Как кража личных данных влияет на бизнес

Причин утечек данных, на самом деле, достаточно много. Но их можно разделить на условные две группы:

Внешние причины — это все, что не относится к системам компании и ее персоналу. Как правило, это такие действия злоумышленников, как фишинговые атаки, попытки подбора учетных данных для входа в систему, использование уязвимостей программ, которыми пользуется компания или даже попытки физического проникновения.

К внутренним же можно отнести все, что может позволить информации утечь, и находится внутри компании. Например, это может быть подкупленный злоумышленниками сотрудник (инсайдер) или неправильно настроенный сервер, который случайно индексируется поисковыми системами и дает доступ к базам данных, которые на нем хранятся.

На самом деле, нередко утечку вызывают одновременно и внешние, и внутренние утечки. Например, злоумышленники провели фишинговую рассылку с вредоносным вложением по сотрудникам компании и халатные или необученные цифровой гигиене сотрудники открыли это письмо и скачали вредонос на рабочий компьютер.

Какие последствия для компании может иметь утечка данных

Утечки данных могут нанести серьезный ущерб компании по двум направлениям:

• Репутационное. Когда пользователи узнают, что у компании произошла утечка информации, они в большой доле случаев перестанут пользоваться ее услугами. Вдобавок информация об утечке может серьезно снизить приток новых клиентов. Как показал опрос Security Magazine в 2019 году, 78% респондентов перестанут пользоваться услугами пострадавшей от утечки компании онлайн, а 36% прекратят взаимодействие и онлайн, и оффлайн. Более того, 49% опрошенных утверждают, что не будут пользоваться сервисом или приложением, у которого недавно произошла утечка данных.
• К репутационному ущербу также добавится и экономический. Прежде всего, отток пользователей и снижения притока новых явно повлияет на прибыль компании. Вдобавок к этому во многих странах утечка данных может вылиться в штрафы и выплаты компенсаций пользователям, которые пострадали из-за утечки. И эти суммы могут достигать огромных размеров. Например, в 2019 году Equifax заплатили не менее 575 миллионов долларов. Вдобавок придется модернизировать защиту информации, что тоже недешево.

Как компании минимизировать риск утечки данных

Способов усилить защиту информации в компании много. Среди них можно выделить:

• Шифрование данных. Даже если злоумышленники получат данные, то воспользоваться ими будет гораздо сложнее;
• Использование защитного ПО (антивирусы, файрволы). Подобные программы помогут защититься от атак извне;
• Использование DLP-систем. Этот тип программ можно выделить отдельно, так как они специализируются конкретно на защите от утечек;
• Обучение сотрудников цифровой гигиене. Это поможет сотрудникам не поддаваться на фишинговые рассылки и в принципе обезопасить передачу важных данных через интернет;
• Хорошей идеей будет проверка своих систем на уязвимости. Это можно сделать, заказав пентест, аудит безопасности или анализ защищенности систем:

• Пентест. Суть этого исследования безопасности заключается в том, что специалисты целенаправленно атакуют системы компании, имитируя атаку хакеров. Как итог, заказчик получает отчет о том, с какой вероятностью заказанная атака будет успешной, а также какие уязвимости обнаружили в ходе атаки. Из минусов можно отметить, что в данном случае важнее сам факт успеха конкретной атаки, а не полный сбор информации об уязвимостях. То есть если каким-то конкретным путем пентестеры не смогли проникнуть в инфраструктуру компании или как-то нарушить ее работоспособность, это не значит, что где-то не затаилась лазейка, которой воспользуется кто-то другой;
• Анализ защищенности систем. Это исследование чем-то похоже на пентест, только если при пентесте целью является успешная атака, то здесь задача заключается в обнаружении максимального количества уязвимостей, которые можно эксплуатировать.
• Аудит безопасности. При аудите проверяется соответствие информационной системы и связанных с ней процессов требованиям и рекомендациям нормативных документов, а также производителей оборудования и ПО;

Но по отдельности все эти меры малоэффективны. Их нужно применять вместе, чтобы достичь максимального эффекта. Например, анализ защищенности или пентест позволят выявить наиболее слабые места в защите информации, а исходя из полученных отчетов и рекомендаций специалистов можно применить и другие методы, будь то переход на более надежное ПО или обучение сотрудников цифровой гигиене и основам информационной безопасности.

Конечно, все это стоит недешево (например, простой пентест с помощью социальной инженерии по электронной почте может стоить от 150 тысяч рублей, но в итоге, если компания работает с большим количеством конфиденциальных данных, это с высокой долей вероятности все равно обойдется дешевле, чем убытки в случае утечки этих данных.

Источник: rb.ru

Порядок действий в случае утечки данных клиентов. Инструкция для бизнеса

В связи с участившимися случаями утечек персональных данных, закон об их защите претерпел значительные изменения. Законодатели ужесточили штрафы, повысили требования к информационной безопасности и определили ответственных. Несмотря на ужесточение закона, утечки всё равно случаются. Полностью от них никто не застрахован, можно только свести риски к минимуму.

Однако если инцидент всё-таки произошёл, бизнесу следует действовать оперативно: уведомить регуляторов, оповестить клиентов и провести расследование. В этой статье представлена пошаговая инструкция, которой может воспользоваться ответственный за обработку и хранение персданных в организации, если произошла их компрометация.

Как и почему утекают данные

Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики её деятельности, используемых технологий, внедрённых механизмов защиты и др. Причинами утечки могут стать деятельность хакеров, ошибочное или злонамеренное действие сотрудника.

Согласно данным опроса SearchInform, всего 63% инцидентов в государственном секторе приходится на инсайдеров (это на 25% меньше, чем в частных компаниях). Основным источником внутренних утечек данных в государственном секторе является рядовой сотрудник компании (на его долю приходится более 74% всех утечек). Причиной этому может послужить, например, неправильное действие сотрудника, либо действие с целью мести.

Почему быстрая и правильная реакция на инцидент очень важна

Последствия утечек могут оказаться серьёзными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать от неправомерного списания средств с банковской карты, шантажа, разглашения любой информации, взлом профилей.

Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:

• Гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
• Административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
• Уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.

Если выяснится, что оператор виновен в несоблюдении условий, обеспечивающих сохранность персональных данных при хранении материальных носителей, ему грозит штраф, предусмотренный ч. 6 ст. 13.11 КоАП РФ:

• Должностным лицам – 8-20 тыс. руб.;
• ИП – 20-40 тыс. руб.;
• Юрлицам – 50-100 тыс. руб.

Что делать, если организация столкнулась с утечкой данных

Обнаружив факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).

Сообщение можно передать через Портал персональных данных, на котором Роскомнадзор организовал соответствующий сервис в разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных».

Если системы оператора подверглись хакерской атаке, он, помимо вышеописанного взаимодействия с Роскомнадзором, обязан передать сведения о взломе, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

GDPR

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе. Некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

На первом этапе внутреннего разбирательства служба безопасности определяет тип утечки: случайная или намеренная.

Как правило, факт случайной утечки легко выявить, просмотрев отчеты DLP-системы, опросив сотрудников или изучив записи видеонаблюдения, которые фиксируют действия персонала на рабочем месте.

Опрос проводит руководитель службы безопасности или директор предприятия. Не следует указывать причину встречи. На этом этапе эффективно задействовать психологические приёмы воздействия и понаблюдать за сотрудником. Неясные ответы, расхождения в фактах – все это указывает на возможного злоумышленника.

Если произошла намеренная кража данных и разглашение уже состоялось, рекомендуется поэтапно выполнить алгоритм действий:

1. Определить группу сотрудников, которые имели права доступа к похищенным данным.
2. Опросить каждого работника из выявленной группы.
3. Сопоставить все полученные показания и выявить главных подозреваемых.
4. Проверить действия главных подозреваемых за последний период: когда приходили на работу и покидали рабочее место, с какой информацией работали и т.д. – и выявить злоумышленника.
5. Начать процедуру, чтобы привлечь к ответственности.

В зависимости от масштабов ущерба глава службы безопасности совместно с руководителем определяет меру наказания для виновного в утечке. Виды ответственности включают: материальную (штраф, лишение премии); административную и уголовную.

В случае соответствия проступка административной или уголовной ответственности к расследованию подключают правоохранительные органы. Официальное расследование начинается и в ситуации, когда сотрудник отказывается выплатить материальную компенсацию.

Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.

Как обезопасить данные клиентов

Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:

• Установка межсетевых экранов, затрудняющих проникновение к массивам информации;
• Внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
• Фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
• Установка средств антивирусной защиты;
• Использование средств криптографической защиты для шифрования данных при хранении и передаче;
• Применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:

• Не передавать персональные данные компаниям, не зарегистрированным в качестве операторов;
• Осторожнее относиться к любым платежам в сети Интернет;
• Всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.

Источник: infobezopasnost.ru

Финансовые и репутационные потери от утечек информации

По оценкам экспертов, в первом полугодии 2020 года потери российского бизнеса от утечек информации получились на уровне 1 800 000 000 рублей. Во втором полугодии этот показатель опустился и составил чуть более 1 200 000 000 рублей. Ситуация логичная, с учетом того, что в начале года компании начали активно переходить на удаленный формат работы, зачастую отводя информационной безопасности (далее — ИБ) одну из последних ролей. Во втором полугодии субъекты стали активнее работать над ИБ, что привело к снижению количества подобных случаев.

Компаниям, допустившим утечки конфиденциальной информации, грозят финансовые, а также репутационные потери.

Финансовые потери от утечек конфиденциальной информации в компании

Их последствия могут быть серьезными. Так, согласно подсчетам экспертов, достаточно утраты всего 20% коммерческих секретов субъекта хозяйствования, чтобы спровоцировать его банкротство. Подобные примеры есть в мировой практике. Например, в 2019 году крупный американский медицинский коллектор Retrieval-Masters Creditors Bureau Inc, один из лидеров отрасли, обанкротился как раз из-за того, что было допущено утекание сведений о более чем 12 000 000 клиентов. Компания не смогла справиться с обязательствами по выплате 4 000 000 долларов компенсаций потерпевшим, в результат чего было принято решение инициировать процедуру признания агентства банкротом.

Даже потери от утечек 5% конфиденциальных данных компании приводят к серьезным последствиям. Эксперты отмечают, что такого количества достаточно для утраты лидирующих позиций на рынке.

К финансовым потерям относятся прямой денежный, а также вероятный ущерб, возникающий из-за того, что компания лишается части прибыли.

Утечки важных данных в организации приводят к возникновению (а если не принять меры, то к реализации) нескольких видов финансовых рисков:

· Liquidity risk. Риск ликвидности, заключается в неспособности компанией выполнять свои финансовые обязательства (перед заемщиками, поставщиками и пр.). Подобные риски возникают из-за утечек информации, вследствие которых снижается эффективность работы компании: из-за корпоративного мошенничества, хищения материальных активов, сырья.

· Market risk. Рыночный риск, заключается в снижении стоимости активов. Практика показывает, что подобные инциденты влекут потерю стоимости акций крупных организаций на срок около 3 месяцев. У кого-то после этого у многих происходит рост до прежних показателей, другим же компаниям достичь первоначального уровня не удается.

· Operation risk. Операционные риски связаны непосредственно с выполнением компанией бизнес-функций. Довольно опасны для организации, так как при их возникновении потери от утечек информации имеют непредвиденный характер.

Последствия реализации всех трех групп рисков проявляются для компаний по-разному. Кому-то приходится возмещать немалый ущерб сотрудникам или клиентам (как в примере с Retrieval-Masters Creditors Bureau Inc). Кто-то теряет прибыль на том, что украденные технологии попадают в руки конкурентов, а те отбирают часть рынка. У каких-то бизнес-субъектов падает стоимость активов, акций.

Репутационные потери от утечек информации

Репутационные риски и потери связаны с финансовыми. Они оказывают прямое воздействие на снижение дохода из-за негативного восприятия статуса компании: утрата репутации автоматически влечет упущенную выгоду. Привести к репутационным потерям может утекание сведений, связанных с текущей деятельностью организации, а также данных о каких-то событиях из прошлого. Поэтому нужно уделять внимание защите любых сведений, включая архивные, не использующиеся в данный момент.

Репутационные потери от утечек информации плохо поддаются прогнозированию. Ведь подсчитать, хотя бы приблизительно, сколько клиентов и партнеров откажется от сотрудничества с компанией, невозможно. По подсчетам экспертов более 55% расходов на ликвидацию последствий таких инцидентов в организациях тратятся именно на решение проблем, связанных с репутационным потерями.

Профилактика утечек информации и потерь, к которым они приводят

Избежать подобных инцидентов, а также вызванных ими финансовых и репутационных потерь поможет DLP-система. Рассчитайте (хотя бы примерно) вероятный ущерб, который может наступить из-за утечки персональных данных клиентов или сотрудников, коммерческой тайны и другой важной информации. Если он примерно равен стоимости внедрения системы предотвращения утечек, можно даже не задумываться и внедрять подобное решение.

Современные DLP-системы предотвращают финансовые и репутационные риски, возникающие из-за утекания данных по различным каналам. Такие решения:

· контролируют переписку по e-mail, в мессенджерах, системах для совместной работы, отслеживают загрузку информации на съемные носители;

· анализируют отправляемые по различным каналам файлы и архивы. Благодаря технологии OCR, машинному обучению и другим эффективным инструментам конфиденциальная информация обнаруживается даже если она тщательно замаскирована;

· имеют функционал для контроля / учета рабочего времени. Информация, получаемая от таких модулей, помогает в организации эффективной системы защиты от утечек;

· анализируют поведение пользователей и выявляют склонных к нарушениям информационной безопасности работников. Это обеспечивается благодаря технологии UBA. Анализируется поведение сотрудников на основе паттернов, выявляются отклонения от нормы, определяются подозрительные связи, резкое изменение в поведении и другие факторы, которые могут привести к утечкам информации, а также возникновению финансовых и репутационных потерь из-за них;

· создают архив коммуникаций и отправляемых файлов с возможностью быстрого поиска нужной информации по фразам, а также другим параметрам. Полезно при расследовании инцидентов в области ИБ.

Внедрение DLP-системы актуально для компаний с численностью рабочих станций в парке от 100 единиц. Такие решения пользуются популярностью и показывают высокую эффективность при организации системы предотвращения утечек в организациях из банковской сферы, на производственных предприятиях, МФО и других компаниях, работающих с персональными данными и иной важной информацией.

Источник: rt-solar.ru