Защита от утечек данных в бизнесе: как бороться

Дмитрий Слободенюк

Коммерческий директор компании ARinteg

Утечки персональных данных растут: в России только за первые шесть месяцев 2024 года выявлено 150 новых баз (за аналогичный период 2023-го – 119), опубликованных хакерами в открытом доступе. Это еще 200 млн строк с фамилиями, адресами, паспортными данными и паролями российских граждан, что подчеркивает необходимость усиления мер по защите персональных данных (ПДн). О способах защиты от утечек данных рассказал Дмитрий Слободенюк, коммерческий директор компании ARinteg.   

Последствия утечек данных для бизнеса: потеря доверия, штрафы и судебные иски

Утечки данных могут иметь серьезные последствия для компаний: потеря доверия клиентов, крупные штрафы, судебные иски и финансовые убытки, что может негативно сказаться на репутации и устойчивости бизнеса. Узнав о компрометации своих данных, клиенты теряют доверие к компании и могут перейти к конкурентам, что особенно критично в условиях высокой конкуренции, где клиентская лояльность – один из ключевых факторов успеха. Кроме того, пострадавшие клиенты могут подать на компанию в суд, требуя компенсацию за моральный и материальный ущерб.

Организации, не обеспечивающие надлежащую защиту персональных данных (ПДн), могут столкнуться с крупными штрафами. В Европе по регламенту о персональных данных GDPR штрафы могут достигать 20 млн евро или 4% годового оборота компании, в зависимости от того, что больше. 

Во втором квартале 2024 года один из крупнейших банков Испании, Santander Bank, подвергся кибератаке. Группировка хакеров ShinyHunter взломала системы банка и похитила личные данные клиентов, включая номера карт, счета, полные имена и информацию о гражданстве. На данный момент эти данные выставлены на продажу за $2 млн. Этот инцидент подчеркивает критическую важность защиты данных и необходимости регулярного мониторинга и обновления систем безопасности.

В России также готовятся ввести оборотные штрафы за утечки ПДн. Поправки предполагают значительное повышение штрафов за утечки персональных данных — с нынешних 100 тысяч до 15 млн рублей, если утечка затронет более 100 тыс. граждан, а также возможность назначать оборотные штрафы за повторное нарушение в размере от 0,1 до 3% выручки, но не менее 15 млн рублей и не более 500 млн рублей. 

Комплексный подход

Предотвращение утечек данных требует комплексного подхода, включающего регулярное обучение сотрудников, внедрение современных технологий защиты, проверку эффективности принятых мер и их корректировку. 

Повышение киберграмотности 

Регулярное обучение сотрудников и повышение их осведомленности о важности информационной безопасности — первый шаг к предотвращению утечек данных. 

В компании необходимо иметь четкое представление о том, какую именно информацию считают конфиденциальной и хотят защищать, какая у нее модель угроз (имеется в виду не только утечка конкретного защищенного документа, но и хранение запрещенной или опасной информации на серверах и устройствах сотрудников, посещение потенциально опасных сетевых ресурсов и т.п.). 

Необходимо разработать и внедрить политику информационной безопасности, регламенты, с которыми знакомятся сотрудники под подпись, а также проводить обучение как в теории, так и на практике. Также можно использовать готовые курсы по информационной безопасности и адаптировать их под свои нужды. 

Не стоит забывать про важность киберучений с тестовыми фишинговыми атаками —  это позволит выявить уязвимые места и научить «отличившихся» сотрудников правильно реагировать на угрозы. 

Внедрение системы защиты от утечек и разграничивать доступ к данным 

Системы защиты от утечек конфиденциальной информации (DLP) при установке «в разрыв» позволяют моментально предотвращать утечки, блокируя передачу за пределы организации чувствительной информации. Причем DLP-системы способны автоматически контролировать даже запароленные архивы, которые считаются одним из распространенных каналов утечки конфиденциальной информации. 

Ограничение доступа к данным и предоставление сотрудникам доступа только к необходимой для работы информации значительно снижает риск утечек. Неслучайно Роскомнадзор настаивает на «дроблении» персональных данных: имя, телефонный номер и покупки теперь должны храниться в базах данных, что затрудняет их привязку к конкретному гражданину. Стоит минимизировать перечень обрабатываемых персональных данных, используя только те, что действительно необходимы для оказания услуги. 

Защита от кибератак и регулярные пентесты 

От вредоносов, которые могут проникнуть через сотрудников в корпоративную сеть, тоже необходимо защищаться. Если говорить про минимально необходимый набор защиты ИТ-инфраструктуры, то он будет выглядеть примерно так: межсетевые экраны (Firewall, NGFW), антивирусы на рабочих станциях и серверах, защита на почте и DLP-решения. 

После этого можно посмотреть в сторону систем управления событиями информационной безопасности (SIEM), которые анализируют логи различных средств защиты и выявляют подозрительные активности. Для максимальной эффективности SIEM необходимо интегрировать с различными средствами защиты, настроить правила корреляции, чтобы своевременно реагировать на угрозы. Еще лучше использовать системы реагирования на инциденты (SOAR), которые дополняют возможности SIEM. 

Кроме того, стоит ежегодно проводить пентесты — тестирования на проникновение путем моделирования реальной хакерской атаки. Они помогут оперативно выявить уязвимости и повысить общую киберзащищенность компании. 

Сотрудники отдела ИБ при этом ведут постоянный мониторинг потоков информации, который позволяет им предотвращать и расследовать инциденты, усиливать систему защиты необходимыми новыми функциями. 

Помощь со стороны 

Киберпреступность растет, и вместе с ней увеличивается количество инцидентов, связанных с утечками конфиденциальной информации. Поэтому только комплексный подход к защите данных, включающий обучение сотрудников, внедрение современных технологий позволяет минимизировать риски. 

Помочь компаниям в построении такой всесторонней защиты, включая разработку документов, поставку оптимальных для нее современных средствах защиты информации, а также провести работы по установке и настройке этих средств, способны системные интеграторы в сфере информационной безопасности. 

Как показал недавний опрос россиян, около 40% жителей больших городов хотели, чтобы их ПДн были защищены всеми доступными способами. Проверить, утекли ли данные, можно на сайте, созданном при поддержке Национального координационного центра по компьютерным инцидентам (НКЦКИ). 

В нынешних условиях, когда ведутся кибервойны, а законодатели ужесточают требования, компаниям стоит серьезнее относиться к вопросам информационной безопасности и предпринимать все возможные меры для защиты своих данных и данных своих клиентов.