Российские компании чаще всего теряют данные из-за недобросовестных сотрудников: что делать, чтобы обезопасить себя
Статьи редакции
Мнения экспертов о том, как предотвратить потерю данных.
Согласно исследованию IBM Security, самая распространённая причина утечек данных по всему миру — вредоносные атаки. На втором месте — ошибки системы, на третьем — недобросовестные сотрудники.
Специалисты аналитического центра компании InfoWatch сравнили, чем отличаются утечки данных российского бизнеса от глобальных.
Оказалось, что в России внешние злоумышленники в четыре раза реже, чем в целом по миру, покушаются на информацию. В основном данные «уходят» из компании из-за людей: от руководства до бывших сотрудников.
Эксперт в области экономической безопасности Александр Тюлин отмечает, что прежде всего утечки данных — это кадровая, а не техническая проблема. Программное обеспечение не поможет, если бизнес не беспокоится об информационной безопасности.
По мнению Тюлина, первое, что может сделать бизнес для защиты данных, — внимательнее подбирать персонал, лояльнее относиться к сотрудникам и прислушиваться к обратной связи от них.
Тюлин отмечает, что иногда нелояльность бывших сотрудников обойдётся компании дороже, чем компенсации при увольнении или наём специалистов по экономической и информационной безопасности. Также любая утечка данных — репутационный риск, особенно для крупного и среднего бизнеса. Репутационные риски тянут за собой экономические. Если данные утечки будут использованы, компания может потерять в капитализации.
Базы без хозяев
В июне 2019 года компания DeviceLock обнаружила в интернете базу клиентов нескольких банков, в том числе две базы «Альфа-банка». В открытом доступе оказались данные более 55 тысяч клиентов: ФИО, телефоны, частично — паспортные данные. Часть базы оказалась актуальной и на сегодня.
Проверка Генеральной прокуратуры утечку не выявила. Официальный представитель ведомства добавил, что Роскомнадзор ограничил доступ к форуму, где опубликовали базу. Официально банк не подтвердил, что данные принадлежат ему.
В июле РБК обнаружило в открытом доступе базу данных клиентов Ozon: около 450 тысяч адресов электронной почты и паролей от личного кабинета. 30 тысяч аккаунтов оказались подлинными.
Роскомнадзор посчитал, что так как владельцы аккаунтов не обращались в ведомство, фактически права субъектов персональных данных не нарушены. Представитель Ozon объяснила, что компания ранее обнаружила базу данных и проверила её.
Последнее сообщение о крупной утечке персональных данных было в августе 2019 года — компания DeviceLock нашла в сети базу с персональными данными 70 тысяч клиентов «Бинбанка».
Она не находится в свободном доступе, но продаётся примерно по 5 рублей за строчку. Роскомнадзор, чтобы выяснить ситуацию, отправил «Бинбанку» письмо. Ведомство требует рассказать о причинах утечки.
Персональные данные без владельца
Исследователи InfoWatch отмечают, что в России реже, чем во всем мире, утекают платёжные данные. Коммерческие данные — примерно в том же объёме, что в целом по миру. А вот персональные данные составляют более 80% утечек.
Аналитики объясняют это тем, что компании, которые обрабатывают информацию о платежах, активно используют ИТ-решения для защиты данных. Операторы персональных данных пока этим не отличаются.
«На фоне обозначившегося общемирового тренда на ужесточение административной ответственности за компрометацию сведений личного характера регуляторная политика в России по-прежнему выглядит довольно мягкой», — отмечают исследователи.
В 2017–2018 годах ни ведомства, ни СМИ не сообщали о штрафах, которые организации получили за утечки данных. Для сравнения: из-за прошлогоднего скандала с утечкой персональных данных 87 млн пользователей в британскую аналитическую компанию Cambridge Analytica Facebook заплатит штраф в $5 млрд.
Исследователи добавляют: безопасность персональных данных игнорируют не только операторы персональных данных, но и сами владельцы. В первом полугодии 2019 года россияне уже пожаловались на незаконную обработку данных в Роскомнадзор более 25 тысяч раз. Это на 44% больше, чем в 2018 году. С февраля 2019 года ведомство считает обращения основанием для внеплановой проверки.
Ведущий юрист компании «IT-юрист» Алексей Шаталов отмечает, что в теории человек может подать в суд, если компания потеряла его персональные данные, осознанно передала третьему лицу или как-то по-другому нарушила его права. Но судебной практики по делам об утечке персональных данных практически нет.
Граждане неохотно защищают свои персональные данные, не желая тратить время и деньги. Если человек выиграет суд, в качестве компенсации морального вреда он получит от 5000 до 30 тысяч рублей. В своих решениях суды прямо указывают, что технически абонент мог заблокировать телефонный номер или электронный адрес спамера и прекратить правонарушение.
Компании без защиты
Порядок сбора, обработки и хранения персональных данных определяет ФЗ-152 «О персональных данных». Статья 13.11 Кодекса об административных правонарушениях описывает нарушения и наказания.
Основатель и технический директор компании DeviceLock Ашот Оганесян отмечает, что не существует простого решения, которое разом защитит данные компании. Например, хранилище может находиться внутри сети, но если оно неправильно сконфигурировано, туда легко проникнуть, а шифрование не защитит информацию от инсайдеров, у которых есть ключи.
В 2018 году DeviceLock обнаружила в рунете около тысячи открытых облачных баз данных. Всего компания исследовала 1900 серверов. В более чем половину из них сторонний пользователь мог попасть несанкционированно, а 4% уже были взломаны хакерами.
Также компания должна разработать регламенты по работе с конфиденциальной информацией и персональными данными, затем систематически обучать сотрудников соблюдать их. Чтобы злоумышленники не получили данные через открытые сервера, необходимо проверять системы хранения данных.
Это покажет недоделанные API, которые позволяют неавторизованному пользователю войти в базы данных, забытые сервера с лог-файлами или резервными копиями.
Как защищают данные российские компании
Фармацевтическая компания «Пульс», «1С-Битрикс», ИТ-компании Modum Lab, «Аскон» от комментариев отказались, сославшись на конфиденциальность информации.
У "Озона" был либо слив базы, либо была дыра в безопасности, которая позволяла заходить в чужие личные кабинеты, а не какая-то мнимая "компиляция из разных источников". В конце прошлого года я был удивлён письмом, в котором требовалось подтверждение смены email на другой. Кто-то вошёл в мой ЛК и начал менять регистрационные данные и email. Можно спокойно обвинять пользователей в пренебрежении средствами безопасности, что пароли слабые и используются в нескольких системах сразу. Можно, но не в моем случае. Я сразу сбросил пароль в ЛК на новый, но как оказалось, это действие мало влияет на безопасность в "Озоне": если злоумышленник вошёл в систему до сброса пароля, то по старым кукам может оставаться в системе бесконечно долго. В чем я убедился на другом компьютере.
У "Озона" был либо слив базы, либо была дыра в безопасности, которая позволяла заходить в чужие личные кабинеты, а не какая-то мнимая "компиляция из разных источников". В конце прошлого года я был удивлён письмом, в котором требовалось подтверждение смены email на другой. Кто-то вошёл в мой ЛК и начал менять регистрационные данные и email. Можно спокойно обвинять пользователей в пренебрежении средствами безопасности, что пароли слабые и используются в нескольких системах сразу. Можно, но не в моем случае. Я сразу сбросил пароль в ЛК на новый, но как оказалось, это действие мало влияет на безопасность в "Озоне": если злоумышленник вошёл в систему до сброса пароля, то по старым кукам может оставаться в системе бесконечно долго. В чем я убедился на другом компьютере.