С 27 марта 2021 года вступают в силу дополнения к статье 13.11 КоАП РФ «Нарушение законодательства РФ в области персональных данных». Срок давности для привлечения к административной ответственности увеличивается с 3 месяцев до 1 года, а размер штрафов возрастает в два раза. В данной статье мы расскажем об основных сценариях утечки персональных данных и способах их защиты.
Почему для бизнеса важно защищать персональные данные клиентов? Помимо штрафов и репутационных рисков, утечки угрожают безопасности всей ИТ-инфраструктуры. Похищенные данные могут стать ключом к незаконному проникновению.
Актуальность проблемы подтверждает статистика: в России в начале 2021 года совершено в три раза больше киберпреступлений, чем в аналогичный период 2020 года.
Громкие утечки данных в последние годы
В 2019 году с платформы графического дизайна Canva утекли данные 139 млн. пользователей. Информация включала email, ФИО, город проживания, логины и пароли.
В том же году крупнейшая утечка данных клиентов Сбербанка составила 60 млн. записей. К злоумышленникам попали паспортные данные, ФИО держателей кредитных карт, сведения о лимитах карт и операциях по ним.
В 2019 г. крупные утечки данных заметила служба безопасности «Альфа-банка». К злоумышленникам попали ФИО, номера телефонов, домашние и рабочие адреса и даже полные паспортные данные клиентов.
Большая «утечка» в 2020 г. произошла в социальном сервисе Whisper. Злоумышленники получили доступ к 100 млн. записей.
В 2020 г. произошла утечка резервной копии dump базы данных MySQL с сайта «РЖД Бонус». База данных, приватный ключ RSA, скрипт с указанным путём к дампу и данными для авторизации попали в руки злоумышленников. Также утекли данные 1,3 млн. учётных записей программы «РЖД Бонус», включая ФИО клиентов, IP-адреса, параметры авторизации, email, логины и хешированные пароли.
В конце 2020 года в открытый доступ попали персональные данные 300 тыс. москвичей, переболевших COVID-19. Причиной утечки признали человеческий фактор.
Зачем мошенникам персональные данные
Обычно злоумышленники не охотятся за базами данных намеренно. Основная цель киберпреступников — финансы, счета, коммерческий шпионаж или атака с помощью шифровальщиков (программ-вымогателей, которые шифруют данные, чтобы получить выкуп за пароль расшифровки). База персональных данных часто достаётся киберпреступнику в качестве бонуса.
Полученные данные используют для мошенничества. Зная их, злоумышленнику проще втереться в доверие к человеку, получить недостающую информацию и добраться до финансов.
Ещё один повод для слива персональных данных — желание заработать на продаже данных или нанести ущерб бывшему работодателю.
Причины утечки персональных данных
Как правило, крупные организации соблюдают стандарты и технические требования к безопасности. Большинство инцидентов в них не связаны с технологиями, а вызваны человеческим фактором. Сотрудники могут «сливать» данные по ошибке и халатности или злонамеренно. Злоумышленникам извне сложнее проникнуть в крупную компанию, однако жертвой кибератаки становится бизнес любого размера.
- Свыше 79% утечек в России произошли в результате случайных или преднамеренных действий сотрудников. Это в два раза больше, чем в других странах.
- В 72,1% случаев причинами утечки информации стали действия рядовых сотрудников, в 4,6% случаев — топ-менеджмента и 18,4% утечек вызвано действиями злоумышленников.
- 60% инцидентов вызваны намеренными действиями и 40% произошли по ошибке или невнимательности.
Взлом ИТ-системы компании составляет 45% от всех случаев утечки персональных данных. По прогнозам аналитиков Herjavec Group, в 2021 году компании будут становиться жертвами кибератак каждые 11 секунд. Когда организацию взламывают, злоумышленник находит базу персональных данных, сливает её и выставляет на продажу. Это может произойти из-за неблагонадёжных провайдеров и поставщиков облачных услуг. Чтобы защитить конфиденциальные данные, при выборе поставщика важно обращать внимание на соблюдение им
Семь распространённых сценариев утечки данных:
- потеря сотрудником карты памяти или смартфона, на котором записана конфиденциальная информация;
- потеря ноутбука, на котором обрабатывали информацию ограниченного доступа;
- ошибочная пересылка данных по email не тому адресату;
- ошибочное выкладывание конфиденциальной информации в общий доступ;
- случайное или преднамеренное нарушение политики безопасности (пересылка или копирование закрытой информации);
- подбор учётных данных. Злоумышленнику достаточно ноутбука и программы для подбора данных;
- эксплуатация уязвимостей веб-приложений.
Как избежать утечки данных
Если компания работает с персональными данными, по закону она должна защищать их. Перечислим, что можно сделать для повышения уровня информационной безопасности.
Соблюдать регламенты
Деятельность компании по обработке персональных данных регулируют следующие документы:
- Федеральный закон РФ №
152-ФЗ «О персональных данных»; - Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России № 21 от 18 февраля 2013 г.
Согласно федеральному закону компания обязана собирать согласие на обработку данных клиентов и сотрудников. Тем, кто отдаёт свои системы на аутсорсинг нужно:
- убедиться, что провайдер соблюдает ФЗ «О персональных данных»;
- заключить договор о поручении обработки персональных данных.
Применять средства защиты
Закон обязывает применять системы защиты, которые прошли оценку соответствия ФСТЭК: программное обеспечение для защиты от несанкционированного доступа, которое устанавливается поверх операционной системы, сканер безопасности, защиту от спама, защиту среды виртуализации и др.
Защитить каналы передачи информации
Когда компания передаёт информацию по корпоративной сети в филиалы или партнёрам, есть риск её перехвата во время прохождения по каналу связи. Приказ ФСТЭК № 21 требует использовать средства защиты каналов передачи.
Защитить данные при передаче по сети помогают криптошлюзы — сетевые устройства, которые устанавливаются на границе периметра безопасности компании и шифруют канал связи во время передачи данных. Их установки требует законодательство. Некоторые компании отказываются от использования криптошлюзов из-за высокой стоимости. Кроме того, их настройка и сопровождение требуют соответствующих компетенций сотрудников.
Хранить информацию в изолированной инфраструктуре
Чтобы снизить риск человеческого фактора, важно убедиться, что персональные данные не хранятся на цифровых носителях, которые компания не контролирует. Важным данным не место в ноутбуках сотрудников или на внешнем жёстком диске. Лучше выделить специальную инфраструктуру и использовать централизованные базы данных, доступ к которым ограничен на разных уровнях.
Установить антивирус
Антивирусная защита является важной частью комплекса защитных мер. Они усложняют злоумышленникам доступ к ресурсам компании. Однако важно не только установить, но и регулярно обновлять эти программы, чтобы поддерживать антивирусную защиту в актуальном состоянии.
Проводить тестирование на проникновение
Не стоит ждать серьёзной кибератаки, чтобы оценить защищённость инфраструктуры. Лучше заранее смоделировать нападение на неё, чтобы найти и своевременно закрыть уязвимости. Для этого проводят пентест (тест на проникновение). Пентестеры санкционировано пытаются получить доступ к конфиденциальным данным, имитируя действия злоумышленников, после чего дают рекомендации по усилению безопасности.
Проводить аудит безопасности ИТ-инфраструктуры
Аудит безопасности и оценка соответствия
Обычно аудит безопасности занимает
- беспроводных и локальных сетей;
- основных настроек, влияющих на безопасность ОС;
- настроек, которые влияют на безопасность систем виртуализации;
- специфичных компонентов ИТ-инфраструктуры;
- настроек средств защиты информации;
- системы менеджмента информационной безопасности.
Выводы
Чаще всего персональные данные утекают из-за ошибочных или злонамеренных действий сотрудников компании. Чтобы снизить риски, нужно более ответственно подходить к присвоению уровней защищенности и хотя бы раз в год делать тест на проникновение для проверки уровня защищённости инфраструктуры и базы данных.
Для киберпреступников персональные данные редко являются главной целью атак. Однако почти половина утечек организована хакерами. Защититься от них поможет своевременно проведенный аудит безопасности, который должен включать среди прочего и тест на проникновение. Также важно применять системы защиты, прошедшие оценку соответствия, и отдельно защищать каналы передачи информации.
Пока штрафы за ненадлежащее хранение персональных данных для юридических лиц не превышают 500 тыс. руб. при повторном нарушении. Однако есть вероятность, что в будущем они вырастут. Разговоры о повышении штрафов до 6 млн. руб. ведутся не первый год, и лучше подготовить системы информационной безопасности к этому заранее.