Дмитрий Слободенюк: Защита персональных данных начинается с организации правильных процессов обращения с ними

02.08.2024 / РБК Компании

Утечки персональных данных для бизнеса чреваты потерей доверия клиентов, убытками и судебными исками. Тем не менее, их число продолжает расти. В I полугодии 2024 года у российских компаний, по данным DLBI, зафиксировано 144 случая утечки данных (+14 % к I половине 2023 года), а это 46 млн уникальных email адресов и 140 млн номеров.

Полагать, что утечки не коснутся твоей компании, и поэтому ничего не предпринимать, значит, иметь повышенный риск того, что утечка рано или поздно произойдет со всеми вытекающими.

К чему это порой приводит, что за это бывает, чем рискуем и как подобное можно предупредить, обо всем об этом читайте на РБК Компании.

Непредвиденные новоселы и не только они

Утечки персональных данных (ПДн) происходят с завидной регулярностью. Вот недавний пример: неизвестные прописали в квартире жителя Москвы восемь новых жильцов, получив доступ к его паспортным данным и аккаунту в «Госуслугах». Когда владелец квартиры это обнаружил, он подал заявление в полицию. Как это произошло, предстоит еще выяснить. Но интересно и другое: понимают ли сотрудники, имеющие доступ к персональным данным, последствия нарушения ими правил информационной безопасности? Зачастую нет. За примерами ходить далеко не надо: в Саратове сотрудницу Росреестра осудили по ст. 290 УК РФ за передачу персональных данных владельцев недвижимости. Ее приговорили к полумиллионному штрафу и лишили на два года права занимать соответствующие должности на госслужбе.

Все это не меняет устоявшуюся тенденцию: число утечек персональных данных в России продолжает расти. В I полугодии 2024 года у российских компаний, по данным DLBI, зафиксировано 144 случая утечки данных (+14 % к I половине 2023 года), а это 46 млн уникальных email адресов и 140 млн номеров.

И вот мы уже оказались в шаге от принятия поправок, вводящих оборотные штрафы за утечки ПДн. Согласно им, за повторные утечки бизнесу придется заплатить от 0,1% до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб. Пока законопроект готовится ко второму чтению. В Евросоюзе, кстати, подобное уже ввели: там за утечку ПДн могут наложить штраф до 4% от годового оборота организации.

Мера первая, предупредительная: правильные процессы

По данным эксперта Positive Technologies, за неполное первое полугодие 2024 года 80 % успешных атак на ретейл заканчивались утечкой конфиденциальной информации. Достаточно вспомнить, что в середине 2024 года в сеть утекли данные миллионов посетителей сети магазинов «Винлаб» и «Магнолия», последняя затронула несколько сотен тысяч записей. Эксперты связывают это с тем, что данных становится все больше, их объем нередко оказывается неконтролируемым из-за проблем с их учетом, инвентаризацией, классификацией и управлением доступом к ним.

Между тем защита ПДн начинается с организации правильных процессов обращения с ними. Решения для этого есть. Так, модуль «Учет персональных данных», разработанный ARinteg для конфигурации 1С:ЗУП, позволяет существенно сократить время на документооборот в рамках 152-ФЗ, снять многие проблемы учета ПДн, минимизировать риски штрафов, а при изменении законодательства получить актуальные обновления, касающиеся учета ПДн. Сейчас законопроект об усилении ответственности за утечку ПДн готовится ко второму чтению в Госдуме. При вступлении нового закона в силу штрафы за утечку ПДн в 150 - 500 раз превысят стоимость того же модуля УПДн.

И весь комплекс мер

Неслучайно говорят: предупреждение утечек – это как борьба с сорняками, подобную работу приходится вести постоянно и подходить к этому стоит комплексно, чтобы выстроить надежную систему защиты персональных данных, которая будет способствовать предотвращению утечек ПДн.

1. От обучения и тренировок по ИБ – никуда.

Регулярное обучение сотрудников и повышение их осведомленности о важности информационной безопасности — первый шаг к предотвращению утечек данных.

В компании необходимо иметь чёткое представление о том, какую именно информацию здесь считают конфиденциальной и хотят защищать, выявит актуальные угрозы безопасности информации в информационной системе персональных данных при помощи моделирования угроз для обоснования выбора организационных и технических мер по защите персональных данных, а также выбора средств защиты информации. Модель угроз касается не только утечки конкретного защищённого документа, но и хранения запрещённой или опасной информации на серверах и устройствах сотрудников, заходов на опасные сетевые ресурсы и т.п.

Необходимо разработать и внедрить политику информационной безопасности, регламенты, с которыми знакомятся сотрудники под подпись (т.е. сотрудники знают, как минимум, о том, что им необходимо сообщать руководству об известных им фактах нарушений в этой сфере и осознают свою ответственность), а также проводить обучение как в теории, так и на практике.

Причем все это не обязательно разрабатывать самостоятельно, можно взять уже готовые универсальные системы обучения или курсы по ИБ и адаптировать при необходимости под потребности компании.

Важно также проводить киберучения с тестовыми фишинговыми атаками. Это позволит выявить уязвимые места и научить «отличившихся» сотрудников правильно реагировать на угрозы.

2. Внедрять системы защиты от утечек и разграничивать доступ к данным

Системы защиты от утечек конфиденциальной информации (DLP) при установке «в разрыв» позволяют моментально предотвращать утечки, блокируя передачу за пределы организации чувствительной информации.

Сегодня DLP-системы способны автоматически контролировать в том числе запароленные архивы, которые считаются одним из распространенных каналов утечки конфиденциальной информации. Применение архиватора ARZip, который интегрирован с системой DLP через API, позволяет автоматизировать процесс проверки архивов, защищенных паролем. Если в запароленных архивах нет ничего недозволенного, то файл отправляется адресату. В противном случае DLP направит файл в карантин и оповестит об этом сотрудника службы безопасности.

Ограничение доступа к данным и предоставление сотрудникам доступа только к необходимой для работы информации значительно снижает риск утечек.

Неслучайно Роскомнадзор настаивает на «дроблении» персональных данных: такие сведения, как имя, телефонный номер и покупка, теперь должны храниться в разных базах данных, что затрудняет их привязку к конкретному гражданину. Стоит минимизировать перечень обрабатываемых персональных данных, используя только те, что действительно необходимы для оказания услуги. Также задействовать технические и программные средства, которые помогают автоматизировать работу с ПДн.

3. Защита от кибератак и регулярные пентесты

От вредоносов, которые могут проникнуть через сотрудников в корпоративную сеть, тоже необходимо защищаться. Если говорить про минимально необходимый набор защиты ИТ-инфраструктуры, то он будет выглядеть примерно так: межсетевые экраны (Firewall, NGFW), антивирусы на рабочих станциях и серверах, защита на почте и DLP-решения.

После этого можно посмотреть в сторону систем управления событиями информационной безопасности (SIEM), которые анализируют логи различных средств защиты и выявляют подозрительные активности.

Для максимальной эффективности SIEM необходимо интегрировать с различными средствами защиты, настроить правила корреляции, чтобы своевременно реагировать на угрозы. Еще лучше использовать системы реагирования на инциденты (SOAR), которые дополняют возможности SIEM.

Кроме того, ежегодно проводить пентесты — тестирования на проникновение путем моделирования реальной хакерской атаки. Они помогут оперативно выявить уязвимости и повысить общую киберзащищенность компании.

Сотрудники отдела ИБ при этом ведут постоянный мониторинг потоков информации, который позволяет им предотвращать и расследовать инциденты, усиливать систему защиты необходимыми новыми функциями.

Помощь со стороны

Киберпреступность растет, и вместе с ней увеличивается количество инцидентов, связанных с утечками конфиденциальной информации. Поэтому только комплексный подход к защите персональных данных, включающий обучение сотрудников, внедрение современных технологий позволяет минимизировать риски.

Построение надежной системы защиты персональных данных – трудоемкий и долгосрочный процесс. Далеко не все операторы ПДн готовы тратить свои ресурсы на это. Специалисты ARinteg могут помочь операторам ПДн в построении такой системы защиты, они проконсультируют по организации процессов обращения с персональными данными, помогут внедрить необходимые средства защиты информации.

Как показал недавний опрос россиян, около 40 % жителей больших городов хотели, чтобы их ПДн были защищены всеми доступными способами. Проверить, утекли ли данные, можно на сайте, созданном при поддержке Национального координационного центра по компьютерным инцидентам (НКЦКИ).

В складывающихся условиях (а это ситуация кибервойны, поэтому неслучайно идет ужесточение требований со стороны законодателей) компаниям стоит серьезнее относиться к вопросам информационной безопасности и предпринимать все возможные меры для защиты своих данных и данных своих клиентов.

Поделиться: