Немного статистики
Большинство утечек происходит из крупных онлайн-компаний. Так, за последние три месяца инциденты с утечкой персональных данных произошли у девяти крупных российских компаний, а количество раскрытых учетных записей превысило 10 млн. Однако 67% организаций предпочитают держать информацию в тени и избегают публичных комментариев по этому поводу («СёрчИнформ»).
Более четверти от всех инцидентов с конфиденциальными данными происходят в компаниях ритейла. Каждый 12-й инцидент приходится на финансовые и ИТ-компании. Утекает все — исходные коды проектов, техническая и административная документация, медицинские сведения, паспортные данные, адреса электронной почты и т. п. Так, в мае 2023 года на теневом форуме выставили на продажу базу данных клиентов, предположительно, медицинской лаборатории «Гемотест». По заявлению продавца, в базе 31 млн строк, содержащих: ФИО, дату рождения, адрес, телефон, адрес электронной почты, серию/номер паспорта и т. п.
Человеческий фактор оказывается решающим
Как говорится, в любой, даже самой защищенной, компьютерной системе наиболее уязвимым звеном является пользователь.
Правда, на сегодня число намеренных сливов данных сотрудниками компаний отошло на второй план. В основном хакеры проникают на серверы компаний вследствие невнимательности тех сотрудников, которые не соблюдают информационную безопасность. На достижение цели киберпреступникам нужно в среднем семь дней («РТК-Солар»).
Сомнительные письма от якобы коллег с вложениями, клоны корпоративно-административных ресурсов и прочие ухищрения открывают мошенникам даже самые надежные засовы.
По мнению 94,4% наших читателей, «сливы» происходят вследствие недобросовестности персонала.
В этом году большинство взломов осуществляли хакерские группировки «со стажем». Например, к сливу данных «Литреса» на теневом форуме имеют отношение те же личности, что сливали базы «СберЛогистики», Delivery Club и многих других менее крупных компаний.
Получается, что сотрудники взломанных организаций сами узнают об утечках только через некоторое время после инцидента. А у многих компаний даже нет инструментов для проверки того, был ли осуществлен «слив». Поэтому они могут несколько дней отрицать факт, пока не подтвердят «слив» с помощью сторонних специалистов. Бывает, что о проблеме люди узнают из новостей раньше, чем сами компании, чьи данные утекли.
Как компании защищают данные
Среди базовых принципов обеспечения информационной безопасности на серверах компании можно отметить:
-
минимизацию перечня собираемых и обрабатываемых ПД;
-
раздельное хранение различных категорий ПД;
-
хранение не записей, а идентификаторов, указывающих на человека;
-
отказ от практики накопления персональных данных;
-
использование необходимого ПО;
-
своевременное информирование Роскомнадзора о признаках и наступивших инцидентах.
Рекомендации из этого перечня реализуются далеко не всегда. Так, 30% российских компаний из топ-100 не обладают профессиональной защитой от DDoS-атак на уровне приложений (StormWall).
По закону компании, выступающие в роли операторов персональных данных, должны обеспечить их сохранность. Получается, что среднестатистический ИП-оператор должен обеспечить четвертый или, в случае с биометрическими данными, третий уровень защищенности персональных данных.
Для этого необходимо:
-
организовать режим обеспечения безопасности помещений с базами данных;
-
обеспечить сохранность носителей персональных данных;
-
утвердить документ, определяющий перечень лиц с доступом к персональным данным;
-
использовать средства защиты информации (антивирусы и прочие системы).
Помимо рекомендаций Роскомнадзора и профильных организаций, компании сами в состоянии ввести у себя правила работы с базами данных и безустанно обучать сотрудников цифровой грамотности, чтобы минимизировать риски открывания фишинговых сообщений. Тем самым серверы компании получат сильное противодействие к вирусному ПО.
Как пользователям защитить свои данные
В наши дни пользователям цифровых сервисов стоит осознавать потенциальные риски утечки их информации. Причем 100% гарантии защиты не даст ни одна компания, где пользователь оставляет свои данные, заполняя различные формы регистрации на сайтах и в приложениях.
Пользователь может контролировать ситуацию только на этапе передачи данных. То есть решать, кому и какие передавать данные и как это будет происходить, — для этого следует ознакомиться хотя бы бегло с политикой конфиденциальности и при необходимости задать вопросы разработчикам.
Но когда данные уже переданы, то тут контролировать, к сожалению, ничего не получится. Поэтому остается только проверять, куда и кому вы направляете свои данные, и быть осведомленным о методах социальной инженерии — ведь мошенники так ловко ими пользуются.
Согласно опросу, проведенному на портале Роскачества в сентябре 2022 года, 89,5% пользователей не чувствуют, что они защищены от краж и утечек персональных данных в Сети.
В целях собственной информационной безопасности пользователю рекомендуется:
-
Завести отдельный почтовый ящик для регистрации на разных сайтах.
-
Подключить виртуальный номер телефона.
-
Стараться не указывать свои реальные ФИО, а ограничиться псевдонимом.
-
Стараться не давать ссылки на свои социальные сети в личных кабинетах на сторонних сайтах.
-
Завести отдельную банковскую карту для онлайн-покупок и переводить туда средства только для обеспечения платежа.
-
Не загружать в открытый доступ фотографии документов, карт и т. п.
Итог
Цифровая и IT-безопасность — дорогое, но необходимое мероприятие для всех компаний. Именно поэтому сайт для заказа суши или роллов намного уязвимее, чем любое банковское приложение. Однако компании не должны скупиться на современное оборудование, специалистов в сфере безопасности и программистов, а также на обучение сотрудников, чтобы они умели как минимум распознавать фишинговые письма и ссылки.
