Полагать, что утечки не коснутся твоей компании, и поэтому ничего не предпринимать, значит, иметь повышенный риск того, что утечка рано или поздно произойдет со всеми вытекающими.
К чему это порой приводит, что за это бывает, чем рискуем и как подобное можно предупредить, обо всем об этом читайте на РБК Компании.
Непредвиденные новоселы и не только они
Утечки персональных данных (ПДн) происходят с завидной регулярностью. Вот недавний пример: неизвестные прописали в квартире жителя Москвы восемь новых жильцов, получив доступ к его паспортным данным и аккаунту в «Госуслугах». Когда владелец квартиры это обнаружил, он подал заявление в полицию. Как это произошло, предстоит еще выяснить. Но интересно и другое: понимают ли сотрудники, имеющие доступ к персональным данным, последствия нарушения ими правил информационной безопасности? Зачастую нет. За примерами ходить далеко не надо: в Саратове сотрудницу Росреестра осудили по ст. 290 УК РФ за передачу персональных данных владельцев недвижимости. Ее приговорили к полумиллионному штрафу и лишили на два года права занимать соответствующие должности на госслужбе.
Все это не меняет устоявшуюся тенденцию: число утечек персональных данных в России продолжает расти. В I полугодии 2024 года у российских компаний, по данным DLBI, зафиксировано 144 случая утечки данных (+14 % к I половине 2023 года), а это 46 млн уникальных email адресов и 140 млн номеров.
И вот мы уже оказались в шаге от принятия поправок, вводящих оборотные штрафы за утечки ПДн. Согласно им, за повторные утечки бизнесу придется заплатить от 0,1% до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб. Пока законопроект готовится ко второму чтению. В Евросоюзе, кстати, подобное уже ввели: там за утечку ПДн могут наложить штраф до 4% от годового оборота организации.
Мера первая, предупредительная: правильные процессы
По данным эксперта Positive Technologies, за неполное первое полугодие 2024 года 80 % успешных атак на ретейл заканчивались утечкой конфиденциальной информации. Достаточно вспомнить, что в середине 2024 года в сеть утекли данные миллионов посетителей сети магазинов «Винлаб» и «Магнолия», последняя затронула несколько сотен тысяч записей. Эксперты связывают это с тем, что данных становится все больше, их объем нередко оказывается неконтролируемым из-за проблем с их учетом, инвентаризацией, классификацией и управлением доступом к ним.
Между тем защита ПДн начинается с организации правильных процессов обращения с ними. Решения для этого есть. Так, модуль «Учет персональных данных», разработанный ARinteg для конфигурации 1С:ЗУП, позволяет существенно сократить время на документооборот в рамках 152-ФЗ, снять многие проблемы учета ПДн, минимизировать риски штрафов, а при изменении законодательства получить актуальные обновления, касающиеся учета ПДн. Сейчас законопроект об усилении ответственности за утечку ПДн готовится ко второму чтению в Госдуме. При вступлении нового закона в силу штрафы за утечку ПДн в 150 - 500 раз превысят стоимость того же модуля УПДн.
И весь комплекс мер
Неслучайно говорят: предупреждение утечек – это как борьба с сорняками, подобную работу приходится вести постоянно и подходить к этому стоит комплексно, чтобы выстроить надежную систему защиты персональных данных, которая будет способствовать предотвращению утечек ПДн.
1. От обучения и тренировок по ИБ – никуда.
Регулярное обучение сотрудников и повышение их осведомленности о важности информационной безопасности — первый шаг к предотвращению утечек данных.
В компании необходимо иметь чёткое представление о том, какую именно информацию здесь считают конфиденциальной и хотят защищать, выявит актуальные угрозы безопасности информации в информационной системе персональных данных при помощи моделирования угроз для обоснования выбора организационных и технических мер по защите персональных данных, а также выбора средств защиты информации. Модель угроз касается не только утечки конкретного защищённого документа, но и хранения запрещённой или опасной информации на серверах и устройствах сотрудников, заходов на опасные сетевые ресурсы и т.п.
Необходимо разработать и внедрить политику информационной безопасности, регламенты, с которыми знакомятся сотрудники под подпись (т.е. сотрудники знают, как минимум, о том, что им необходимо сообщать руководству об известных им фактах нарушений в этой сфере и осознают свою ответственность), а также проводить обучение как в теории, так и на практике.
Причем все это не обязательно разрабатывать самостоятельно, можно взять уже готовые универсальные системы обучения или курсы по ИБ и адаптировать при необходимости под потребности компании.
Важно также проводить киберучения с тестовыми фишинговыми атаками. Это позволит выявить уязвимые места и научить «отличившихся» сотрудников правильно реагировать на угрозы.
2. Внедрять системы защиты от утечек и разграничивать доступ к данным
Системы защиты от утечек конфиденциальной информации (DLP) при установке «в разрыв» позволяют моментально предотвращать утечки, блокируя передачу за пределы организации чувствительной информации.
Сегодня DLP-системы способны автоматически контролировать в том числе запароленные архивы, которые считаются одним из распространенных каналов утечки конфиденциальной информации. Применение архиватора ARZip, который интегрирован с системой DLP через API, позволяет автоматизировать процесс проверки архивов, защищенных паролем. Если в запароленных архивах нет ничего недозволенного, то файл отправляется адресату. В противном случае DLP направит файл в карантин и оповестит об этом сотрудника службы безопасности.
Ограничение доступа к данным и предоставление сотрудникам доступа только к необходимой для работы информации значительно снижает риск утечек.
Неслучайно Роскомнадзор настаивает на «дроблении» персональных данных: такие сведения, как имя, телефонный номер и покупка, теперь должны храниться в разных базах данных, что затрудняет их привязку к конкретному гражданину. Стоит минимизировать перечень обрабатываемых персональных данных, используя только те, что действительно необходимы для оказания услуги. Также задействовать технические и программные средства, которые помогают автоматизировать работу с ПДн.
3. Защита от кибератак и регулярные пентесты
От вредоносов, которые могут проникнуть через сотрудников в корпоративную сеть, тоже необходимо защищаться. Если говорить про минимально необходимый набор защиты ИТ-инфраструктуры, то он будет выглядеть примерно так: межсетевые экраны (Firewall, NGFW), антивирусы на рабочих станциях и серверах, защита на почте и DLP-решения.
После этого можно посмотреть в сторону систем управления событиями информационной безопасности (SIEM), которые анализируют логи различных средств защиты и выявляют подозрительные активности.
Для максимальной эффективности SIEM необходимо интегрировать с различными средствами защиты, настроить правила корреляции, чтобы своевременно реагировать на угрозы. Еще лучше использовать системы реагирования на инциденты (SOAR), которые дополняют возможности SIEM.
Кроме того, ежегодно проводить пентесты — тестирования на проникновение путем моделирования реальной хакерской атаки. Они помогут оперативно выявить уязвимости и повысить общую киберзащищенность компании.
Сотрудники отдела ИБ при этом ведут постоянный мониторинг потоков информации, который позволяет им предотвращать и расследовать инциденты, усиливать систему защиты необходимыми новыми функциями.
Помощь со стороны
Киберпреступность растет, и вместе с ней увеличивается количество инцидентов, связанных с утечками конфиденциальной информации. Поэтому только комплексный подход к защите персональных данных, включающий обучение сотрудников, внедрение современных технологий позволяет минимизировать риски.
Построение надежной системы защиты персональных данных – трудоемкий и долгосрочный процесс. Далеко не все операторы ПДн готовы тратить свои ресурсы на это. Специалисты ARinteg могут помочь операторам ПДн в построении такой системы защиты, они проконсультируют по организации процессов обращения с персональными данными, помогут внедрить необходимые средства защиты информации.
Как показал недавний опрос россиян, около 40 % жителей больших городов хотели, чтобы их ПДн были защищены всеми доступными способами. Проверить, утекли ли данные, можно на сайте, созданном при поддержке Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Дополнительная вкладка, для размещения информации о статьях, доставке или любого другого важного контента. Поможет вам ответить на интересующие покупателя вопросы и развеять его сомнения в покупке. Используйте её по своему усмотрению.
Вы можете убрать её или вернуть обратно, изменив одну галочку в настройках компонента. Очень удобно.
