23 декабря 2024 г.
Продолжение, начало тут
Как данные могут привести к банкротству компании
Один из типов данных, с которыми работают компании — а именно персданные, к защите которых государства относятся с повышенным вниманием — в настоящее время являются особо высокорисковым активом. Их утечки способны принеси компании огромные убытки, большие репутационные потери, и в некоторых случаях создавая риски для самого существования бизнеса. В чем особенность рисков, связанных с персданными? Их достаточно много, отметим основные.
Во-первых, персданные являются достаточно разнообразными: это не только ФИО, паспортные данные и адреса с телефонами, но у многое другое, включая, например, семейное положение и образование. Более того, определить состав персональных данных и привести их перечень сегодня невозможно, отмечает «КоммерсантЪ»; федеральный закон от 27 июля 2006 года №
Во-вторых, отказаться от накопления персональных данных проблематично — многим компаниям они нужны для операционной деятельности, в В2С-сегменте практически всем. Пиццерия «на районе», у которой есть база данных постоянных клиентов, кофейня, запустившая программу лояльности, кабинет частной стоматологической практики, ведущий картотеку клиентов, интернет-магазины (как маркетплейсы, так и небольшие e-com-ресурсы) и многие другие мелкие бизнесы являются операторами персональных данных.
Большинство россиян — 69% —готовы отказаться от услуг компании, допустившей утечку персональных данных, напомнил Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», выступая на конференции «Сохранить все: безопасность информации».
В-третьих, даже компании, не работающие с частными лицами, располагают персональными данными: кадровый учет предусматривает хранение персональных данных сотрудников, которые тоже нужно защищать! Закон о защите персданных направлен не только вовне, на клиентов, но и внутрь, на собственных работников.
Штрафы за утечку персональных данных могут быть настолько велики — согласно требованиям законодательства — что вполне могут привести к банкротству бизнеса.
«Недооценка рисков утечек данных характерна для небольших организаций», — говорит Андрей Арсентьев, руководитель направления аналитики и спецпроектов экспертно-аналитического центра в ГК InfoWatch.
Маленькие хитрости на фоне необходимости широкого взгляда
Корпоративные заказчики реагируют на ситуацию по-разному, сочетая создание средств защиты с различными хитростями. Например, утечку нужно доказать, а так как персональные данные россиян украдены многократно, сделать это зачастую проблематично. Количество утечек только в первом полугодии уходящего года в России выросло на 10,1% YoY, скомпрометировано почти 1 млрд единиц персональных данных, точнее, 986 млн записей, по данным экспертно-аналитического центра ГК InfoWatch; в таких условиях доказать утечку из конкретной компании бывает непросто, если компания занимает позицию «это не у нас украли!».
Есть и иная ситуация. Некоторые компании объявляют об утечке, платят штрафы и рапортуют о закрытии уязвимости. Однако полного комплекса работ по ИБ не производят, а при последующих утечках говорят, что хакеры лукавят, выдавая старые данные за свежеукраденные, поэтому новые штрафные санкции к компании применять нельзя согласно принципу «Не дважды за одно и то же».
Однако заметим, что кроме персданых клиентов и сотрудников компании располагают огромными объемами другой чувствительной информации, которую надо защищать. Персональные данные — только один из вариантов конфиденциальных данных, которые представляют интерес для хакеров. Некоторые попадают под действие других законов (например, составляющие врачебную тайну), утечка которых тоже способна нанести компании репутационные риски и привести к прямым убыткам — как к уплате штрафов, так и к выплате компенсаций.
Приведенные выше «маленькие хитрости» будут неактуальны, если похищенное хакеры передадут конкурентам или, предположим, «шифровальщик» закодирует массивы информации, которая окажется недоступна как для BI, так и, например, для CRM или для отчетности.
Защищать надо, но защищать дорого
Для защиты корпоративных данных — не только персональных — нужен комплексный подход. Должны работать совместно специалисты разных направлений: как «безопасники», так и классические «айтишники», а также юристы. Корпоративную систему защиты данных мало создать, ее надо развивать и поддерживать. Меняются профили угроз, хакерские активности, развивается инфраструктура данных в компании, некоторые компоненты защитных систем нуждаются в апгрейде или в замене, нужно хотя бы иногда проводить пентесты и т. д.
Вырастить полный спектр специалистов с нужными компетенциями внутри для подавляющего большинства корпоративных заказчиков практически невозможно. Приходится привлекать внешние команды, которые в условиях дефицита нужного спектра специалистов, да еще и обладающих профильными компетенциями, на рынке немного, поэтому стоят они недешево. В таких условиях ценник предсказуемо высок, что для ряда клиентов приводит к проблемам при создании систем ИБ, способных обеспечить защиту данных.
Заметим, что конфиденциальность данных зависит от противодействия как внешним хакерам, так и действиям собственного персонала.
«Бизнес, который непосредственно сталкивается с утечками и их последствиями, по-прежнему видит основную угрозу информационным активам в действиях персонала — как умышленных, так и случайных», — говорит Андрей Арсентьев, руководитель направления аналитики и спецпроектов экспертно-аналитического центра в ГК InfoWatch.
Атаки на данные хакеры как монетизируют напрямую, требуя выкуп за неразглашение или за расшифровку, так и используют для более сложных активностей: фишинга (в том числе, как составной части таргетированных атак), звонков «из служб безопасности банка» и т. д. Особой ценностью пользуются учетные данные, так как они могут существенно упростить доступ в ИТ-инфраструктуру компании, к ресурсам частых лиц и пр. В некоторых нишах вторичность получения несанкционированного доступа к данным по отношению к основным целям злоумышленников особенно заметна.
«Основные цели злоумышленников, атакующих производственные предприятия, — промышленный шпионаж, вымогательство денег и нарушение технологических процессов, — говорит Яна Авезова, старший аналитик исследовательской группы Positive Technologies.
Ситуация далека от идеала и у маленьких, и у больших
Небольшие компании зачастую вынуждены игнорировать соответствующие вызовы, так как все равно не располагают ресурсами для ответа на них. В первом полугодии 2024 года 51,3% всех утечек информации в России пришлись на индивидуальных предпринимателей и небольшие компании (до 50 сотрудников), что вдвое выше, чем в первой половине 2023 года, отмечают в исследовании InfoWatch.
Заметим, что в крупных корпорациях ситуация с безопасностью данных тоже далека от идеала, причем все может существенно различаться внутри, например, в центральных структурах компании и в филиалах.
«Наиболее конфиденциальные данные могут храниться в головном офисе, однако филиалам всё равно необходимо получать и передавать информацию из центра, и этот процесс должен быть организован безопасно», — говорит Максим Каминский, руководитель программы сетевой безопасности «Лаборатории Касперского». В 14% российских компаний, у которых есть филиалы в разных регионах страны, защищены лишь часть из них, а у 4% не защищено ни одно (!) из подразделений, по данным исследования «Лаборатории».
Большинство игроков российского рынка — 86% ИТ-компаний, по данным опроса «СёрчИнформ» считают, что ИБ-аутсорсинг поможет решить проблему утечек данных в региональных компаниях. Для обеспечения ИБ даже небольшой компании надо нанять в штат минимум одного ИБ-специалиста, а также приобрести защитное ПО и оборудование.
«Чтобы обеспечить внутреннюю безопасность даже небольшой компании потребуется нанять в штат минимум одного ИБ-специалиста, а также приобрести защитное ПО и оборудование. Как показывает практика, далеко не все компании могут себе это позволить, — говорит Елена Гавриленко, руководитель направления франшизы ИБ-аутсорсинга „СёрчИнформ“. — ИБ-аутсорсинг — это более бюджетный и удобный формат защиты».
56% участников опроса «СёрчИнформ» ключевым преимуществом ИБ-аутсорсинга для заказчиков назвали снижение финансовых издержек. 52% участников опроса считают, что услуга поможет быстро повысить уровень информационной безопасности в компании, 49% опрошенных среди преимуществ выделили высокую квалификацию и качество услуг ИБ-провайдера.
Окончание следует
Источник: Александр Маляревский, внештатный обозреватель IT Channel News