25.08.2023

Утечки персональных данных: кто виноват?

Добавить в закладки
Действительно ли утечки данных пользователей происходят чаще, чем кажется, рассказывают специалисты Центра цифровой экспертизы Роскачества.

Немного статистики

Большинство утечек происходит из крупных онлайн-компаний. Так, за последние три месяца инциденты с утечкой персональных данных произошли у девяти крупных российских компаний, а количество раскрытых учетных записей превысило 10 млн. Однако 67% организаций предпочитают держать информацию в тени и избегают публичных комментариев по этому поводу («СёрчИнформ»).

Более четверти от всех инцидентов с конфиденциальными данными происходят в компаниях ритейла. Каждый 12-й инцидент приходится на финансовые и ИТ-компании. Утекает все — исходные коды проектов, техническая и административная документация, медицинские сведения, паспортные данные, адреса электронной почты и т. п. Так, в мае 2023 года на теневом форуме выставили на продажу базу данных клиентов, предположительно, медицинской лаборатории «Гемотест». По заявлению продавца, в базе 31 млн строк, содержащих: ФИО, дату рождения, адрес, телефон, адрес электронной почты, серию/номер паспорта и т. п.

Человеческий фактор оказывается решающим

Как говорится, в любой, даже самой защищенной, компьютерной системе наиболее уязвимым звеном является пользователь.

Правда, на сегодня число намеренных сливов данных сотрудниками компаний отошло на второй план. В основном хакеры проникают на серверы компаний вследствие невнимательности тех сотрудников, которые не соблюдают информационную безопасность. На достижение цели киберпреступникам нужно в среднем семь дней («РТК-Солар»).

Сомнительные письма от якобы коллег с вложениями, клоны корпоративно-административных ресурсов и прочие ухищрения открывают мошенникам даже самые надежные засовы.

Справочно

По мнению 94,4% наших читателей, «сливы» происходят вследствие недобросовестности персонала.


В этом году большинство взломов осуществляли хакерские группировки «со стажем». Например, к сливу данных «Литреса» на теневом форуме имеют отношение те же личности, что сливали базы «СберЛогистики», Delivery Club и многих других менее крупных компаний.

Получается, что сотрудники взломанных организаций сами узнают об утечках только через некоторое время после инцидента. А у многих компаний даже нет инструментов для проверки того, был ли осуществлен «слив». Поэтому они могут несколько дней отрицать факт, пока не подтвердят «слив» с помощью сторонних специалистов. Бывает, что о проблеме люди узнают из новостей раньше, чем сами компании, чьи данные утекли.

Как компании защищают данные

Среди базовых принципов обеспечения информационной безопасности на серверах компании можно отметить:

  • минимизацию перечня собираемых и обрабатываемых ПД;

  • раздельное хранение различных категорий ПД;

  • хранение не записей, а идентификаторов, указывающих на человека;

  • отказ от практики накопления персональных данных;

  • использование необходимого ПО;

  • своевременное информирование Роскомнадзора о признаках и наступивших инцидентах.

Важно

Рекомендации из этого перечня реализуются далеко не всегда. Так, 30% российских компаний из топ-100 не обладают профессиональной защитой от DDoS-атак на уровне приложений (StormWall).


По закону компании, выступающие в роли операторов персональных данных, должны обеспечить их сохранность. Получается, что среднестатистический ИП-оператор должен обеспечить четвертый или, в случае с биометрическими данными, третий уровень защищенности персональных данных.

Для этого необходимо:

  • организовать режим обеспечения безопасности помещений с базами данных;

  • обеспечить сохранность носителей персональных данных;

  • утвердить документ, определяющий перечень лиц с доступом к персональным данным;

  • использовать средства защиты информации (антивирусы и прочие системы).

кузьменко новая
Сергей Кузьменко
РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЦЕНТРА ЦИФРОВОЙ ЭКСПЕРТИЗЫ РОСКАЧЕСТВА

Помимо рекомендаций Роскомнадзора и профильных организаций, компании сами в состоянии ввести у себя правила работы с базами данных и безустанно обучать сотрудников цифровой грамотности, чтобы минимизировать риски открывания фишинговых сообщений. Тем самым серверы компании получат сильное противодействие к вирусному ПО.


Как пользователям защитить свои данные

В наши дни пользователям цифровых сервисов стоит осознавать потенциальные риски утечки их информации. Причем 100% гарантии защиты не даст ни одна компания, где пользователь оставляет свои данные, заполняя различные формы регистрации на сайтах и в приложениях.

Пользователь может контролировать ситуацию только на этапе передачи данных. То есть решать, кому и какие передавать данные и как это будет происходить, — для этого следует ознакомиться хотя бы бегло с политикой конфиденциальности и при необходимости задать вопросы разработчикам.

Но когда данные уже переданы, то тут контролировать, к сожалению, ничего не получится. Поэтому остается только проверять, куда и кому вы направляете свои данные, и быть осведомленным о методах социальной инженерии — ведь мошенники так ловко ими пользуются.

Согласно опросу, проведенному на портале Роскачества в сентябре 2022 года, 89,5% пользователей не чувствуют, что они защищены от краж и утечек персональных данных в Сети.

В целях собственной информационной безопасности пользователю рекомендуется:

  • Завести отдельный почтовый ящик для регистрации на разных сайтах.

  • Подключить виртуальный номер телефона.

  • Стараться не указывать свои реальные ФИО, а ограничиться псевдонимом.

  • Стараться не давать ссылки на свои социальные сети в личных кабинетах на сторонних сайтах.

  • Завести отдельную банковскую карту для онлайн-покупок и переводить туда средства только для обеспечения платежа.

  • Не загружать в открытый доступ фотографии документов, карт и т. п.

Итог

Цифровая и IT-безопасность — дорогое, но необходимое мероприятие для всех компаний. Именно поэтому сайт для заказа суши или роллов намного уязвимее, чем любое банковское приложение. Однако компании не должны скупиться на современное оборудование, специалистов в сфере безопасности и программистов, а также на обучение сотрудников, чтобы они умели как минимум распознавать фишинговые письма и ссылки.

Поделиться:
1 комментарий
"Подключить виртуальный номер телефона". Имеется в виду разовый номер? Как тогда получать смс-код в дальнейшем для подтверждения доступа?
Читать дальше
05.09.2023 11:52
Ответ Татьяна Морозова: В статье вот по этой ссылке https://rskrf.ru/tips/eksperty-obyasnyayut/nomer/?utm_source=km мы подробно рассказали об этом.
Читать дальше
06.09.2023 12:04
Наверх

Samsung Galaxy Note 8 (SM-N950F/DS) добавлен к сравнению Всего в списке 3 товара