обучайте сотрудников основам защиты персональных данных
- На периодической основе проводите контроль знаний и осведомляйте их о новых схемах мошенничества в Интернете, в том числе о фишинге
- Организуйте ролевую модель управления доступа к данным
- Обеспечьте контроль за политиками безопасности, в том числе парольными
Это базовые меры, которые можно реализовать уже сейчас без каких-либо вложений.
С уважением, эксперт компании Б-152. Мы технологично и с высоким сервисом решаем задачи бизнеса по privacy и информационной безопасности.