Минимизация ущерба от утечек информации

Логотип компании
Минимизация ущерба от утечек информации

Изображение: Shutterstock.ai

Как ограничить сбор персональных данных онлайн-сервисами.

С чего и когда начинается минимизация ущерба

В целях поддержания непрерывности бизнеса и минимизации ущерба от утечек персональных данных (ПДн) существуют методы, позволяющие компаниям продолжать свою деятельность, не опасаясь претензий со стороны клиентов и сотрудников, предписаний и штрафов от регулирующих органов.

Проведение аудита процессов обработки ПДн, аудита безопасности и анализа защищенности являются отличными инструментами при определении киберрисков и последствий при том, что количество киберугроз и выявленных инцидентов растёт год от года.

При выстраивании процессов по защите ПДн нужно придерживаться следующих шагов:

  1. Оценка процессов обработки ПДн при проведении аудита персональных данных – выявление и оценка рисков при автоматизированных и неавтоматизированных процессах обработки персональных данных, обеспечение безопасности ПДн на основании представленной в ходе обследования информации.
  2. Оценка рисков и угроз, связанных с информационной безопасностью – выявление и оценка возникающих рисков и угроз безопасности информации в процессе обработки персональных данных.
  3. Обеспечение защиты ИСПДн организационными и техническими мерами – с учетом актуальных угроз безопасности ПДн определяются правила и средства управления доступом, идентификации и аутентификации, антивирусной защиты, защиты машинных носителей информации и другие меры в соответствии с требованиями Приказа ФСТЭК № 21, в котором указан состав этих мер в зависимости от уровня защищенности информационный системы ПДн.
  4. Доработка (корректировка) имеющихся локальных нормативных актов, регламентирующих организацию обработки и обеспечение безопасности персональных данных, разработка недостающих документов.

Многие персональные данные оказываются в руках хакеров, террористических группировок, а то и вообще в свободном доступе из-за утечек с сайтов и приложений сервисов. Необходимо быть в курсе новостей об утечках, и если на скомпрометированном источнике были ваши персональные данные, вы по крайнее мере будете осведомлены, что теперь эти данные в руках злоумышленников. Кроме того, на сегодняшний день субъекты ПДн имеют право получить компенсацию от Оператора за случившуюся утечку. Для бизнеса это еще один якорь и непредвиденные как судебные издержки, так и траты на сами выплаты компенсаций. Поэтому так важно с одной стороны грамотно выстраивать систему защиты персональных данных. С другой стороны важно активно мониторить события, связанные с утечками, и быть готовым оперативно в кротчайшие сроки провести расследования и выяснить все обстоятельства случившегося. Здесь снова встает вопрос о необходимости применения средств защиты, которые обеспечивают сбор и анализ логов, выявление инцидентов.

Для мониторинга информации об утечках делимся с вами перечнем сервисов. Это сервисы, которые собирают информацию о публичных утечках, могут помочь это отслеживать:

Форумы с утечками (РФ и зарубежные)

Но если случилась утечка, то важно соблюдать спокойствие и выяснить причину и определить последствия от утечки. Как? Далее разберёмся.

Как определить ущерб от утечек, на что ориентироваться

Утечки данных могут нанести серьезный ущерб компании по двум направлениям:

  • Стабильное развитие бизнеса

Прежде всего бизнес будет дестабилизирован внутренним расследованием, поиском причин и ответственных, а значит основные бизнес-процессы могут быть приостановлены. При реализации атак мы часто видим простои в работе персонала длительностью от 2 дней до нескольких недель. Невозможность или несвоевременность оказания услуг, выполнения договорных обязательств влекут за собой финансовые потри, что в перспективе влияет и на развитие бизнеса. Вдобавок к этому утечка данных может вылиться в штрафы и выплаты компенсаций пользователям, которые пострадали из-за утечки. И эти суммы могут достигать огромных размеров.

Сейчас максимальный штраф для компаний, по вине которых произошла утечка персональных данных, не превышает 100 000 рублей и 300 000 рублей при повторном нарушении. На данный момент правительство подготовило законопроекты (см. здесь и здесь), по которому будут введены оборотные штрафы до 500 млн рублей.

  • Репутационное. Когда пользователи узнают, что у компании произошла утечка информации, они в большой доле случаев перестанут пользоваться ее услугами. Вдобавок информация об утечке может серьезно снизить приток новых клиентов. На практике большинство клиентов перестают пользоваться услугами пострадавшей от утечки компании не только онлайн, но и прекратят какое-либо взаимодействие офф-лайн. Аналогичная история обстоит и с контрагентами, которые работают с Вами, доверяют Вам свои ценные данные.

В связи с этим важно оценивать риски ИБ и создавать систему защиты, обеспечивающую их минимизацию, надежность функционирования информационных систем и стабильность развития бизнеса. Не менее важным является обеспечение контроля собираемых ПДн. На уровне федерального закона введен запрет на сбор ПДн, не требующихся для целей их обработки. В компании обязательно должен вести реестр процессов, в котором определены цели обработки, собираемые сведения и сроки их хранения. Напомним, так же о том, что Оператор обязан своевременно уничтожать ПДн. Нарушение этих требований влечет наложение административного штрафа. Поэтому важно разобраться в вопросах ограничения сбор персональных данных онлайн-сервисами.

Как ограничить сбор персональных данных онлайн-сервисами

Уверены, что все не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.

Политика конфиденциальности — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. Политика конфиденциальности определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Политика конфиденциальности — это, прежде всего, защищенность бизнеса от юридических рисков. Правильно составленный документ обезопасит приложение от блокировки и штрафов со стороны регулятора, а значит — от потери потребителей и прибыли. Как показывает практика, большинство проблем, связанных с политикой конфиденциальности, можно предупредить. Поэтому перед релизом приложения лучше потратить ресурсы на качественную разработку документа у профессионалов, чем сэкономить деньги сейчас, но иметь риск в будущем потратить в десятки раз больше денег на выплату штрафов. Ведь на основании ст. 5 ФЗ № 152-ФЗ обработка персональных данных не может осуществляться произвольно. Должно выполняться достижение конкретных, заранее определенных и законных целей обработки персональных данных, не допускается обработка данных, несовместимых с целями их сбора. Иными словами, до начала обработки персональных данных должны быть определены ее цели, которым и обязан следовать оператор при обработке данных физических лиц, которые в свою очередь должны быть отражены в политике конфиденциальности.

Если вернуться к вопросу утечек, то чем больше Оператор собирает ПДн, чем меньше их удаляет, то утечка БД может затронуть куда больше клиентов, чем если бы БД содержала сведения только по текущим.

Посему мы призываем бизнес посмотреть на те последствия, которые имели беспрецедентные утечки данных в этом году и все-таки ограничить сбор ПДн своих клиентов. Компаниям они нужны для мифических маркетинговых целей, а последствия безалаберности и хакерских атак приводят к реальным серьезным жизненным проблемам у их клиентов.

Мы предлагаем задуматься о социальной ответственности перед клиентами, пользователями и сотрудниками по-настоящему, и просто не подвергать их риску. Тем более, это так просто: нужно всего лишь отказаться от сбора ненужных для вашего бизнеса данных о них. Не собираете – не потеряете.

Не ждать, а быть готовым или как подготовиться к утечке

Способов усилить защиту информации в компании много. Среди них можно выделить:

  • Разграничение и контроль доступа к защищаемым активам

Важным аспектом базовой защиты информации является определение лиц, которые могут получить доступ к тому или иному активу, определение их уровня привилегий и возможности внесения изменений. Эта мера реализуется даже на уровне операционных систем. Она существенно может быть усилена применением средств защиты и введением многофакторной аутентификации при доступе как в ОС, так и в приложения.

Читайте также
Когда речь заходит о кибербезопасности, доверие — это опасная роскошь. Громкие утечки данных, взломы крупных компаний и бесконечные цепочки атак привели к рождению концепции, которая предлагает радикально новое решение: «Не доверяй никому и ничему». Zero Trust ворвался в мир как спасательный круг для бизнеса, уставшего от постоянных угроз, и стал новой мантрой для специалистов по безопасности. Но является ли эта модель настоящей революцией или это очередной маркетинговый ход? Эти и другие вопросы обсуждали на круглом столе IT-World «Цифровое доверие: киберщит или ахиллесова пята?», организованном журналом IT Manager.

  • Шифрование данных.

Даже если злоумышленники получат данные, то для него это будет набор символов, а их расшифровка потребует от него немало усилий. Для этого могут быть использованы как средства построения VPN, так и средства криптографической защиты информации.

  • Использование наложенных средств защиты

К наиболее популярным относят антивирусы, межсетевые экраны, работающие на разных уровнях модели OSI. Подобные программы помогут защититься от атак извне. Для крупных компаний с большим штатом сотрудников, гибридным или удаленным форматом работы актуальным будет использование DLP-систем (средства защиты специализируются конкретно на защите от утечек) и средств управления безопасностью мобильных устройств (Mobile Device Management, MDM).

Для правильного выбора средств защиты необходимо, построить модель угроз и определить актуальные угрозы, сформировать перечень мер, направленных на их нейтрализацию. Вся информация, включая поэтапный план закупки средств защиты, фиксируется в проектной документации на систему защиты.

  • Резервное копирование и восстановление данных

Из своего опыта участия в расследованиях инцидентов, реализованных целенаправленно злоумышленниками, можем сказать, что бэкапы сохранённые на съемных носителях, хранящихся в других ЦОДах – гарантия вашего спокойного будущего и быстрой стабилизации .Если же Вы храните резервные копии на том же сервере, на котором функционирует ваша ИС, то она может быть таже легко быть удалена или зашифрована, еще хуже если и она утечет вместе с конфиденциальной информацией.

  • Обучение сотрудников цифровой гигиене

Это поможет сотрудникам не поддаваться на фишинговые рассылки, не совершать абсурдные с точки зрения защиты информации действия (напр., хранить пароли в чате в телеграм, использовать один пароль на все учетные записи), и в принципе обезопасить конфиденциальные данные от несанкционированного доступа третьих лиц.

  • Анализ сайтов.

В ходе работ по анализу сайтов проводится этап активной разведки по методологии тестирования на защищенность. Производится исследование и сканирование объектов на предмет возможных слабых мест и уязвимостей. Данные действия производятся как в ручном режиме, так и автоматизированными средствами с помощью специальных программ.

  • Анализ утечек данных

В ходе работ по анализу утечек по компании проверяются адреса корпоративных электронных почт и сам корпоративный домен. В частности, производится анализ, есть ли утечка данных, исследуется её содержание, дата, прикладываются снимки экрана и результаты работы различных автоматизированных инструментов. Также указываются использованные инструменты и сервисы, подводится итог исходя из найденной информации и степени её критичности, даются рекомендации для обеспечения безопасности данных.

  • Формирование здорового климата внутри компании

Если сотруднику все будет нравиться, то даже если его попытаются подкупить с целью слива информации, вероятность успеха злоумышленников будет гораздо ниже.

Но по отдельности все эти меры малоэффективны. Их нужно применять вместе, чтобы достичь требуемого уровня защищенности. Например, анализ защищенности позволит выявить наиболее слабые места в защите информации, а исходя из полученных отчетов и рекомендаций специалистов можно применить и другие методы, будь то переход на более надежное ПО, изменение настроек сетевого оборудования, применение облачных сервисов по защите информации или обучение сотрудников цифровой гигиене и основам информационной безопасности.

Конечно, за все необходимо платить, но в итоге, если компания работает с большим количеством конфиденциальных данных, это с высокой долей вероятности все равно обойдется дешевле, чем убытки в случае утечки этих данных или полного уничтожения ИТ-инфраструктуры, в которой функционируют ИС, отвечающие за основные бизнес-процессы.

Опубликовано 05.04.2024

Похожие статьи