Утечка информации: как защитить свой бизнес
Фото: freepik
Если с финансовыми потерями все понятно, то репутация компании, по мнению Томаса Гэда, представляет собой своего рода «вакцину от несчастья» или, согласно Грэму Даулингу, «страховой полис на случай кризиса».
В 2023 году российский бизнес столкнулся с серьезной киберугрозой – масштабными утечками конфиденциальной информации, происходящими ежемесячно. По данным ГК «Солар», каждая утечка в среднем приводит к потере от 5,5 миллионов рублей для крупных компаний и государственного сектора. Эта оценка включает прямые финансовые потери, но не учитывает потенциальные репутационные убытки и штрафные санкции. Утечки информации наиболее часто затрагивают компании в сфере розничной торговли (37%), финансового сектора (20%) и игровой индустрии (10%). Сейчас общий объем опубликованных данных составляет 91,8 ТБ.
Даже потеря 5% конфиденциальных данных из-за утечек может повлечь утрату лидирующих позиций компании на рынке. Репутационные риски трудно прогнозировать, но они тесно связаны с финансовыми потерями, так как отрицательное восприятие компании прямо влияет на уменьшение доходов. Согласно оценкам экспертов ГК «Солар», более 55% расходов на устранение последствий таких инцидентов тратятся на решение проблем, связанных с репутационными потерями.
Ирина Муравьева, юрист-практик, основатель Академии правовых и финансовых советников:
- Масштабы утечки данных в последние годы откровенно напрягают. Только из российских финансовых организаций в 2023 году утекло 170,3 млн записей персональных данных клиентов – это в 3,2 раза больше, чем в 2022 году. И это без учета платежных данных. По сравнению с 2021 годом показатель подскочил почти в 57 раз.
В целом же большинство утечек в 2023 году было зафиксировано в сегменте малого и среднего бизнеса. Государство ожидаемо реагирует ужесточением ответственности за нарушение работы с персональными данными и введением оборотных штрафов.
В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тысяч рублей, а при повторном нарушении – до 300 тысяч рублей. Законопроект также предусматривает введение административной ответственности за неисполнение или несвоевременное исполнение оператором персональных данных законодательных обязанностей по уведомлению уполномоченного органа по защите прав субъектов персональных данных.
В январе этого года Государственная Дума приняла в первом чтении законопроекты, которые предусматривают административную и уголовную ответственность за утечки персональных данных. По сообщению главы комитета Государственной Думы по информационной политике Александра Хинштейна, с момента представления проекта закона 4 декабря прошлого года Роскомнадзор зафиксировал 18 случаев утечки персональных данных, содержащих более 517 миллионов записей о гражданах РФ. С начала текущего 2024 года уже было зафиксировано восемь случаев. Общая сумма собранных штрафов составила менее пяти миллионов рублей.
В предложенных поправках к законодательству указано, что при утечке данных, затрагивающей от 1 тыс. до 10 тыс. субъектов, юридическое лицо может быть оштрафовано на сумму от 3 до 5 миллионов рублей. Если данные утекли от 10 тыс. до 100 тыс. субъектов, штраф составит от 5 до 10 миллионов рублей, а если более 100 тыс. человек – от 10 до 15 миллионов рублей. Также предусматриваются штрафы за повторные случаи утечек – для граждан в размере от 400 тыс. до 600 тыс. рублей, для должностных лиц от 2 миллионов до 4 миллионов рублей, и для юридических лиц от 0,1% до 3% выручки за календарный год или от 15 миллионов до 500 миллионов рублей.
Ирина Муравьева, юрист-практик, основатель Академии правовых и финансовых советников:
- Как правило, лучше всего меры защиты работают в комплексе. Так, для защиты коммерческой тайны (далее – КТ), компания должна:
- определить нормативно, что попадает по понятие КТ и ввести соответствующий режим в компании;
- закрепить перечень лиц, имеющих доступ к конфиденциальным данным, и вести их учет;
- разработать порядок обращения с КТ и контроля за его выполнением;
- создать условия для сохранения конфиденциальной информации (определить места для хранения ценной документации, разграничить доступы, обеспечить использование паролей в CRM и т.д.);
- обозначить соответствующие документы и информацию грифом «коммерческая тайна»;
- ознакомить сотрудников с принятыми документами по вопросу соблюдения КТ.
Соблюдение процедуры введения режима КТ имеет огромное значение для дальнейшей защиты компании в случае судебных разбирательств.
Юридическую защиту важной для бизнеса информации обеспечивают законодательство, внутренние документы (положения, приказы и другие регулирующие акты), договоры с работниками и контрагентами, а также личная ответственность.
Нормативное регулирование вопроса конфиденциальности и применяемой ответственности установлено законами, а вот внутренние документы компания разрабатывает и принимает, исходя из своих целей. Они позволят защитить интересы организации в случае утечки данных. Договоры же помогут отстоять интересы бизнеса не только в отношениях с сотрудниками, но и партнерами, например, агентами.
Ответственность, установленная российским законодательством за нарушение режима конфиденциальности:
- дисциплинарная – увольнение, замечание или выговор (ст. 192 ТК РФ);
- материальная – полное возмещение причиненного ущерба (ч. 7 ст. 243 ТК РФ);
- административная – штрафы до 5 000 рублей для должностных лиц(ст. 13.14 КоАП РФ);
- уголовная – штраф до 1,5 млн рублей или лишение свободы до 7 лет (ст. 183 УК РФ).
Технические методы защиты информации включают в себя несколько важных шагов, главным из которых является регулярное создание резервных копий самой значимой информации. Также необходимо обеспечить дублирование вспомогательных компонентов информационной системы, связанных с хранением данных, и рассмотреть возможность экстренного перераспределения сетевых ресурсов в случае возникновения проблем или потери работоспособности отдельных компонентов. Планирование резервных источников питания для системы также является важным аспектом технической защиты.
Аутентификация и идентификация – два ключевых подхода к обеспечению информационной безопасности, которые основаны на ограничении доступа к веб-ресурсам. Идентификация связана с получением уникального идентификатора пользователя в системе, а аутентификация позволяет проверить пользователя на истинность с использованием известных методов или идентификаторов в системе.
Существуют различные средства для защиты информации, включая аппаратные, программные, криптографические и физические. Аппаратные средства представлены различными электронными, электрическими и лазерными устройствами, многие из которых используют токены для работы. К программным средствам относятся ПО для ограничения доступа, проверки, блокировки трафика и управления сетью. Криптографические средства – это различные программы и службы для кодирования и шифрования информации. Физические средства включают преграды физического характера: сейфы и изолированные помещения.
Методы и средства защиты информации должны быть адаптированы под конкретные угрозы и включать комплекс системы защиты информации. Одной из типичных проблем безопасности является утечка данных, для предотвращения которой могут использоваться DLP-системы: они обеспечивают защиту, а также предоставляют подробную статистику по рабочим процессам и действиям пользователей.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:
- Прежде чем говорить о защите информации, необходимо понять, от чего мы будем ее защищать. Специалисты по защите информации сформулировали три столпа своей работы – целостность, доступность и конфиденциальность. Вот по этим трем направлениям, как правило, и ведется работа.
Целостность – это обеспечение невозможности подмены или порчи данных. Для решения этой задачи используются всевозможные средства контроля.
Доступность – это сохранение возможности получения информации. Тут можно вспомнить всевозможные атаки на отказ в обслуживании (DDoS), которые не крали данные, но делали невозможным доступ к ней для легитимных пользователей.
Ну и наконец конфиденциальность – самая, на мой взгляд, сложная проблема. Необходимо гарантировать приватность данных при их хранении, передаче и использовании. Здесь требуется рассматривать широчайший спектр технических решений, потому что кража данных возможна буквально на каждом этапе их использования.
В арсенале специалистов по информационной безопасности есть решения по огромному количеству направлений и вопрос, как правило, заключается в том, что мы считаем самой серьезной угрозой нашим данным и сколько у нас есть денег, чтобы безопасность данных обеспечить. Классические антивирусы или межсетевые экраны – это, конечно, только вершина айсберга. Сегодня на рынке есть решения практически под любую задачу – контроль использования информационных ресурсов, обнаружение утечек данных по каналам связи, сбор событий безопасности с различных источников и еще очень много всего. Перед специалистами по защите информации стоит вопрос решения, которое следует выбрать, и поиска денег на его закупку, внедрение и обслуживание.