Потери от утечки данных: сколько стоит отсутствие безопасности?

Потери от утечки данных: сколько стоит отсутствие безопасности?

Утечка данных — страшный сон для любой компании, которая работает с конфиденциальной информацией. Расскажем, как часто происходят утечки, почему убытки исчисляются миллионами и как быть, если специалист по ИБ решил заработать на сливе ценной информации.

Как часто происходят утечки

У аналитиков разные цифры, и вряд ли их можно считать показательными. Официально в прошлом году зафиксировали меньше 200 утечек, а исследования IT-компаний показывают, что до 90% организаций могли сталкиваться со сливами, но предпочитают скрывать инциденты. Если отталкиваться от официальных данных, то чаще всего утечки фиксировали в сфере здравоохранения, промышленности, телекоммуникации и IT. По словам аналитиков, в прошлом году в основном сливали коммерческую и служебную информацию, персональные данные, ряд инцидентов связан с передачей государственной тайны.

Какие убытки несет компания

Основная цель всех мошенников — деньги. Одни пытаются продать информацию в даркнете, другие хотят использовать для собственной выгоды. Но последствия для компаний не исчисляются только прямыми денежными потерями. Речь идет о репутации, утрате доверия клиентов и упущенной выгоде, если в третьи руки попали авторские разработки и финансовые документы.

Денежные

Рассмотрим ситуацию на примере слива базы данных. Компания уже потратила ресурсы, чтобы эту базу собрать, как минимум вложила финансы в рекламу и продвижение. Но этим убытки не ограничиваются. Если данные попадут конкурентам, ущерб окажется более значительным. Конкурент получит список клиентов и распорядится им с максимальной выгодой, например предложит скидки и переманит клиентов. Если речь о небольшой фирме, то потери могут оказаться фатальными: спрос падает, убытки растут, впереди банкротство и закрытие.

Плохие прогнозы и у ситуаций, когда конкуренты получают доступ к вашим авторским разработкам. В данном случае убытки приравниваются к выручке от будущих продаж. Чтобы отстоять свои интересы, понадобится обращаться в суд и привлекать к делу эксперта по соответствующим видам спора. А это снова расходы, причем значительно выше, чем зарплата штатного юриста.

Еще один пример — утечка бизнес-планов, бухгалтерской документации и отчетов. Как только конкурирующая компания получит доступ к финансовым инструментам, никто не помешает ей позаимствовать подход, сменить стратегию развития и воспользоваться вашим работающим бизнес-планом.

Административные

Утаивать утечку персональных данных от контролирующих органов рискованно. По закону компании должны в течение суток сообщить в Роскомнадзор об инциденте и провести расследование. Вне зависимости от того, чья вина, организация несет ответственность — на компанию составят административный протокол, в лучшем случае выпишут предупреждение, но чаще всего сразу оштрафуют. Разбежка по суммам большая, зависит от размера утечек и ответственного лица.

Так, по статье 13.11 КоАП РФ, должностным лицам грозит штраф от 10 до 20 тысяч рублей, юридическим — от 60 до 100 тысяч. При повторном нарушении суммы еще выше: должностные лица рискуют потерять до 50 тысяч, юрлица — до 300. Если судья придет к выводу, что действия попадают под санкции второй части указанной выше статьи, то последствие куда плачевнее: за повторное нарушение для юрлица штраф достигает полутора миллионов рублей.

Репутационные

Утечка уже сама по себе бьет по репутации компании. Клиенты с недоверием относятся к организациям, от которых утекли личные данные пользователей. Однако к репутационным издержкам относится не только это. Слить могут информацию об инцидентах или рабочих нюансах, которые руководству хотелось бы держать в тайне. Предположим, в третьи руки попали финансовые документы, а среди них — смета на корпоратив. Компания не совершила ничего плохого, но блогеры еще долго будут перемывать кости руководителям, обвинять их в чрезмерных тратах, подсчитывать, сколько бутылок алкоголя купили на указанную сумму. В худшем случае слетятся еще и журналисты. Компания будет в центре внимания, но это совсем не тот пиар, который повышает продажи.

Юридические

Самые серьезные проблемы начнутся, если на компанию подадут иск пользователи, чьи личные данные попали в открытый доступ. На скамью подсудимых может попасть руководитель или офицер безопасности, который допустил инцидент. Поэтому компании стараются в сжатые сроки провести внутреннее расследование, вычислить виновного и отчитаться перед контролирующими органами.

Чаще всего в этом случае применяется статья 272 УК РФ «Неправомерный доступ к компьютерной информации». Только за копирование данных можно получить штраф до 200 тысяч рублей, в худшем случае — попасть за решетку на два года. Если же из рабочих компьютеров информацию извлекают из корыстных целей, группой лиц и с использованием служебного положения, то есть риск схлопотать штраф до 500 тысяч рублей, ограничение свободы, принудительные работы или тюремный срок до пяти лет.

Кейсы крупных компаний

Яндекс.Еда

Что случилось

В марте 2022 года служба ИБ компании зафиксировала утечку данных, в интернете оказались телефоны и адреса клиентов. Во время расследования выяснили, что слив произошел из-за недобросовестного сотрудника. Подробности компания не разглашала, но отметила, что ужесточила подход к хранению сведений о заказах, и теперь доступ к информации такого рода имеют на 30% меньше сотрудников.

Чем закончилось

Пострадавшие пользователи обратились в суд, моральный ущерб они оценили в 100 тысяч рублей на каждого. Однако судья посчитал сумму завышенной: компенсацию в 5 тысяч рублей получила только часть заявителей, остальным в иске отказали. По заявлению Роскомнадзора суд оштрафовал компанию на 60 тысяч рублей, это минимальное наказание по данной административной статье. В августе того же года Яндекс.Еде предстояло еще одно испытание: следственный комитет возбудил уголовное дело по трем статьям, все они касались разглашения личных данных.

Delivery Club

Что случилось

В мае 2022 года жертвой хакерской атаки стала еще одна служба доставки еды. Как и в предыдущем случае, в руки мошенников попали телефоны, адреса клиентов и суммы заказов за последние полгода. Потери Delivery Club оказались гораздо серьезнее: хакер выложил в сеть часть базы данных, отметив, что в полной версии файл содержит 250 млн строк.

Чем закончилось

За утечку данных компании пришлось отвечать перед судом, спустя полгода руководству назначили штраф в 80 тысяч рублей. Параллельно в Delivery Club проводили внутреннее расследование, но его результаты так и не дошли до широкой общественности.

Гемотест

Что случилось

В апреле 2022 года из-за уязвимости системы «Гемотест» в даркнете появились данные клиентов сети медицинских лабораторий. Мошенник предлагал купить две базы: в одной на 31 млн строк хранились имена, адреса, телефоны и паспортные данные клиентов, во второй — 554 млн строк с результатами анализов.

Чем закончилось

На медицинскую компанию составили протокол за нарушение законодательства в области персональных данных. «Гемотест» не отрицал, что хакеры скачали важную информацию, но не признал вины и просил закрыть дело. Решение суда — 60 тысяч рублей штрафа.

Ростелеком

Что случилось

Провайдер цифровых услуг и сервисов не смог обеспечить защиту данных. Пострадали как работники, так и пользователи. Хакеры получили доступ к архиву, где указаны должности и телефоны сотрудников, а также информация о клиентах сервиса «Умный дом».

Чем закончилось

По заявлению Роскомнадзора компанию проверили, составили административный протокол и оштрафовали на 60 тысяч рублей. Как позже сообщили в «Ростелекоме», внутреннее расследование говорит о том, что к утечке мог быть причастен один из бывших коллег, который скопировал перед увольнением часть внутреннего телефонного справочника.

Спортмастер

Что случилось

В конце 2022 года к злоумышленникам ушли данные клиентов сети магазинов «Спортмастер» — имена, телефоны, электронные адреса. По информации хакеров, они завладели базой, где содержалось более миллиона данных пользователей. Номера банковских карт и пароли украсть не удалось.

Чем закончилось

На «Спортмастер» составили протокол об административном правонарушении. Как рассказали в компании, способствовал сливу сведений один из подрядчиков. О судьбе виновника не сообщали — это конфиденциальная информация.

Whoosh

Сервису аренды самокатов повезло, их службе безопасности удалось пресечь утечку данных нескольких миллионов пользователей. Как заявили в компании, если бы не оперативное вмешательство сотрудников ИБ, то хакеры получили бы не только имена и телефоны клиентов, но и неполные данные банковских карт.

Чем закончилось

Несмотря на то, что утечки не произошло, и сведения не были опубликованы, компания взялась за внутреннее расследование. По словам представителей сервиса, вина за инцидент лежит на сотруднике, который нарушил установленные правила. Недобросовестного специалиста уволили, а информацию об инциденте передали в полицию для дальнейшего расследования.

Как не допустить убытков

Назначьте ответственного специалиста по ИБ

Офицер безопасности отвечает за настройку системы контроля, следит за действиями сотрудников, реагирует на сомнительные операции, фиксирует инциденты и принимает меры. Например, Staffcop можно настроить так, что система запретит использование внешних устройств или заблокирует демонстрацию экрана, если во время переговоров по видеосвязи кто-то попытается вывести на монитор конфиденциальные документы. При этом выбор, какие функции программы использовать, остается за офицером безопасности. Чем больше организация, тем больше специалистов по ИБ должно быть в штате, так как один человек даже физически не в силах уследить за сотней работников.

Ознакомьте коллег с документами о неразглашении

При трудоустройстве в компанию руководители предлагают специалистам подписать NDA — документ о неразглашении. Часто это делают формально, просто вручая бумаги на подпись, поэтому сотрудники плохо понимают, где проходит грань между разрешенной и конфиденциальной информацией. Нужно ответственно подойти к вопросу, разъяснить спорные моменты и рассказать о последствиях. Например, если по неосмотрительности кликнул на соседний файл и отправил клиенту ценный документ — это утечка. Если сфотографировал рабочий стол и на снимок случайно попал стикер с паролем — тоже утечка. Специалист должен понимать, что даже не преднамеренный слив данных грозит лично ему «административкой» и финансовыми потерями.

Контролируйте сотрудников, которые работают с конфиденциальной информацией

Офицер безопасности должен настроить не только контроль за ценными файлами, но и за специалистами, имеющими к ним доступ. Бухгалтеры работают с финансами, менеджеры — с базами данными, а айтишники и вовсе связаны практически со всей инфраструктурой компании. Задача сотрудника по ИБ оценить потенциальные риски, поставить на усиленный контроль ряд работников и периодически проверять, не совершают ли они подозрительных действий.

Определите, какая информация представляет ценность

Как правило, важная информация — это база клиентов и поставщиков, финансовая отчётность, авторские разработки.

  • Во-первых, нужно ограничить доступ к ценным сведениям у сотрудников, которые не используют их в своей работе.
  • Во-вторых, пометить документы специальными маркерами, чтобы о любых действиях с конфиденциальными сведениями офицеру безопасности сразу же приходило уведомление.
  • В-третьих, настроить словарь по ключевым словам и выражениям, чтобы даже текстовая информация не осталась незамеченной.

Используйте комплекс программ для контроля сотрудников

В работе важно использовать именно комплекс программ: одна фиксирует действия сотрудников и реагирует на ключевые слова и выражения в сообщениях, а другая — блокирует отправку подозрительных файлов.

Если специалист решит присвоить конфиденциальные сведения, офицер безопасности сразу же узнает об этом с помощью таких программ, как Staffcop. Если данные записали на флешку или распечатали на принтере, то сотрудник ИБ может попросту забрать устройство или бумаги. Если передали через e-mail, то выручит, например, ICAP-сервер или DLP-модуль, который заблокирует исходящее сообщение, тем самым предотвратит утечку.

Самые хитрые пытаются обойти систему и сфотографировать данные на мобильный телефон. Действительно, программы контроля в этом случае бессильны, но если установить камеры видеонаблюдения, то они зафиксируют момент, когда сотрудник снимает смартфоном монитор.

Проводите внешний аудит

Существуют компании, которые предлагают провести внешний аудит системы и выявить слабые места. Часто организации игнорируют данный пункт, полностью доверяя офицеру безопасности. Но тут нужно вспомнить выражение: «А кто будет сторожить сторожа?» Если «безопасник» не чист на руку и решит заработать на краже данных, поймать его будет очень сложно. Такое нарушение может выявить только сторонняя организация, например Контур.Безопасность.

Утечку данных гораздо проще предотвратить, чем в будущем разгребать от нее последствия. Чтобы избежать проблем, рекомендуем установить комплекс программ для контроля за сотрудниками и настроить систему в соответствии с требованиями своей организации.

Чтобы узнать о многообразии функций Staffcop и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

11
1 комментарий

Утечки данных действительно могут оказать серьезное влияние на компанию не только финансово, но и в плане репутации

1