Привет! На связи Servermall — уже 20 лет занимаемся поставками серверного и сетевого оборудования в России и успели стать настоящими экспертами в вопросах сохранности информации. Готовы поспорить: ваши корпоративные данные в опасности! Как их защитить — читайте в статье.
Adobe, Сбер, Canva, LinkedIn, Билайн, Яндекс — можно бесконечно перечислять названия компаний, которые пострадали от хакерских атак и допустили утечку данных. Если кажется, что вашего ларька в Тмутаракани эта проблема не коснётся, спешим рассеять чары уверенности.
В 2023 году эксперты прогнозируют резкий скачок кибератак на российские компании. Так что доверьтесь закону Мёрфи: если какая-нибудь неприятность может произойти, она произойдёт.
Но как говорил батюшка Гиппократ: «Болезнь легче предупредить, чем лечить». Погнали разбираться, как это сделать.
Из статьи вы узнаете:
Чем грозит утечка данных?
Утро ответственных менеджеров на следующий день после утечки. Холст, масло
Начну с главного, что это за зверь вообще — персональные данные?
Это все те сведения, которые напрямую касаются исключительно конкретного человека: имя, адрес, номера документов, электронная почта, телефон и даже рост, вес и семейное положение.
По отдельности эта информация не имеет значимости, но в совокупности позволяет определить вас как вас.
Чтобы вы не вздумали закрыть статью, не дочитав, расскажем, к чему приводят утечки данных:
— уголовная ответственность
Максимальное наказание, которое грозит за утечку данных, — штраф, и как показывает практика, достаточно небольшой. К слову, месячная зарплата специалиста по кибербезопасности будет на порядок выше.
Вполне закономерно, что такая система наказания не слишком мотивирует компании повышать уровень защиты данных клиентов. Поэтому сейчас Минцифры активно согласовывает законопроект, вводящий оборотные штрафы за утечку — звучат пугающие цифры от 1 до 3%.
— репутационный ущерб
Вспомним прошлогодний провал «Яндекс.Еды» — хакеры не просто украли персональные данные пользователей, но и разместили в открытый доступ. Банковские реквизиты не были затронуты, но зато любой пользователь мог посмотреть, что вы обычно едите на завтрак.
Хотелось бы воспользоваться услугами компании ещё раз, если бы из-за этого слива ваш тренер узнал, что по вечерам вы заказываете ведро острых крылышек и 10 соусов в KFC?
— финансовые убытки
Вернемся к статистике: за последние 5 лет в результате более 241 000 инцидентов было похищено $43,31 млрд. Несколько десятков, а может, и сотен из них могли быть вашими.
Если хакеры получат данные сотрудников, им мало что помешает взломать ваши корпоративные сети, а следом и получить доступ ко всем документам, в том числе финансовым. Представляете себе масштаб катастрофы?
Кстати, в учёт статистики вряд ли шли убытки, связанные с репутационными потерями, но о них тоже нельзя забывать.
Почему данные воруют?
Отмечу, что персональные данные подразделяют на 4 категории:
- Общедоступные — ФИО, дата и место рождения, возраст, образование и другие публичные данные, которые можно найти в открытых источниках;
- Биометрические — фотографии, отпечатки пальцев или рисунок сетчатки глаза — физиологические особенности, на основании которых можно установить личность субъекта;
- Специальные — расовая, национальная принадлежность, политические и религиозных взгляды, состояние здоровья, подробности интимной жизни;
- Иные — где вы отдыхали прошлым летом и в какой фитнес-клуб ходите.
Закон запрещает без вашего согласия передавать любые персональные данные посторонним. Но поверьте, желающих поживиться ими очень много.
Причин для краж много, вот самые распространённые:
- развернутая информация об адресате позволяет клепать эффективные фишинговые письма или подстраивать звонки под конкретную жертву;
- персональные данные упрощают получение доступа к аккаунтам и устройствам пользователя (девичья фамилия матери? А вот же она);
- базы данных с радостью покупают спамеры и телефонные мошенники, а потом звонят, представляясь сотрудниками банка;
- с помощью данных одного человека можно найти информацию и о других пользователях.
Как происходят утечки?
Слив по неосторожности (читай: глупости)
Распространённый случай: сотрудник, имеющий доступ к персональным данным, перешёл по вредоносной ссылке или скачал себе пасьянс с непроверенного сайта. К сожалению, даже в крупных компаниях такие ситуации не редкость.
Заходя вперёд, подчеркнём — руководителям крайне важно следить за цифровой гигиеной и обучать сотрудников — самостоятельно или приглашая специалистов извне.
Умышленный слив
“Просто есть типы, которые действуют вне всякой логики. Их не подкупить, не запугать, не договориться и не прийти к компромиссу. Эти люди мечтают видеть мир в огне.”
Безответственность сотрудников является самой частой причиной утечки. А всё по простой причине — нужно больше золота.
Слить все секреты злоумышленникам могут ваши сисадмины, бухгалтеры и даже рядовые менеджеры, которые имеют доступ к персональным сведениям клиентов и партнёров.
Обычно покупатели сами выходят на ваших «дилеров», предлагают им кругленькую сумму и покупают базы данных, как жвачку у кассы. Но зачастую предприимчивые сотрудники сами ищут способ повыгоднее пристроить то, что плохо лежит.
Есть и те, кто сливает данные, не преследуя коммерческих целей, — из мести, обиды, вредности, под влиянием ретроградного Меркурия.
Взлом
Нередко злоумышленники получают доступ к персональным данным и через уязвимые места серверов и сайтов. Они взламывают ваши пароли, заражают корпоративную технику вирусами и незаметно выкачивают информацию.
Как этого не допустить — читайте дальше.
Как правильно хранить данные?
Ответьте на 3 простых вопроса:
- Надёжно ли защищены важные данные?
- Знает ли кто-то, где они хранятся?
- Имеют ли доступ к данным те, у кого его быть не должно?
Если ваш ответ трижды «нууу… эээ», у нас плохие новости — безопасность вашей информации под угрозой.
Разминка закончена. Теперь расскажем, что делать, чтобы сохранить неприступность своей крепости.
Шаг 1. Регламентируйте процессы
Сформулируйте правила хранения и обработки данных пользователей — создайте соответствующие документы и регламенты, пропишите права и ответственность сотрудников, укажите возможные последствия нарушений.
Для этого зачастую нанимают отдельного сотрудника — ответственного за защиту данных или Data Protection Officer (DPO). Это своего рода бумажный рыцарь, который определяет угрозы, на их основе разрабатывает документацию по защите корпоративных данных и следит за соблюдением всех нормативов.
Если вы не готовы тратить средства из бюджета на нового работника, хотя бы подумайте, кто и как может «увести базу» и какими способами вы можете от этого обезопаситься. Пусть это не так сурово, как множество регламентов и приказов, но может спасти компанию в экстренной ситуации.
Шаг 2. Обеспечьте физическую безопасность
Как нинада
В мире тотальной цифровизации кажется неактуальным беспокоиться о физической сохранности документов, но совсем игнорировать правила безопасности не стоит. С этой задачей отлично справляются системы контроля и управления доступом (СКУД).
Это комплекс средств для разграничения доступа людей к закрытым объектам и информации. Элементарная СКУД, с которой все встречались, — вахтёрша, которая следит, чтобы никто лишний не прошёл. Другими словами, система контроля доступа определяет, кому, куда и когда разрешено входить или выходить.
Как правило, роль СКУД выполняет турникет с пропусками, но в компаниях с высоким уровнем секретности устанавливают и более сложные механизмы защиты: Франц Беккенбауэр, видеонаблюдение, датчики и сигнализации, двери с замками на паролях и/или считыванием лапок вашего котика. Против таких СКУД даже Алохомора не поможет — если у сотрудника недостаточно прав, система попросту не пропустит его дальше разрешённого уровня.
Шаг 3. Настройте резервное копирование
Бекапьтесь, друзья, чтобы не потерять данные из-за вышедшего из строя сервера или ПК. Если важные файлы имеют пару-тройку копий, одна из которых в облаке, то их лишь апокалипсис возьмёт. А вам не придётся объясняться перед налоговой, куда отчёты пропали.
Обратите внимание, разная информация имеет разные сроки хранения:
- 3 года для заявлений о трудоустройстве/увольнении, писем, автобиографий, указов о переводе на другую должность, анкет;
- 5 лет для докладных, служебных записок, командировочных листов, справок, приказов и выписок;
- 75 лет для любой финансовой информации.
Шаг 4. Защититесь от внешних угроз
Как и для чего хакеры ищут уязвимости в вашей IT-инфраструктуре, мы подробно рассказали в прошлой статье (даже личным опытом поделились). Для закрепления материала повторю, какие способы защиты данных лучше применять любой компании:
- IDS\IPS — системы обнаружения и предотвращения вторжений;
- Security Information and Event Management (SIEM) для сбора и анализа информации;
- Регулярные обновления операционных систем и ПО;
- Регулярное тестирование инфраструктуры на проникновение, чтобы обнаружить уязвимые места и вовремя их закрыть.
И не забывайте про двухфакторную аутентификацию на максимальном количестве внешних сервисов (вроде того же VPN). Сделать это можно за считанные минуты без помощи дорогостоящих специалистов, при этом защищённость данных увеличивается в разы.
Шаг 5. Защититесь от внутренних угроз
Любой сотрудник компании потенциально может увести важные сведения. Наймёте отдельного мужичка с дубинкой, что будет следить за сотрудниками, — и он способен, как и мужичок, что следит за этим мужичком… и так до бесконечности.
Рекурсия в действии
Гарантировать сохранность данных не может даже полиграф (вдруг полиграфологиню танцует конкурент). Но есть парочка правил, которые минимизируют риски.
Ещё раз — не поскупитесь на специалиста, который чётко пропишет все регламенты обращения с конфиденциальной информацией. Не готовы нанимать штатного сотрудника — обратитесь за помощью к аутсорс-компаниям.
Используйте NDA (non-disclosure agreement) — договор о неразглашении коммерческой тайны. Само соглашение на практике не так эффективно, как хотелось бы, но перспектива таскаться по судам и выплачивать штрафы с весомым количеством нулей поумерит пыл юных предпринимателей.
Не пренебрегайте DLP-системами (Data Leak Prevention — предотвращение утечек информации). Это программное обеспечение — ваш личный инфохранитель: отследит попытки передачи данных посторонним и заблокирует подозрительные операции.
И самое очевидное — разграничивайте доступ. Этот простой и быстрый способ обезопасить ценную информацию почему-то часто игнорируется. Настройте уровни доступа к различным документам и файлам — сделать это можно в любой CRM-системе. Особенно ограничьте тех, кто не прошёл обучение по кибербезопасности, и спите спокойнее (хотя бы чуть-чуть).
Вместо вывода
Только за прошлый год Роскомнадзор насчитал 150 крупных утечек цифровой информации. Хакеры находят уязвимости даже в самых строго охраняемых системах и безнаказанно воруют данные миллионов пользователей.
Чтобы подобная участь обошла вашу компанию стороной, позаботьтесь о кибербезопасности заранее и используйте золотое правило — защищаться нужно со всех сторон.
Берегите данные от внешних угроз, но не забывайте о внутренних процессах. Напомните сотрудникам: прежде чем тыкать по ссылкам, нужно убедиться, что письмо действительно от [email protected], а не от [email protected]. А заодно предупредите их, что вместе с данными может утечь и премия.
Придерживайтесь базовых правил цифровой гигиены и будет вам счастье.
И не забудьте поменять пароль по умолчанию у вашего Wi-Fi роутера!