С 27 марта 2021 года вступают в силу дополнения к статье 13.11 КоАП РФ «Нарушение законодательства РФ в области персональных данных». Срок давности для привлечения к административной ответственности увеличивается с 3 месяцев до 1 года, а размер штрафов возрастает в два раза. В данной статье мы расскажем об основных сценариях утечки персональных данных и способах их защиты.

Почему для бизнеса важно защищать персональные данные клиентов? Помимо штрафов и репутационных рисков, утечки угрожают безопасности всей ИТ-инфраструктуры. Похищенные данные могут стать ключом к незаконному проникновению.

Актуальность проблемы подтверждает статистика: в России в начале 2021 года совершено в три раза больше киберпреступлений, чем в аналогичный период 2020 года.

Громкие утечки данных в последние годы

В 2019 году с платформы графического дизайна Canva утекли данные 139 млн. пользователей. Информация включала email, ФИО, город проживания, логины и пароли.

В том же году крупнейшая утечка данных клиентов Сбербанка составила 60 млн. записей. К злоумышленникам попали паспортные данные, ФИО держателей кредитных карт, сведения о лимитах карт и операциях по ним.

В 2019 г. крупные утечки данных заметила служба безопасности «Альфа-банка». К злоумышленникам попали ФИО, номера телефонов, домашние и рабочие адреса и даже полные паспортные данные клиентов.

Большая «утечка» в 2020 г. произошла в социальном сервисе Whisper. Злоумышленники получили доступ к 100 млн. записей.

В 2020 г. произошла утечка резервной копии dump базы данных MySQL с сайта «РЖД Бонус». База данных, приватный ключ RSA, скрипт с указанным путём к дампу и данными для авторизации попали в руки злоумышленников. Также утекли данные 1,3 млн. учётных записей программы «РЖД Бонус», включая ФИО клиентов, IP-адреса, параметры авторизации, email, логины и хешированные пароли.

В конце 2020 года в открытый доступ попали персональные данные 300 тыс. москвичей, переболевших COVID-19. Причиной утечки признали человеческий фактор.

Зачем мошенникам персональные данные

Обычно злоумышленники не охотятся за базами данных намеренно. Основная цель киберпреступников — финансы, счета, коммерческий шпионаж или атака с помощью шифровальщиков (программ-вымогателей, которые шифруют данные, чтобы получить выкуп за пароль расшифровки). База персональных данных часто достаётся киберпреступнику в качестве бонуса.

Полученные данные используют для мошенничества. Зная их, злоумышленнику проще втереться в доверие к человеку, получить недостающую информацию и добраться до финансов.

Ещё один повод для слива персональных данных — желание заработать на продаже данных или нанести ущерб бывшему работодателю.

Причины утечки персональных данных

Как правило, крупные организации соблюдают стандарты и технические требования к безопасности. Большинство инцидентов в них не связаны с технологиями, а вызваны человеческим фактором. Сотрудники могут «сливать» данные по ошибке и халатности или злонамеренно. Злоумышленникам извне сложнее проникнуть в крупную компанию, однако жертвой кибератаки становится бизнес любого размера.

  • Свыше 79% утечек в России произошли в результате случайных или преднамеренных действий сотрудников. Это в два раза больше, чем в других странах.
  • В 72,1% случаев причинами утечки информации стали действия рядовых сотрудников, в 4,6% случаев — топ-менеджмента и 18,4% утечек вызвано действиями злоумышленников.
  • 60% инцидентов вызваны намеренными действиями и 40% произошли по ошибке или невнимательности.

Взлом ИТ-системы компании составляет 45% от всех случаев утечки персональных данных. По прогнозам аналитиков Herjavec Group, в 2021 году компании будут становиться жертвами кибератак каждые 11 секунд. Когда организацию взламывают, злоумышленник находит базу персональных данных, сливает её и выставляет на продажу. Это может произойти из-за неблагонадёжных провайдеров и поставщиков облачных услуг. Чтобы защитить конфиденциальные данные, при выборе поставщика важно обращать внимание на соблюдение им 152-ФЗ «О персональных данных».

Семь распространённых сценариев утечки данных:

  1. потеря сотрудником карты памяти или смартфона, на котором записана конфиденциальная информация;
  2. потеря ноутбука, на котором обрабатывали информацию ограниченного доступа;
  3. ошибочная пересылка данных по email не тому адресату;
  4. ошибочное выкладывание конфиденциальной информации в общий доступ;
  5. случайное или преднамеренное нарушение политики безопасности (пересылка или копирование закрытой информации);
  6. подбор учётных данных. Злоумышленнику достаточно ноутбука и программы для подбора данных;
  7. эксплуатация уязвимостей веб-приложений.

Как избежать утечки данных

Если компания работает с персональными данными, по закону она должна защищать их. Перечислим, что можно сделать для повышения уровня информационной безопасности.

Соблюдать регламенты

Деятельность компании по обработке персональных данных регулируют следующие документы:

  • Федеральный закон РФ № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России № 21 от 18 февраля 2013 г.

Согласно федеральному закону компания обязана собирать согласие на обработку данных клиентов и сотрудников. Тем, кто отдаёт свои системы на аутсорсинг нужно:

  • убедиться, что провайдер соблюдает ФЗ «О персональных данных»;
  • заключить договор о поручении обработки персональных данных.

Применять средства защиты

Закон обязывает применять системы защиты, которые прошли оценку соответствия ФСТЭК: программное обеспечение для защиты от несанкционированного доступа, которое устанавливается поверх операционной системы, сканер безопасности, защиту от спама, защиту среды виртуализации и др.

Защитить каналы передачи информации

Когда компания передаёт информацию по корпоративной сети в филиалы или партнёрам, есть риск её перехвата во время прохождения по каналу связи. Приказ ФСТЭК № 21 требует использовать средства защиты каналов передачи.

Защитить данные при передаче по сети помогают криптошлюзы — сетевые устройства, которые устанавливаются на границе периметра безопасности компании и шифруют канал связи во время передачи данных. Их установки требует законодательство. Некоторые компании отказываются от использования криптошлюзов из-за высокой стоимости. Кроме того, их настройка и сопровождение требуют соответствующих компетенций сотрудников.

Хранить информацию в изолированной инфраструктуре

Чтобы снизить риск человеческого фактора, важно убедиться, что персональные данные не хранятся на цифровых носителях, которые компания не контролирует. Важным данным не место в ноутбуках сотрудников или на внешнем жёстком диске. Лучше выделить специальную инфраструктуру и использовать централизованные базы данных, доступ к которым ограничен на разных уровнях.

Установить антивирус

Антивирусная защита является важной частью комплекса защитных мер. Они усложняют злоумышленникам доступ к ресурсам компании. Однако важно не только установить, но и регулярно обновлять эти программы, чтобы поддерживать антивирусную защиту в актуальном состоянии.

Проводить тестирование на проникновение

Не стоит ждать серьёзной кибератаки, чтобы оценить защищённость инфраструктуры. Лучше заранее смоделировать нападение на неё, чтобы найти и своевременно закрыть уязвимости. Для этого проводят пентест (тест на проникновение). Пентестеры санкционировано пытаются получить доступ к конфиденциальным данным, имитируя действия злоумышленников, после чего дают рекомендации по усилению безопасности.

Проводить аудит безопасности ИТ-инфраструктуры

Аудит безопасности и оценка соответствия 152-ФЗ даёт полную картину: какие компоненты защищены, есть ли необходимые регламенты, соответствуют ли бизнес-процессы и инфраструктура законодательству о персональных данных. Также компания получает общее представление о надёжности системы безопасности и рекомендацию по выбору хостинга. Специалисты обследуют места хранения и обработки информации, методы её защиты и способы обработки, наличие документов для обработки персональных данных. После этого они разрабатывают экспертные рекомендации с описанием несоответствий 152-ФЗ и предложением по их устранению.

Обычно аудит безопасности занимает 30-40 дней и включает проверку:

  • беспроводных и локальных сетей;
  • основных настроек, влияющих на безопасность ОС;
  • настроек, которые влияют на безопасность систем виртуализации;
  • специфичных компонентов ИТ-инфраструктуры;
  • настроек средств защиты информации;
  • системы менеджмента информационной безопасности.

Выводы

Чаще всего персональные данные утекают из-за ошибочных или злонамеренных действий сотрудников компании. Чтобы снизить риски, нужно более ответственно подходить к присвоению уровней защищенности и хотя бы раз в год делать тест на проникновение для проверки уровня защищённости инфраструктуры и базы данных.

Для киберпреступников персональные данные редко являются главной целью атак. Однако почти половина утечек организована хакерами. Защититься от них поможет своевременно проведенный аудит безопасности, который должен включать среди прочего и тест на проникновение. Также важно применять системы защиты, прошедшие оценку соответствия, и отдельно защищать каналы передачи информации.

Пока штрафы за ненадлежащее хранение персональных данных для юридических лиц не превышают 500 тыс. руб. при повторном нарушении. Однако есть вероятность, что в будущем они вырастут. Разговоры о повышении штрафов до 6 млн. руб. ведутся не первый год, и лучше подготовить системы информационной безопасности к этому заранее.

Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM