Минимизация ущерба от утечек информации

Изображение: Shutterstock.ai

Как ограничить сбор персональных данных онлайн-сервисами.

С чего и когда начинается минимизация ущерба

В целях поддержания непрерывности бизнеса и минимизации ущерба от утечек персональных данных (ПДн) существуют методы, позволяющие компаниям продолжать свою деятельность, не опасаясь претензий со стороны клиентов и сотрудников, предписаний и штрафов от регулирующих органов.

Проведение аудита процессов обработки ПДн, аудита безопасности и анализа защищенности являются отличными инструментами при определении киберрисков и последствий при том, что количество киберугроз и выявленных инцидентов растёт год от года.

При выстраивании процессов по защите ПДн нужно придерживаться следующих шагов:

Оценка процессов обработки ПДн при проведении аудита персональных данных – выявление и оценка рисков при автоматизированных и неавтоматизированных процессах обработки персональных данных, обеспечение безопасности ПДн на основании представленной в ходе обследования информации.
Оценка рисков и угроз, связанных с информационной безопасностью – выявление и оценка возникающих рисков и угроз безопасности информации в процессе обработки персональных данных.
Обеспечение защиты ИСПДн организационными и техническими мерами – с учетом актуальных угроз безопасности ПДн определяются правила и средства управления доступом, идентификации и аутентификации, антивирусной защиты, защиты машинных носителей информации и другие меры в соответствии с требованиями Приказа ФСТЭК № 21, в котором указан состав этих мер в зависимости от уровня защищенности информационный системы ПДн.
Доработка (корректировка) имеющихся локальных нормативных актов, регламентирующих организацию обработки и обеспечение безопасности персональных данных, разработка недостающих документов.

Многие персональные данные оказываются в руках хакеров, террористических группировок, а то и вообще в свободном доступе из-за утечек с сайтов и приложений сервисов. Необходимо быть в курсе новостей об утечках, и если на скомпрометированном источнике были ваши персональные данные, вы по крайнее мере будете осведомлены, что теперь эти данные в руках злоумышленников. Кроме того, на сегодняшний день субъекты ПДн имеют право получить компенсацию от Оператора за случившуюся утечку. Для бизнеса это еще один якорь и непредвиденные как судебные издержки, так и траты на сами выплаты компенсаций. Поэтому так важно с одной стороны грамотно выстраивать систему защиты персональных данных. С другой стороны важно активно мониторить события, связанные с утечками, и быть готовым оперативно в кротчайшие сроки провести расследования и выяснить все обстоятельства случившегося. Здесь снова встает вопрос о необходимости применения средств защиты, которые обеспечивают сбор и анализ логов, выявление инцидентов.

Для мониторинга информации об утечках делимся с вами перечнем сервисов. Это сервисы, которые собирают информацию о публичных утечках, могут помочь это отслеживать:

Форумы с утечками (РФ и зарубежные)

https://dumpforums.to/ (утечки и продажа баз данных РФ)
https://phreaker.info/ (в основном РФ)
https://xss.is/ (РФ и зарубежные БД)
http://breachedu76kdyavc6szj6ppbplfqoz3pgrk3zw57my4vybgblpfeayd.onion/ (РФ и зарубежные БД)
https://leakzone.net/ (РФ и зарубежные БД)
https://ddosecrets.com/ (РФ и зарубежные БД)
https://leakbase.io/ (РФ и зарубежные БД)
https://cracking.org/ (РФ и зарубежные БД)

Но если случилась утечка, то важно соблюдать спокойствие и выяснить причину и определить последствия от утечки. Как? Далее разберёмся.

Как определить ущерб от утечек, на что ориентироваться

Утечки данных могут нанести серьезный ущерб компании по двум направлениям:

Стабильное развитие бизнеса

Прежде всего бизнес будет дестабилизирован внутренним расследованием, поиском причин и ответственных, а значит основные бизнес-процессы могут быть приостановлены. При реализации атак мы часто видим простои в работе персонала длительностью от 2 дней до нескольких недель. Невозможность или несвоевременность оказания услуг, выполнения договорных обязательств влекут за собой финансовые потри, что в перспективе влияет и на развитие бизнеса. Вдобавок к этому утечка данных может вылиться в штрафы и выплаты компенсаций пользователям, которые пострадали из-за утечки. И эти суммы могут достигать огромных размеров.

Сейчас максимальный штраф для компаний, по вине которых произошла утечка персональных данных, не превышает 100 000 рублей и 300 000 рублей при повторном нарушении. На данный момент правительство подготовило законопроекты (см. здесь и здесь), по которому будут введены оборотные штрафы до 500 млн рублей.

Репутационное. Когда пользователи узнают, что у компании произошла утечка информации, они в большой доле случаев перестанут пользоваться ее услугами. Вдобавок информация об утечке может серьезно снизить приток новых клиентов. На практике большинство клиентов перестают пользоваться услугами пострадавшей от утечки компании не только онлайн, но и прекратят какое-либо взаимодействие офф-лайн. Аналогичная история обстоит и с контрагентами, которые работают с Вами, доверяют Вам свои ценные данные.

В связи с этим важно оценивать риски ИБ и создавать систему защиты, обеспечивающую их минимизацию, надежность функционирования информационных систем и стабильность развития бизнеса. Не менее важным является обеспечение контроля собираемых ПДн. На уровне федерального закона введен запрет на сбор ПДн, не требующихся для целей их обработки. В компании обязательно должен вести реестр процессов, в котором определены цели обработки, собираемые сведения и сроки их хранения. Напомним, так же о том, что Оператор обязан своевременно уничтожать ПДн. Нарушение этих требований влечет наложение административного штрафа. Поэтому важно разобраться в вопросах ограничения сбор персональных данных онлайн-сервисами.

Как ограничить сбор персональных данных онлайн-сервисами

Уверены, что все не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.

Политика конфиденциальности — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. Политика конфиденциальности определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Политика конфиденциальности — это, прежде всего, защищенность бизнеса от юридических рисков. Правильно составленный документ обезопасит приложение от блокировки и штрафов со стороны регулятора, а значит — от потери потребителей и прибыли. Как показывает практика, большинство проблем, связанных с политикой конфиденциальности, можно предупредить. Поэтому перед релизом приложения лучше потратить ресурсы на качественную разработку документа у профессионалов, чем сэкономить деньги сейчас, но иметь риск в будущем потратить в десятки раз больше денег на выплату штрафов. Ведь на основании ст. 5 ФЗ № 152-ФЗ обработка персональных данных не может осуществляться произвольно. Должно выполняться достижение конкретных, заранее определенных и законных целей обработки персональных данных, не допускается обработка данных, несовместимых с целями их сбора. Иными словами, до начала обработки персональных данных должны быть определены ее цели, которым и обязан следовать оператор при обработке данных физических лиц, которые в свою очередь должны быть отражены в политике конфиденциальности.

Если вернуться к вопросу утечек, то чем больше Оператор собирает ПДн, чем меньше их удаляет, то утечка БД может затронуть куда больше клиентов, чем если бы БД содержала сведения только по текущим.

Посему мы призываем бизнес посмотреть на те последствия, которые имели беспрецедентные утечки данных в этом году и все-таки ограничить сбор ПДн своих клиентов. Компаниям они нужны для мифических маркетинговых целей, а последствия безалаберности и хакерских атак приводят к реальным серьезным жизненным проблемам у их клиентов.

Мы предлагаем задуматься о социальной ответственности перед клиентами, пользователями и сотрудниками по-настоящему, и просто не подвергать их риску. Тем более, это так просто: нужно всего лишь отказаться от сбора ненужных для вашего бизнеса данных о них. Не собираете – не потеряете.

Не ждать, а быть готовым или как подготовиться к утечке

Способов усилить защиту информации в компании много. Среди них можно выделить:

Разграничение и контроль доступа к защищаемым активам

Важным аспектом базовой защиты информации является определение лиц, которые могут получить доступ к тому или иному активу, определение их уровня привилегий и возможности внесения изменений. Эта мера реализуется даже на уровне операционных систем. Она существенно может быть усилена применением средств защиты и введением многофакторной аутентификации при доступе как в ОС, так и в приложения.

Шифрование данных.

Даже если злоумышленники получат данные, то для него это будет набор символов, а их расшифровка потребует от него немало усилий. Для этого могут быть использованы как средства построения VPN, так и средства криптографической защиты информации.

Использование наложенных средств защиты

К наиболее популярным относят антивирусы, межсетевые экраны, работающие на разных уровнях модели OSI. Подобные программы помогут защититься от атак извне. Для крупных компаний с большим штатом сотрудников, гибридным или удаленным форматом работы актуальным будет использование DLP-систем (средства защиты специализируются конкретно на защите от утечек) и средств управления безопасностью мобильных устройств (Mobile Device Management, MDM).

Для правильного выбора средств защиты необходимо, построить модель угроз и определить актуальные угрозы, сформировать перечень мер, направленных на их нейтрализацию. Вся информация, включая поэтапный план закупки средств защиты, фиксируется в проектной документации на систему защиты.

Резервное копирование и восстановление данных

Из своего опыта участия в расследованиях инцидентов, реализованных целенаправленно злоумышленниками, можем сказать, что бэкапы сохранённые на съемных носителях, хранящихся в других ЦОДах – гарантия вашего спокойного будущего и быстрой стабилизации .Если же Вы храните резервные копии на том же сервере, на котором функционирует ваша ИС, то она может быть таже легко быть удалена или зашифрована, еще хуже если и она утечет вместе с конфиденциальной информацией.

Обучение сотрудников цифровой гигиене

Это поможет сотрудникам не поддаваться на фишинговые рассылки, не совершать абсурдные с точки зрения защиты информации действия (напр., хранить пароли в чате в телеграм, использовать один пароль на все учетные записи), и в принципе обезопасить конфиденциальные данные от несанкционированного доступа третьих лиц.

Анализ сайтов.

В ходе работ по анализу сайтов проводится этап активной разведки по методологии тестирования на защищенность. Производится исследование и сканирование объектов на предмет возможных слабых мест и уязвимостей. Данные действия производятся как в ручном режиме, так и автоматизированными средствами с помощью специальных программ.

Анализ утечек данных

В ходе работ по анализу утечек по компании проверяются адреса корпоративных электронных почт и сам корпоративный домен. В частности, производится анализ, есть ли утечка данных, исследуется её содержание, дата, прикладываются снимки экрана и результаты работы различных автоматизированных инструментов. Также указываются использованные инструменты и сервисы, подводится итог исходя из найденной информации и степени её критичности, даются рекомендации для обеспечения безопасности данных.

Формирование здорового климата внутри компании

Если сотруднику все будет нравиться, то даже если его попытаются подкупить с целью слива информации, вероятность успеха злоумышленников будет гораздо ниже.

Но по отдельности все эти меры малоэффективны. Их нужно применять вместе, чтобы достичь требуемого уровня защищенности. Например, анализ защищенности позволит выявить наиболее слабые места в защите информации, а исходя из полученных отчетов и рекомендаций специалистов можно применить и другие методы, будь то переход на более надежное ПО, изменение настроек сетевого оборудования, применение облачных сервисов по защите информации или обучение сотрудников цифровой гигиене и основам информационной безопасности.

Конечно, за все необходимо платить, но в итоге, если компания работает с большим количеством конфиденциальных данных, это с высокой долей вероятности все равно обойдется дешевле, чем убытки в случае утечки этих данных или полного уничтожения ИТ-инфраструктуры, в которой функционируют ИС, отвечающие за основные бизнес-процессы.

Опубликовано 05.04.2024

Об авторах

Екатерина Витенбург

Старший консультант по информационной безопасности Б-152

Информационная безопасность Киберугрозы Утечки данных

Предыдущая
Повышение киберграмотности и кибергигиены на работе и в обычной жизни

Следующая
Кибервойна пришла в гражданскую авиацию

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30