Утечка персональных данных из банков: чья вина и что делать?

Что представляют собой утечки данных? Насколько они опасны?

Утечка данных означает попадание конфиденциальной информации к лицу, которое не имеет к ней легитимного доступа, в частности, персональных данных, коммерческой или государственной тайны в открытый доступ или к конкурентам. В случае утечки данных организация может столкнуться с рядом неприятных последствий – от штрафных санкций со стороны государственного регулятора и потери своей репутации до перехода клиентов к конкурентам и коллективного иска со стороны пострадавших.

Более того, в России предусматривается специальная мера ответственности для компаний, являющихся операторами персональных данных, но не использующих соответствующие меры защиты информации. То есть штраф можно получить даже без наличия доказанного факта утечки. По состоянию на 2015 год он небольшой и составляет всего 5000 рублей, но в ближайшем будущем ситуация может измениться.

Утечка данных может не только испортить репутацию компании, но и обернуться финансовыми потерями

https://www.youtube.com/watch?v=https:tv.youtube.com

Кроме этого, утечки в любом случае наносят серьезный ущерб. Так, случившаяся осенью 2015 года утечка с сайта “Кинопоиск” привела к публикации планов о развитии компании, структуре сервиса и другой конфиденциальной информации, что повлияло на конкурентные позиции компании на рынке и привело к многомиллионным потерям.

На разработку нового дизайна и функционала “Кинопоиска” команда “Яндекса” потратила несколько миллионов долларов. По крайней мере, так заявляют СМИ. Другой факт – сотрудники “Яндекса” нарушили соглашение о неразглашении, допустили утечку данных и уволились из компании. В итоге сервис работает на старом движке, деньги потрачены, отдачи от вложений “Яндекс” не получил. Есть ли в данном случае прямая связь между утечкой и финансовыми потерями? Считаю, что есть.

1. Централизованная система хранения данных

Один из лучших способов избежать утечки данных — убедиться, что конфиденциальная информация не разбросана по всем цифровым устройствам предприятия, включая смартфоны сотрудников и USB-флешки. Особенно важные данные, например банковские реквизиты, не должны храниться на ноутбуках или внешнем жестком диске во избежание их физического похищения.

3. Тренинги персонала по информационной безопасности

Утечки можно разделить по вектору воздействия и по намерениям.

Утечка персональных данных из банков: чья вина и что делать?

Согласно первому признаку компрометация данных бывает вызвана действиями сотрудников компании и называется инсайдерской атакой. В случае внешнего вектора воздействия утечка происходит в результате хакерской атаки, По данным Аналитического центра InfoWatch, большинство инцидентов происходит именно по вине сотрудников компаний.

Второй фактор позволяет классифицировать инсайдерскую активность: внутренние утечки бывают злонамеренными и ненамеренными. То есть сотрудники могут специально красть конфиденциальную информацию и передавать ее третьим лицам, либо делать это случайно: из-за недостаточной квалификации, в связи с халатностью или из-за отсутствия четких корпоративных правил работы с информацией.

Как уже было сказано выше, если бы Егор смог вовремя распознать попытку фишинга, его аккаунт не был бы взломан, и информация осталась неприкосновенной. Поэтому важно обучить своих сотрудников основам кибербезопасности, чтобы в случае попытки взлома они могли не только распознать атаку, но и грамотно ей противодействовать.

Хоть такие элементарные средства сетевой безопасности, как антивирусы или брандмауэры, не остановят опытного хакера от взлома базы данных компании, они могут помочь минимизировать потери. Установка таких программ и их регулярное обновление необходимы, чтобы распознавать наиболее очевидные угрозы и своевременно предпринимать шаги по их нейтрализации.

— внешний анализ сети и периметра;— тест на проникновение;— внутреннее тестирование сети;— поиск уязвимостей и эксплуатация;— тестирование web-сайтов компании;— тестирование мобильных приложений компании;— отчет о тестировании и рекомендации.

Разумеется, лучше всего работу по защите от хакерских атак способны выполнить те, кто знаком с оборотной стороной процесса, что называется «знает врага в лицо». Поэтому агентство OLIT тесно сотрудничает с White-hacker.io, которые, как ты мог догадаться из названия, являются хакерами «наоборот» (их еще называют «белыми» хакерами).

Если злоумышленник нацелен взломать твою систему безопасности для похищения ценных данных, фактически нарушая закон, то «белые» хакеры делают эту защиту максимально неприступной, используя те же навыки, но только в легитимных и благих целях. И если ты владелец небольшого бизнеса, то не стоит думать, что кибератака тебе не угрожает.

Заказать тестирование информационной безопасности→

2. Ограниченный доступ сотрудников к конфиденциальной информации

Представь себе следующий корпоративный сценарий. Егор — сотрудник call-центра компании, отвечающий на жалобы клиентов по поводу заказов. Выполняя свои профессиональные обязанности, он должен иметь возможность просматривать учетные записи клиентов и истории их заказов. Тем не менее Егор также имеет неограниченный доступ к данным платежных карт клиентов по причине того, что штатный айтишник, раздавая учетные права, забыл ограничить ему доступ к этой информации.

И вот однажды Егор открывает неопознанную ссылку в своем электронном ящике и, послушно следуя инструкции, натыкается на фишинг. А через пару дней кто-то под учетной записью Егора крадет данные платежных карт каждого клиента компании.

Пусть данный способ хакерского проникновения описан несколько архаично, тем не менее он демонстрирует важную закономерность: поскольку сотрудник call-центра не должен был иметь доступ к конфиденциальной информации, он не обладал нужными знаниями по информационной безопасности предприятия. В результате произошла утечка важных данных, которую можно было предотвратить несколькими способами.

Но первое, что необходимо сделать, — это предоставить каждому сотруднику доступ лишь к тем данным, которые непосредственно связаны с его должностными функциями. Таким образом, удастся поддерживать «политику эксклюзивных прав», при которой доступ к конфиденциальной информации имеет только узкий круг лиц.

Неважно, уволился работник по собственному желанию или нет, остались вы при этом хорошими друзьями или теперь не будете здороваться, в любом случае следует лишить его доступа к любой конфиденциальной информации предприятия. Собственно, почему это важно для кибербезопасности — и так понятно, но на всякий случай напомним тебе уместную в данном случае английскую поговорку: Caution is the parent of safety.

Как происходит утечка?

Эксперты InfoWatch отмечают, что большая часть утечек происходит через каналы, которые можно контролировать техническими средствами. В российских компаниях до сих пор утечки происходят, как правило, по одному из двух каналов: через интернет или на бумаге. В 37% случаев сотрудники просто отправляют информацию с рабочего компьютера, например, в облако или через веб-интерфейс личной почты, а в 35% просто распечатывают конфиденциальные документы и уносят их с собой.

Менее популярными, но все же реальными каналами утечек являются также USB-носители информации и мобильные устройства, которые сегодня используют практически все сотрудники компаний, независимо от их должности и служебного положения.

Что делать, если мои персональные данные появились в интернете?

Исследователи InfoWatch отмечают, что в России реже, чем во всем мире, утекают платёжные данные. Коммерческие данные — примерно в том же объёме, что в целом по миру. А вот персональные данные составляют более 80% утечек.

Аналитики объясняют это тем, что компании, которые обрабатывают информацию о платежах, активно используют ИТ-решения для защиты данных. Операторы персональных данных пока этим не отличаются.

«На фоне обозначившегося общемирового тренда на ужесточение административной ответственности за компрометацию сведений личного характера регуляторная политика в России по-прежнему выглядит довольно мягкой», — отмечают исследователи.

Для начала определимся с тем, какие данные считаются персональными. В России Федеральный закон «О персональных данных» (№ 152-ФЗ) гласит, что персональные данные – это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» (ст. 3). То есть ваше имя, возраст, вес, состояние здоровья и любая другая информация о вас – это персональные данные, защищенные законом.

Утечка персональных данных из банков: чья вина и что делать?

В некоторых случаях эта информация может использоваться без согласия субъекта персональных данных, например, при расследовании по уголовному делу. Однако в большинстве случаев требуется согласие на обработку персональных данных. В Интернете вы «подписываете» его, например, соглашаясь с условиями использования социальной сети.

Однако далеко не всегда персональные данные публикуются в сети законно. В некоторых случаях злоумышленники крадут личную информацию с помощью методов социальной инженерии, фишинга и т.д. В дальнейшем незаконно полученные данные могут быть опубликованы в Интернете или проданы. К наиболее интересным для злоумышленников данным относятся номер мобильного телефона и адрес электронной почты (для последующей рассылки спама и фишинговых сообщений), а также паспортные данные, почтовый адрес, номера банковских счетов и кредитных карт.

Если кто-то опубликовал ваши персональные данные без вашего устного или письменного согласия – это (как правило) нарушение КоАП РФ (статья 13.11). В случае обнаружения в Интернете сайта, на котором незаконно опубликованы ваши данные, рекомендуем вам обратиться в Роскомнадзор. Для этого не обязательно идти в территориальное управление организации, можно отправить электронное обращение.

В случае обнаружения нарушений Роскомнадзор может выписать предписание об удалении ваших данных с сайта. Также можно обратиться в прокуратуру. В Москве и Московской области, как и в других регионах России, действуют интернет-приемные прокуратуры, поэтому обращение можно направить в электронном виде.

Если персональные данные были добыты путем взлома электронной почты или аккаунта в соцсети, обращаться следует уже в Следственный комитет, поскольку это уже не административное, а уголовное преступление (ст. 138 УК РФ, «Нарушение тайны переписки»). Обратиться в СК РФ можно через официальный сайт госоргана, выбрав на интерактивной карте нужный регион и открыв страницу интернет-приемной.

Правда, необходимо отметить: СК РФ может отказать в возбуждении уголовного дела, особенно когда лицо, нарушающее закон, не определено и нет сведений об ущербе, который был причинен разглашением личной информации. Если Следственный комитет отказал в возбуждении дела, вы можете обжаловать это решение в прокуратуре.

Что делать, если мои персональные данные появились в интернете?

По состоянию на 2015 год в России нет закона, требующего раскрывать данные об утечках ни перед клиентами, ни перед СМИ. Поэтому при возникновении утечки необходимо в первую очередь проанализировать, как утеря данных может повлиять на деятельность организации, и принять превентивные меры, а также внедрить соответствующие системы безопасности, которые помогут закрыть обнаруженный канал утечек.

Однако следует помнить, что в России утечки часто остаются незаметными не только для СМИ, но и для самих пострадавших компаний. Например, в ходе пилотных внедрений системы контроля трафика InfoWatch Traffic Monitor Enterprise в 2014 году были выявлены случаи утечек (как внутренних, так и внешних), о которых сами компании ничего не знали.

Какие решения можно применять для противодействия утечкам?

Поскольку основная причина утечек – действия инсайдеров, защита от утечек подразумевает установку средств защиты от внутренних угроз. Для этого применяются системы класса DLP (Data Leakage Prevention).

Существуют специальные решения

для установки на пользовательских системах

(

компьютерах

, ноутбуках,

планшетах

и

смартфонах

), которые ограничивают работу с

USB

, не позволяют передавать рабочие файлы в интернете, а также предоставляют данные о действиях пользователей, чтобы проводить централизованные расследования.

Второй тип систем представляет собой специальное ПО или оборудование для шлюзов, которое анализирует весь трафик, выходящий за пределы компании. После тщательной настройки, такие системы позволяют обнаружить передачу конфиденциальной информации в момент отправки данных, пресечь факт нарушения и выявить виновных.

Все перечисленные средства защиты дополняют системы разграничения прав доступа и шифрования данных. Такие решения не позволят пользователю обращаться к данным, которые не нужны ему в работе, а также обеспечивают защиту данных от перехвата при передаче по открытому интернету, а также не позволяют прочитать конфиденциальную информацию в случае утери мобильного устройства или USB-накопителя.

Не стоит расслабляться

Стоимость защиты от утечек данных будет сильно зависеть от выбранной стратегии, количества защищаемых рабочих станций и мобильных устройств, мощности установленных средств фильтрации трафика на шлюзе, наличия дополнительных элементов, таких как защита данных в облачных хранилищах или контроль запуска приложений.

По мнению президента Ассоциации российских банков (АРБ) Гарегина Тосуняна, проблема будет лишь нарастать. Эпоха значительного электронного взаимодействия манит в том числе злоумышленников – они будут стремиться вторгнуться в нее.

Он отметил, что банковский сектор регулярно имеет дело со всем перечисленным, поэтому одновременно с расширением спектра рисков в сфере информационной безопасности больше становится инструментов для противодействия мошенникам.

Говоря о последней громкой утечке данных, Тосунян предположил несколько версий инцидента, среди которых:

  • недобросовестная конкуренция;
  • криминальные мотивы;
  • выражение персоналом банков протеста либо недовольства.

Заместитель начальника службы информбезопасности банка «Возрождение» Василий Окулесский не сомневается, что речь идет об инсайде. Утечки однозначно допущены при участии банковских сотрудников. Он якобы располагает сведениями, что обнародование данных 800 тыс. клиентов были вызваны «чистой безалаберностью», тогда как в основе оставшихся двух «кейсов» лежали преднамеренные действия.

Порядок сбора, обработки и хранения персональных данных определяет ФЗ-152 «О персональных данных». Статья 13.11 Кодекса об административных правонарушениях описывает нарушения и наказания.

https://www.youtube.com/watch?v=ytadvertiseru

Основатель и технический директор компании DeviceLock Ашот Оганесян отмечает, что не существует простого решения, которое разом защитит данные компании. Например, хранилище может находиться внутри сети, но если оно неправильно сконфигурировано, туда легко проникнуть, а шифрование не защитит информацию от инсайдеров, у которых есть ключи.

В 2018 году DeviceLock обнаружила в рунете около тысячи открытых облачных баз данных. Всего компания исследовала 1900 серверов. В более чем половину из них сторонний пользователь мог попасть несанкционированно, а 4% уже были взломаны хакерами.


Интерфейс DLP-системы DeviceLock

Также компания должна разработать регламенты по работе с конфиденциальной информацией и персональными данными, затем систематически обучать сотрудников соблюдать их. Чтобы злоумышленники не получили данные через открытые сервера, необходимо проверять системы хранения данных.

Это покажет недоделанные API, которые позволяют неавторизованному пользователю войти в базы данных, забытые сервера с лог-файлами или резервными копиями.

Базы без хозяев

В июне 2019 года компания DeviceLock обнаружила в интернете базу клиентов нескольких банков, в том числе две базы «Альфа-банка». В открытом доступе оказались данные более 55 тысяч клиентов: ФИО, телефоны, частично — паспортные данные. Часть базы оказалась актуальной и на сегодня.

Проверка Генеральной прокуратуры утечку не выявила. Официальный представитель ведомства добавил, что Роскомнадзор ограничил доступ к форуму, где опубликовали базу. Официально банк не подтвердил, что данные принадлежат ему.


Распределение утечек по виновнику, Россия, 2018 год

Исследование InfoWatch

В июле РБК обнаружило в открытом доступе базу данных клиентов Ozon: около 450 тысяч адресов электронной почты и паролей от личного кабинета. 30 тысяч аккаунтов оказались подлинными.

Роскомнадзор посчитал, что так как владельцы аккаунтов не обращались в ведомство, фактически права субъектов персональных данных не нарушены. Представитель Ozon объяснила, что компания ранее обнаружила базу данных и проверила её.

Какова статистика утечек в российских компаниях за последние годы? Какие компании находятся в зоне риска?

По данным аналитического центра InfoWatch, Россия уже два года подряд занимает второе место в мире по числу утечек. При этом уже несколько лет наблюдается их стабильный рост. В частности, в 2014 году количество российских утечек данных выросло на 25%. За этот же период объем скомпрометированных данных увеличился более чем в 2,5 раза, в результате за год в России утекло более 8 миллионов записей о персональных данных россиян, которые представляют собой самую привлекательную категорию конфиденциальной информации для злоумышленников. Утечки персональных данных составляют 90% всех инцидентов подобного рода.

При этом основным источником утечек данных является средний и малый бизнес, на который приходится 71% от общего числа утечек. Как отмечают в InfoWatch, наиболее интересными целями для злоумышленников являются организации финансового сектора – банки и страховые компании. В 2014 году на их долю прошлось 20% всех утечек. Тем временем, персональные данные чаще всего утекали из интернет-сервисов и образовательных учреждений, где они наименее защищены.

Фармацевтическая компания «Пульс», «1С-Битрикс», ИТ-компании Modum Lab, «Аскон» от комментариев отказались, сославшись на конфиденциальность информации.

https://www.youtube.com/watch?v=ytaboutru

#утечкиданных#безопасность

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

Adblock detector