Электронные базы персональных данных: как защититься от утечек и не потерять репутацию
Как предотвратить потерю данных, защитить информацию и что делать, если мошенникам удалось выкрасть базу.
Audi и Volkswagen теряет данные 3,3 млн клиентов, крупнейшая голландская сеть пиццерий упустила данные 22 % населения страны, вредоносное ПО похитило данные около 1,1 млрд клиентов Alibaba Group Holding. И это новости об утечках персональных данных всего лишь за один месяц. Почти каждая компания работает с информацией о клиентах. Поэтому особенно важно защищать электронные базы персональных данных граждан, которые они формируют. В противном случае и репутация, и бизнес-процессы организации серьезно пострадают.
План статьи
Кому угрожает потеря баз данных, содержащих персональные данные
Остроту проблемы можно проследить не только по заголовкам новостей. В 2020 году мы опросили 1346 представителей коммерческих, государственных и некоммерческих организаций и выяснили, что с утечками информации столкнулись 58 % российских компаний. Из них 21 % учреждений — с потерей баз персональных данных граждан. Наиболее частыми каналами утечек стали почта и устройства хранения.
В ноябре прошлого года в открытом доступе появились данные клиентов и мастеров студии маникюра и педикюра «ПИLКИ», владельцев карт лояльности «КуулКлевер» (магазины «МясновЪ», «ОТДОХНИ» и ресторан «Кухня Полли»), пользователей бизнес-мессенджера Jivo. Но проблема утечки электронных баз персональных данных коснулась не только локальных компаний. Уязвимости нашлись даже у Facebook, LinkedIn и Twitter. Стоит вспомнить, что информация о 1,2 млрд пользователей оказалась в свободном доступе на облаке Google Cloud в 2019 году. Хотя в базе не было паролей и номеров банковских карт, утекшие данные могли сгодиться для фишинга: там находились имена, номера домашних и сотовых телефонов, адреса электронной почты, истории трудоустройства.
Как утекают базы данных с информацией, содержащей персональные данные
Утечка электронной базы персональных данных может произойти по нескольким причинам.
Случайные утечки. Такое случается, когда компании забывают о настройках безопасности, обновлениях, используют уязвимые сервисы. Например, во время локдауна многие организации были вынуждены экстренно внедрять различные решения и онлайн-инструменты. Ради скорости могли пренебречь безопасностью: использовать сервисы, которые злоумышленники взламывали «оптом».
Кибератаки. Если первый вариант не выгорит, хакеры могут прибегнуть к взлому. Получить доступ к ИТ-инфраструктуре проще всего через фишинговые письма: забросить через них вирус-шпион или вирус-шифровальщик. У подобных вредоносных программ много целей и возможностей, в том числе кража ценных баз данных, содержащих персональные данные, потому что это «ликвидный товар». Киберпреступники с помощью вирусов-шифровальщиков не только вымогают деньги за восстановление доступа, но и копируют информацию себе. А потом манипулируют жертвой. Если резервные копии не сохранены, атака приведет к полной потере данных.
Инсайдерские сливы. Это главная причина утечек информации. 80 % опрошенных нами респондентов считают внутренние инциденты наиболее опасными: у сотрудников есть прямой доступ к самым значимым сведениям. Поэтому мошенники ищут сообщников внутри организаций: инсайдеры способны обеспечить доступ или «пробить» нужных людей.
Самые частые нарушители среди специалистов как раз те, кто имеют доступ к ПДн — менеджеры по работе с клиентами. Предотвратить нарушения возможно, но для этого нужно знать хотя бы базовые правила информационной безопасности и ответственно подходить к выполнению рекомендаций от ИБ-специалистов.
Как предотвратить утечку базы данных, содержащей персональные данные
Чтобы защитить электронные базы персональных данных, нужно соблюдать баланс: обучать сотрудников ИБ-грамотности, контролировать работников с доступом к ПДн и своевременно проверять состояние системы.
Вот как можно работать с коллективом:
- Проводите обучение своими силами или привлекайте сторонних ИБ-специалистов. Много информации можно найти в свободном доступе. Расскажите, как работает фишинг и чем опасны рассылки от неизвестных. Напомните о важности сложных паролей, о правилах блокировки ПК, когда сотрудник отлучается с рабочего места.
- Вводите ответственность за разглашение конфиденциальной информации и слив данных. Подпишите с сотрудниками NDA (соглашение о неразглашении секретной информации). Работники должны понимать степень ответственности за раскрытие критической информации.
- Используйте программы для контроля сотрудников. Специализированное решение для этих целей — DLP-система. Она фиксирует не только попытки слить информацию, но и любые другие ИБ-инциденты по вине инсайдеров. Но не забудьте взять письменное согласие работников — этого требует закон. К тому же это нужно, чтобы отстаивать свои права в суде в случае инцидента по вине сотрудника.
Профилактические IT-меры:
- Настройте резервное копирование по расписанию. Оптимально — один раз в сутки.
- Обновляйте устаревшие приложения, так как в новых версиях разработчик устраняет ошибки. Старые версии уязвимы для киберпреступников.
- Регламентируйте использование личных сервисов (почты, облаков). Пароли от персональной почты, по которым сотрудники получают доступ к развлекательному контенту или регистрируются в бонусных программах, могут уже быть в даркнете.
- Не пренебрегайте антивирусной защитой.
- Внедряйте только лицензированный софт и воздержитесь от пиратских программ.
- Отделите гостевую сеть Wi-Fi от сети сотрудников, поставьте длинный и сложный пароль.
- Для доступа к критичным службам и сервисам настройте двухфакторную аутентификацию.
- Пользуйтесь зашифрованными каналами передачи данных (https, ftps, VPN-сервисы).
Как правильно рассказать об утечке
Если разглашение данных уже произошло, не стоит утаивать этот факт. Разослав клиентам предупреждение о возможной утечке, вы дадите им возможность защитить себя постфактум. Например, поменять пароль. А еще так будет больше шансов сохранить репутацию: вы успеете объяснить ситуацию до того, как информация просочится в СМИ.
Основные правила уведомления об утечке базы данных, содержащей персональные данные:
- Оперативно разошлите уведомления об утечке клиентам, партнерам, сотрудникам и (при необходимости) регулятору.
- Сообщение должно быть простым и понятным, без профессиональных ИБ-терминов.
- Не скрывайте масштабов инцидента и расскажите, что за утечкой могут последовать активные действия мошенников.
- Дайте пошаговые рекомендации, чтобы клиенты знали, как себя защитить.
- Заверьте, что вы предпринимаете меры по устранению проблемы.
По нашим данным, все больше компаний не скрывают факт утечки. В 2017 году 86 % организаций замалчивали инциденты, в 2020 году — только 57 %. Положительная динамика обусловлена тем, что мир становится прозрачнее: о потере информации может написать даже мелкий телеграм-канал. Потом этот пост распространится по всему интернету. Важно качественно защищать информацию и быть готовым взять на себя ответственность за утечку ПДн.