Российские компании чаще всего теряют данные из-за недобросовестных сотрудников: что делать, чтобы обезопасить себя Статьи редакции
Мнения экспертов о том, как предотвратить потерю данных.
Согласно исследованию IBM Security, самая распространённая причина утечек данных по всему миру — вредоносные атаки. На втором месте — ошибки системы, на третьем — недобросовестные сотрудники.
Специалисты аналитического центра компании InfoWatch сравнили, чем отличаются утечки данных российского бизнеса от глобальных.
Оказалось, что в России внешние злоумышленники в четыре раза реже, чем в целом по миру, покушаются на информацию. В основном данные «уходят» из компании из-за людей: от руководства до бывших сотрудников.
Эксперт в области экономической безопасности Александр Тюлин отмечает, что прежде всего утечки данных — это кадровая, а не техническая проблема. Программное обеспечение не поможет, если бизнес не беспокоится об информационной безопасности.
Сотрудники переписываются по работе с помощью личных почтовых ящиков, свободно пользуются флеш-накопителями. Менеджеры по продажам ведут собственные базы клиентов, не дублируют их в системах компании.
Когда сотрудник увольняется, никто не меняет логины и пароли. Бизнес хранит персональные данные как попало, не регулирует уровень доступа к ним, нет грифа «коммерческая тайна» или «конфиденциальная информация».
Вдобавок организации не умеют правильно расставаться с людьми. Пытаясь сэкономить на компенсациях, руководство разжигает конфликт. Оно не учитывает, что в большинстве случаев трудовая инспекция встаёт на сторону работника.
Как итог — недовольный сотрудник использует информацию, чтобы, например, натравить на бывшего работодателя проверки.
По мнению Тюлина, первое, что может сделать бизнес для защиты данных, — внимательнее подбирать персонал, лояльнее относиться к сотрудникам и прислушиваться к обратной связи от них.
Тюлин отмечает, что иногда нелояльность бывших сотрудников обойдётся компании дороже, чем компенсации при увольнении или наём специалистов по экономической и информационной безопасности. Также любая утечка данных — репутационный риск, особенно для крупного и среднего бизнеса. Репутационные риски тянут за собой экономические. Если данные утечки будут использованы, компания может потерять в капитализации.
Базы без хозяев
В июне 2019 года компания DeviceLock обнаружила в интернете базу клиентов нескольких банков, в том числе две базы «Альфа-банка». В открытом доступе оказались данные более 55 тысяч клиентов: ФИО, телефоны, частично — паспортные данные. Часть базы оказалась актуальной и на сегодня.
Проверка Генеральной прокуратуры утечку не выявила. Официальный представитель ведомства добавил, что Роскомнадзор ограничил доступ к форуму, где опубликовали базу. Официально банк не подтвердил, что данные принадлежат ему.
Публикация не содержит сведений, позволяющих подтвердить принадлежность указанных персональных данных клиентам банка, равно как и подтвердить факт продажи таких персональных данных.
Со стороны банка принимаются все необходимые меры к обеспечению конфиденциальности данных наших клиентов.
«Альфа-банк» постоянно отслеживает и проверяет достоверность предложений о продаже якобы актуальных данных клиентов банка, по результатам проверок утечек информации выявлено не было.
В июле РБК обнаружило в открытом доступе базу данных клиентов Ozon: около 450 тысяч адресов электронной почты и паролей от личного кабинета. 30 тысяч аккаунтов оказались подлинными.
Роскомнадзор посчитал, что так как владельцы аккаунтов не обращались в ведомство, фактически права субъектов персональных данных не нарушены. Представитель Ozon объяснила, что компания ранее обнаружила базу данных и проверила её.
Файл Ozon.ru.txt, на который ссылались журналисты РБК в своей статье, служба информационной безопасности Ozon обнаружила во время мониторинга сети в конце 2018 года. Тогда же мы проверили, есть ли в файле учётные записи наших пользователей, и сбросили пароли всех аккаунтов, относящихся к Ozon.ru.
Пользователям, чьи данные были скомпрометированы, компания сразу же направила письма, сообщив о сбросе паролей и необходимости обновить антивирусное программное обеспечение.
В ходе проверки мы выяснили, что база — компиляция «утечек» с разных сервисов, например, социальных сетей и игровых площадок. Некоторые повторялись в документе по несколько раз, около 10% и вовсе не были зарегистрированы на Ozon.ru. А для 390 тысяч аккаунтов из базы регистрация на Ozon.ru была единственным действием на площадке компании, что указывает на их автоматическую генерацию.
Всего 7% базы действительно принадлежали активным пользователям Ozon — их владельцы заходили на сайт в последние два года или имели баллы на пользовательском счету.
Подобные базы обычно собирают из разных источников: проверяют попавшие в интернет сведения пользователей одного сайта на других площадках, а затем, чтобы повысить ценность, дополняют автоматически сгенерированными аккаунтами.
Люди очень часто используют одни и те же данные при регистрации на разных сервисах, поэтому мы проверяем любую найденную базу на наличие в ней аккаунтов пользователей Ozon, сбрасываем пароли и оперативно сообщаем пользователям, что их данные были скомпрометированы.
Последнее сообщение о крупной утечке персональных данных было в августе 2019 года — компания DeviceLock нашла в сети базу с персональными данными 70 тысяч клиентов «Бинбанка».
Она не находится в свободном доступе, но продаётся примерно по 5 рублей за строчку. Роскомнадзор, чтобы выяснить ситуацию, отправил «Бинбанку» письмо. Ведомство требует рассказать о причинах утечки.
Персональные данные без владельца
Исследователи InfoWatch отмечают, что в России реже, чем во всем мире, утекают платёжные данные. Коммерческие данные — примерно в том же объёме, что в целом по миру. А вот персональные данные составляют более 80% утечек.
Аналитики объясняют это тем, что компании, которые обрабатывают информацию о платежах, активно используют ИТ-решения для защиты данных. Операторы персональных данных пока этим не отличаются.
«На фоне обозначившегося общемирового тренда на ужесточение административной ответственности за компрометацию сведений личного характера регуляторная политика в России по-прежнему выглядит довольно мягкой», — отмечают исследователи.
В 2017–2018 годах ни ведомства, ни СМИ не сообщали о штрафах, которые организации получили за утечки данных. Для сравнения: из-за прошлогоднего скандала с утечкой персональных данных 87 млн пользователей в британскую аналитическую компанию Cambridge Analytica Facebook заплатит штраф в $5 млрд.
Исследователи добавляют: безопасность персональных данных игнорируют не только операторы персональных данных, но и сами владельцы. В первом полугодии 2019 года россияне уже пожаловались на незаконную обработку данных в Роскомнадзор более 25 тысяч раз. Это на 44% больше, чем в 2018 году. С февраля 2019 года ведомство считает обращения основанием для внеплановой проверки.
Ведущий юрист компании «IT-юрист» Алексей Шаталов отмечает, что в теории человек может подать в суд, если компания потеряла его персональные данные, осознанно передала третьему лицу или как-то по-другому нарушила его права. Но судебной практики по делам об утечке персональных данных практически нет.
Граждане неохотно защищают свои персональные данные, не желая тратить время и деньги. Если человек выиграет суд, в качестве компенсации морального вреда он получит от 5000 до 30 тысяч рублей. В своих решениях суды прямо указывают, что технически абонент мог заблокировать телефонный номер или электронный адрес спамера и прекратить правонарушение.
В таких исках трудно установить ответчика. Когда пользователь получает нежеланные телефонные звонки или рассылки, на которые не подписывался, сложно определить, откуда данные «утекли» и кого привлекать к ответственности.
Базы данных тоже публикуют анонимно. Если удастся установить причинно-следственную связь и доказать, что персональные данные попали в третьи руки из конкретной компании, её можно будет привлечь к ответственности за нарушение правил обработки персональных данных.
Тот, кто опубликовал базу, ответственен за распространение и обработку личных данных без согласия субъекта.
Компании без защиты
Порядок сбора, обработки и хранения персональных данных определяет ФЗ-152 «О персональных данных». Статья 13.11 Кодекса об административных правонарушениях описывает нарушения и наказания.
Сейчас немногие компании полностью выполняют требования закона о персональных данных. Если начать проверять компанию, соблюдает ли она законодательство в области обработки данных, можно выявить массу нарушений.
При этом штрафы за нарушения возросли сравнительно недавно, летом 2017 года. Сейчас самый крупный штраф компания может получить за обработку персональных данных без согласия субъекта — от 15 до 70 тысяч рублей.
Основатель и технический директор компании DeviceLock Ашот Оганесян отмечает, что не существует простого решения, которое разом защитит данные компании. Например, хранилище может находиться внутри сети, но если оно неправильно сконфигурировано, туда легко проникнуть, а шифрование не защитит информацию от инсайдеров, у которых есть ключи.
В 2018 году DeviceLock обнаружила в рунете около тысячи открытых облачных баз данных. Всего компания исследовала 1900 серверов. В более чем половину из них сторонний пользователь мог попасть несанкционированно, а 4% уже были взломаны хакерами.
Эффективная защита должна носить комплексный характер. Нужно использовать антивирусы, запретить слабые пароли, контролировать сетевой периметр — настроить firewall, закрыть доступ к внутренним серверам из сети.
Обязательно введите разграничение доступа: давайте сотрудникам полномочия, исходя из рабочих задач, и фиксируйте все действия в системе. Для борьбы именно с инсайдерскими утечками используйте DLP-системы (Data Leak Prevention). Они не дают копировать данные на внешние носители, облачные сервисы, отправлять по почте и другим каналам.
Правда, некоторые DLP-системы только фиксируют попытку передать данные, но есть и те, что в режиме реального времени блокируют передачу.
Также компания должна разработать регламенты по работе с конфиденциальной информацией и персональными данными, затем систематически обучать сотрудников соблюдать их. Чтобы злоумышленники не получили данные через открытые сервера, необходимо проверять системы хранения данных.
Это покажет недоделанные API, которые позволяют неавторизованному пользователю войти в базы данных, забытые сервера с лог-файлами или резервными копиями.
Как защищают данные российские компании
Фармацевтическая компания «Пульс», «1С-Битрикс», ИТ-компании Modum Lab, «Аскон» от комментариев отказались, сославшись на конфиденциальность информации.
Мы храним все пароли в зашифрованном виде — когда пользователь устанавливает или вводит уже существующий пароль, от него вычисляется необратимая хэш-функция, и на сервере мы храним только результат хэширования. В результате проверить пароль можно, но даже если хэш попадёт к злоумышленникам, восстановить данные они не смогут.
Чаще всего данные попадают к мошенникам в результате атаки на устройства пользователей или социальной инженерии — они создают сайты-копии известных сервисов или звонят и пишут пользователям, имитируя рассылки от банков или интернет-площадок.
Поэтому мы движемся в сторону обязательной двухфакторной аутентификации по номеру телефона. В этом случае, даже если данные попадут к мошенникам, получить доступ к аккаунту и личным данным пользователей они не смогут.
Большинство утечек данных происходят из-за людей. С ними мы и работаем. Cоискателям на собеседовании мы предлагаем пройти проверку на полиграфе. Этот психологический приём отсеивает кандидатов с «мутными» целями — например, устроиться в компанию, чтобы скопировать бизнес-процессы или увести клиентов.
При найме мы устанавливаем на компьютер офисного или удалённого сотрудника ИТ-решение, которое отслеживает все действия на компьютере. Для звонков и переписки удалённые сотрудники используют CRM-систему, а менеджеры по продажам — корпоративный смартфон, который записывает телефонные разговоры и фиксирует действия.
Корпоративные данные храним в облаке. На рабочем месте сотрудники используют CRM- или ERP-систему с разграниченными правами доступа.
Когда сотрудник увольняется, оперативно закрываем доступ к данным. Но полностью защитить данные компании невозможно. Если кто-то захочет украсть информацию, он всё равно украдёт.
Например, мы сотрудничали с компанией-субподрядчиком, но когда мы решили отстранить их от работы, они захотели увести у нас клиентов. Только благодаря дружественным отношениям между нашим проектным менеджером и субподрядчиком все клиенты остались с нами.
По моим ощущениям, у компаний, особенно небольших, нет способов бороться с утечками данных. Да, на базах у нас стоят пароли, но с этими базами работают все — если закрыть доступ сотруднику, который увольняется, он попросит коллегу-приятеля помочь. И с юридической точки зрения работодатель перед утечками беззащитен.
Я консультировался с зарубежными юристами по трудовому праву, как правильно составить регламенты по защите данных. Российские юристы долго над ними смеялись: работодатель в любом случае не докажет, что сотрудник украл эту базу у компании, а не скачал из интернета.
Защитить от утечки данных может только порядочность сотрудников. По моим наблюдениям, около 5% людей, которые увольняются, считают, что на работе их обижали, не уважали и недодали. Эти люди считают своим долгом отомстить бывшему работодателю.
Не могу серьёзно рассуждать о защите данных, если у меня PR-специалист, увольняясь, нашла время и силы, чтобы вытащить из рабочего компьютера жёсткий диск и забрать его.
Наша компания считается оператором персональных данных. Мы выполняем требования закона: чтобы подписаться на новости или зарегистрироваться, пользователь подтверждает, что согласен на обработку персональных данных.
Эта форма обошлась в дополнительные доходы для разработчика, а для нас — в выброшенные на ветер деньги. Да, мы защищаем персональные данные пользователей, но я в жизни не встречал человека, который, купив такие данные, смог бы эффективно ими воспользоваться.
От внешних злоумышленников компания защищается как стандартными, так и специфическими методами. Это антивирус, антиспам, NGFW (Next-Generation Firewall) — программа для защиты сетевых каналов коммуникации, криптозащита каналов связи и данных.
Мы регулярно сканируем систему на уязвимости, строго разграничиваем права доступа и автоматически разделяем информацию на категории, выделяем те данные, которые требуют особенной защиты. Для бизнес-систем вроде CRM используем двух- или трёхфакторную авторизацию. Так как мы специализируемся в информационной безопасности, сами выявляем проблемы и оперативно продумываем решение.
Как правило, для доступа к информации злоумышленники заходят через сотрудников компании, предлагают кликнуть на ссылку или открыть вложение в письме. Поэтому мы регулярно обучаем сотрудников информационной безопасности. Чётко прописали правила обращения с конфиденциальной информацией, ввели персональную ответственность за утечку данных.
Сотрудник, к сожалению, может «слить» информацию и сам. Защищаемся мы от этого с помощью DLP-системы собственной разработки. Она в автоматическом режиме контролирует, куда и какую информацию пересылает работник. Поэтому если кто-то из сотрудников попытается переслать данные по личной электронной почте, скинуть себе на флеш-накопитель или в облачное хранилище — любым способом — служба информационной безопасности получит уведомление о попытке и предотвратит инцидент.
Бизнес чаще всего теряет конфиденциальную информацию по вине сотрудников. В первую очередь внедряем методы, которые снижают этот риск. Мы постоянно обучаем сотрудников информационной безопасности, а также составили перечень документов и данных, которые представляют ценность для компании.
Сотрудники, которые работают с конфиденциальной информацией, проходят тщательный отбор, соблюдают особые регламенты. Есть в компании и регламент по обработке документов на бумажных носителях.
У каждого сотрудника свой уровень доступа к данным. Распространять информацию о работе им запрещено. Кроме того, мы оставляем за собой право проверять соискателей любыми легальными средствами — их историю в другой компании, социальные сети.
В целом бизнес должен бороться с утечками системно. Например, чтобы избежать взлома, мы регулярно проводим периодический аудит систем безопасности и устраняем уязвимости. Главное, чтобы стоимость защиты информации не превышала стоимость самой информации и не мешала работать.
У "Озона" был либо слив базы, либо была дыра в безопасности, которая позволяла заходить в чужие личные кабинеты, а не какая-то мнимая "компиляция из разных источников". В конце прошлого года я был удивлён письмом, в котором требовалось подтверждение смены email на другой. Кто-то вошёл в мой ЛК и начал менять регистрационные данные и email. Можно спокойно обвинять пользователей в пренебрежении средствами безопасности, что пароли слабые и используются в нескольких системах сразу. Можно, но не в моем случае. Я сразу сбросил пароль в ЛК на новый, но как оказалось, это действие мало влияет на безопасность в "Озоне": если злоумышленник вошёл в систему до сброса пароля, то по старым кукам может оставаться в системе бесконечно долго. В чем я убедился на другом компьютере.