Проблема защиты персональной информации нарастает — в 2019 году, по статистике InfoWatch, количество утечек данных в России выросло на 40% по сравнению с предыдущим годом, а в мире в целом — примерно на 10%. Эксперты фиксируют случаи утечки информации из самых разных отраслей, а в нынешних условиях их количество будет только увеличиваться. В условиях рецессии, которой подверглась наша экономика, практические любые персональные данные участников финансовых процессов представляют сейчас особый интерес. Как следствие, активизируются и мошенники, и недобросовестные участники рынка — грамотный аналитик, используя самую «разношерстную» информацию, способен сформировать профиль субъекта персональных данных почти в любом формате для дальнейшего использования в нужных и, увы, не всегда законных и правомерных целях. О том как бизнесу избежать утечки персональных данных в своей колонке рассказывает Chief Information Security Officer группы IDF Eurasia Саид Аль-Уляфи.
Внутренняя угроза
Как сообщает InfoWatch, в 2019 году более половины из всех зарегистрированных компанией случаев утечек данных произошли по вине инсайдеров (сотрудников компании). Утечка может произойти на любом уровне, разница только в характере и объеме похищенных данных, которые напрямую зависят от уровня доступа к информации и полномочий к её обработке. При этом не всегда утечка происходит по вине компании, проблема может быть на стороне контрагента, например, платформы-агрегатора финансовых услуг. Категория и объем данных зависят от рода деятельности партнера и характера предоставляемых им услуг. Как правило, данных для заявки на кредит (заем) достаточно, чтобы полностью идентифицировать лицо, и в последующем обработав их, использовать в своих целях.
Клиенты в повышенной зоне риска
Если рассматривать вопрос сугубо с позиции интересов финансового учреждения, то в случае утечки персональных данных наибольшему риску подвержены клиенты из числа вкладчиков и инвесторов. В этой связи банкам с вкладами физических лиц и инвестиционными продуктами необходимо уделять защите данных категории клиентов самое пристальное внимание. Аналогично и с МФО — денежные средства в них не хранятся, но в части персональных данных инвесторов вопрос для них актуален. Разумеется, с точки зрения законодательства защите подлежат персональные данные всех субъектов без исключения.
Последствия для клиента и компании
В итоге клиент (субъект персональных данных) в лучшем случае получает риск столкнуться с навязыванием различных услуг, в худшем — с риском хищения денежных средств, завладения имуществом, кражи, открытия «дроп-счета» на его имя для реализации мошеннических схем и пр. Для компании это, как правило, репутационные риски, что безусловно может сказаться на финансовом результате. В некоторых случаях компания может подвергнуться санкциям со стороны регуляторов или преследованию правоохранительных органов, если такой факт будет установлен и доказан, включая вред, нанесенный субъекту персональных данных.
Проблема охватывает все большее число отраслей
В связи с увеличением активности потребления всевозможных услуг через digital-каналы на фоне пандемии актуальность данного вопроса только выросла. Это подтверждается рядом исследований, проведенных в апреле 2020 года. В рамках них экспертами была проанализирована безопасность мобильных приложений, через которые предоставляются услуги из самых различных сфер. Некоторые из них предлагают клиентам мобильные приложения уже давно, другие только начали развивать их в связи с самоизоляцией и необходимостью усиления присутствия бизнеса в онлайне.
Так, специалисты Positive Technologies изучили 14 полнофункциональных мобильных приложений банков из топ-50 крупнейших по величине активов (по 7 приложений для iOS и Android соответственно). Из них только один мобильный банк не содержал уязвимостей, которые открывают злоумышленникам доступ к данным пользователей. В свою очередь в «Ростелеком-Солар» исследовали защищенность 16 фитнес-приложений. В итоге без критических уязвимостей, потенциально ведущих к компрометации данных пользователей, оказались только два из десяти приложений для ОС Android, а среди приложений для iOS таковых не оказалось вовсе. На этом фоне позитивно выглядит ситуация с приложениями для доставки готовой еды, но и среди них отсутствует 100% защищенность. Так, в Роскачестве изучили 34 мобильных приложения (по 17 для Android и iOS соответственно) и выяснили, что передачу тех или иных данных клиентов с использованием алгоритмов шифрования осуществляют 88% приложений.
О росте масштабов проблемы в целом также свидетельствует тот факт, что в проект новой редакции КоАП, предложенный Минюстом и размещенный 29 мая для обсуждения, включено предложение увеличить штрафы за утечку персональных данных для юрлиц с 50 тыс. до 500 тыс. руб.
Рекомендации
В целом принципы построения системы менеджмента информационной безопасности хорошо известны, также в этой сфере существуют международные стандарты ISO/IEC 27000. В качестве дополнительных общих рекомендаций можно отметить:
- обработку персональных данных предпочтительнее осуществлять на площадке оператора, не передавая процесс на аутсорс — это обеспечит полноценный контроль за организацией обработки и выполнением требования по технической защите;
- меры по обеспечению информационной безопасности должны быть разумными (адекватными), бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной;
- максимально исключить из бизнес-процессов человеческий фактор путем их автоматизации;
- численность и состав ИБ-специалистов в штате определяется в зависимости от потребностей компании. Как правило, должен быть методолог (бизнес-аналитик), технический специалист (по направлению деятельности) и специалист по работе со средствами криптозащиты (больше для банковского сектора).