Как снизить риски утечек данных

Полагать, что утечки не коснутся твоей компании, и поэтому ничего не предпринимать, значит, иметь повышенный риск того, что утечка рано или поздно произойдет со всеми вытекающими. Тогда как подобное можно предупредить, далее расскажем как.

Непредвиденные новоселы и не только они

Утечки персональных данных (ПДн) происходят с завидной регулярностью. Вот недавний пример: неизвестные прописали в квартире жителя Москвы восемь новых жильцов, получив доступ к его паспортным данным и аккаунту в «Госуслугах». Когда владелец квартиры это обнаружил, он подал заявление в полицию. Как это произошло, предстоит еще выяснить. Но интересно и другое: понимают ли сотрудники, имеющие доступ к персональным данным, последствия нарушения ими правил информационной безопасности? Зачастую нет. За примерами ходить далеко не надо: в Саратове сотрудницу одной из организаций недавно осудили по ст. 290 УК РФ за передачу персональных данных владельцев недвижимости. Ее приговорили к полумиллионному штрафу и лишили на два года права занимать соответствующие должности. 

Все это не меняет устоявшуюся тенденцию: число утечек персональных данных в России продолжает расти. В I полугодии 2024 года у российских компаний, по данным DLBI, зафиксировано 144 случая утечки данных (+14 % к I половине 2023 года), а это 46 млн уникальных email адресов и 140 млн номеров. И вот мы уже оказались в шаге от принятия поправок, вводящих оборотные штрафы за утечки ПДн. 

Мера первая, предупредительная: правильные процессы

По данным эксперта Positive Technologies, за неполное первое полугодие 2024 года 80 % успешных атак на ретейл заканчивались утечкой конфиденциальной информации. Достаточно вспомнить, что в середине 2024 года в сеть утекли данные миллионов посетителей сети магазинов «Винлаб» и «Магнолия», последняя затронула несколько сотен тысяч записей. Эксперты связывают это с тем, что данных становится все больше, их объем нередко оказывается неконтролируемым из-за проблем с их учетом, инвентаризацией, классификацией и управлением доступом к ним. 

Между тем защита ПДн начинается с организации правильных процессов обращения с ними. Решения для этого есть. Обеспечить  весь комплекс работ с субъектами ПДн: от интеграции с системами учета до смены ответственных лиц и поддерживать в актуальном состоянии документы, необходимые при обработке ПДн, помогают решения, которые автоматизируют учет персональных данных. Мы реализовали проект по внедрению модуля «Учет персональных данных» для конфигурации 1С:ЗУП с одним из ведущих страховщиков на рынке корпоративного страхования — СК «Независимая страховая группа», о чем рассказали на РБК Компании. 

И весь комплекс мер

Неслучайно говорят: предупреждение утечек — это как борьба с сорняками, подобную работу приходится вести постоянно и подходить к этому стоит комплексно, чтобы выстроить надежную систему защиты персональных данных, которая будет способствовать предотвращению утечек ПДн.

1. От обучения и тренировок по ИБ — никуда. 

Регулярное обучение сотрудников и повышение их осведомленности о важности информационной безопасности — первый шаг к предотвращению утечек данных. 

В компании необходимо иметь четкое представление о том, какую именно информацию здесь считают конфиденциальной и хотят защищать, выявит актуальные угрозы безопасности информации в информационной системе персональных данных при помощи моделирования угроз для обоснования выбора организационных и технических мер по защите персональных данных, а также выбора средств защиты информации. Модель угроз касается не только утечки конкретного защищенного документа, но и хранения запрещенной или опасной информации на серверах и устройствах сотрудников, заходов на опасные сетевые ресурсы и т.п.

Необходимо разработать и внедрить политику информационной безопасности, регламенты, с которыми знакомятся сотрудники под подпись (т.е. сотрудники знают, как минимум, о том, что им необходимо сообщать руководству об известных им фактах нарушений в этой сфере и осознают свою ответственность), а также проводить обучение как в теории, так и на практике. 

Причем все это не обязательно разрабатывать самостоятельно, можно взять уже готовые универсальные системы обучения или курсы по ИБ и адаптировать при необходимости под потребности компании.

Важно также проводить киберучения с тестовыми фишинговыми атаками. Это позволит выявить уязвимые места и научить «отличившихся» сотрудников правильно реагировать на угрозы.

2. Внедрять системы защиты от утечек и разграничивать доступ к данным 

Системы защиты от утечек конфиденциальной информации (DLP) при установке «в разрыв» позволяют моментально предотвращать утечки, блокируя передачу за пределы организации чувствительной информации. 

Сегодня DLP-системы благодаря интеграции с ARZip способны автоматически контролировать в том числе запароленные архивы, которые считаются одним из распространенных каналов утечки конфиденциальной информации. Если в запароленных архивах нет ничего недозволенного, то файл отправляется адресату. В противном случае DLP направит файл в карантин и оповестит об этом сотрудника службы безопасности.

Ограничение доступа к данным и предоставление сотрудникам доступа только к необходимой для работы информации значительно снижает риск утечек. 

Неслучайно Роскомнадзор настаивает на «дроблении» персональных данных: такие сведения, как имя, телефонный номер и покупка, теперь должны храниться в разных базах данных, что затрудняет их привязку к конкретному гражданину. Стоит минимизировать перечень обрабатываемых персональных данных, используя только те, что действительно необходимы для оказания услуги. Также задействовать технические и программные средства, которые помогают автоматизировать работу с ПДн. 

3. Защита от кибератак и регулярные пентесты 

От вредоносов, которые могут проникнуть через сотрудников в корпоративную сеть, тоже необходимо защищаться. Если говорить про минимально необходимый набор защиты ИТ-инфраструктуры, то он будет выглядеть примерно так: межсетевые экраны (Firewall, NGFW), антивирусы на рабочих станциях и серверах, защита на почте и DLP-решения. 

После этого можно посмотреть в сторону систем управления событиями информационной безопасности (SIEM), которые анализируют логи различных средств защиты и выявляют подозрительные активности. 

Для максимальной эффективности SIEM необходимо интегрировать с различными средствами защиты, настроить правила корреляции, чтобы своевременно реагировать на угрозы. Еще лучше использовать системы реагирования на инциденты (SOAR), которые дополняют возможности SIEM.

Кроме того, ежегодно проводить пентесты — тестирования на проникновение путем моделирования реальной хакерской атаки. Они помогут оперативно выявить уязвимости и повысить общую киберзащищенность компании. 

Сотрудники отдела ИБ при этом ведут постоянный мониторинг потоков информации, который позволяет им предотвращать и расследовать инциденты, усиливать систему защиты необходимыми новыми функциями.

Помощь со стороны

Киберпреступность растет, и вместе с ней увеличивается количество инцидентов, связанных с утечками конфиденциальной информации. Поэтому только комплексный подход к защите персональных данных, включающего регулярное обучение сотрудников, внедрение современных технологий защиты, проверку эффективности принятых мер и их корректировку, позволяет минимизировать риски.

Построение надежной системы защиты персональных данных — трудоемкий и долгосрочный процесс. Далеко не все операторы ПДн готовы тратить свои ресурсы на это. Специалисты ARinteg могут помочь операторам ПДн в построении такой системы защиты, они проконсультируют по организации процессов обращения с персональными данными, помогут внедрить необходимые средства защиты информации.

Как показал недавний опрос россиян, около 40 % жителей больших городов хотели, чтобы их ПДн были защищены всеми доступными способами. Проверить, утекли ли данные, можно на сайте, созданном при поддержке Национального координационного центра по компьютерным инцидентам (НКЦКИ).

В складывающихся условиях (а это ситуация кибервойны, поэтому неслучайно идет ужесточение требований со стороны законодателей) компаниям стоит серьезнее относиться к вопросам информационной безопасности и предпринимать все возможные меры для защиты своих данных и данных своих клиентов.