Кража конфиденциальной информации

Утечки конфиденциальной информации: почему их все больше и как с ними бороться

Кража конфиденциальной информации

За первое полугодие 2019 года в мире число утечек конфиденциальных данных выросло на 22% по сравнению с аналогичным периодом 2018 года. В России — на 61%.

При этом аналитики, работающие в сфере информационной безопасности и собирающие эти данные, изучают только публичные случаи таких происшествий, которые нашли отражение в СМИ.

По их оценкам, в публичное поле попадает не более 1% происходящих в мире утечек.

Но даже по этому проценту, по мнению Натальи Касперской, можно делать далеко идущие выводы — о сущности утечек, их динамике, каналах, о том, как меняются их характер и частота.

Слишком быстрая цифровизация — как причина роста утечек

Мы собираем информацию о таких происшествиях с 2004 года. И все 15 лет видим, что их количество только растет. Причина роста — слишком быстрая цифровизация.

Государственные услуги, финансы, медицина, добыча и переработка полезных ископаемых — все это быстро становится цифровым и вместе с новыми возможностями порождает новые угрозы, новые “дыры” в защите корпораций.

После этого происходят масштабные “сливы” оцифрованной информации.

Рост их числа хорошо ощутим, если посмотреть на количество утекших записей пользовательских данных (это персональные данные и записи платежной информации). За 2018 год, по данным нашего аналитического центра, в мире утекло 7,28 млрд записей. А за первое полугодие 2019-го уже 8,74 млрд.

То есть за половину нынешнего года мы перекрыли показатель всего предыдущего. В процентных показателях это значит, что за первую половину 2019 года утекло на 266% больше записей, чем за первую половину 2018-го.

Таким образом, растет не только количество утечек, но и сами они становятся масштабнее, чем раньше.

Ситуация в России

В России в последние три-четыре года динамика таких происшествий выше, чем была раньше. Думаю, это связано с повышенным вниманием СМИ и общества к этой теме. Важность защиты информации становится все более очевидной для различного рода организаций, а не только для банков и спецслужб.

Но вообще, в разных странах разная корреляция предполагаемой картины утечек с набором инцидентов, попадающим на страницы прессы.

Например, в англосаксонских странах существуют законы, согласно которым компании обязаны оперативно уведомлять органы о допущенных утечках. Именно поэтому США занимают в мировом распределении утечек львиную долю.

Российское законодательство не требует раскрытия этих данных, так что у нас в публичное поле попадает намного меньший процент таких происшествий, чем в США.

По нашему опыту, “призма прессы” может преломлять картину утечек по-разному. Например, находясь в России, мы будем получать более полную картину сообщений о них на русском языке по сравнению с сообщениями из немецких или китайских источников.

В результате Россия в отчетах отечественных аналитиков будет стабильно занимать второе место. Если бы мы работали в Германии и внимательно изучали немецкие источники на предмет “слива” информации, то на втором месте вполне могла быть Германия. Таким образом, статистика регионального распределения несколько искажена.

Но зато в каждом отдельном регионе мира картина будет довольно точной для данного региона.

Мы делали детальные отчеты для разных регионов мира и выяснили, что динамика утечек конфиденциальной информации в разных странах отличается не слишком сильно.

Потому что ключевые бизнес-процессы в корпоративном мире похожи (производство, маркетинг, продажи, работа с клиентами), набор основных угроз информационной безопасности тоже различается не очень существенно, а возможности систем защиты информации в разных регионах мира, по сути, почти на одном уровне.

Преднамеренно или нет

По нашим данным, виновниками 39,3% утечек в мире в 2018 году стали внешние злоумышленники. В первой половине 2019 года число случаев компрометации данных по их вине выросло уже до 46,3%. В этом смысле картина в России резко отличается.

Так, за прошлый год в нашей стране по вине внешних злоумышленников произошло всего около 10% утечек, а в первом полугодии 2019 года эта цифра выросла до 14%. Получается, что в России по вине хакеров и взломщиков компрометируется намного меньше чувствительных данных, чем в мире.

Это означает, что большая часть таких происшествий в нашей стране идет через внутренних сотрудников.

При этом аналитика, отображающая типы намерений злоумышленников, несет в себе определенное лукавство. Потому что каждая утечка там относится лишь к одной категории — “внутренней” или “внешней”. На практике же все сложнее: часто внешний злоумышленник, которому нужна конфиденциальная информация, вступает в сговор с внутренним “сотрудником-мерзавцем”, и они вместе ее воруют.

Однако в аналитических отчетах эта утечка, как правило, попадает лишь в одну категорию — “внешнюю” или “внутреннюю”. В зависимости от того, куда ее отнесет конкретный аналитик или конкретное СМИ.

Поскольку на Западе (в США и Великобритании) законы предписывают публиковать факт утечки, то компании, потерявшие информацию, всячески стремятся изобразить это как акт внешних “злых хакеров”.

В России такого требования нет, поэтому и статистика более релевантна.

Защита от утечек

От непреднамеренных утечек организации хорошо защищают DLP-системы (Data Leakage Prevention — с англ. “предотвращение утечки данных”).

Например, от действий человека, который, не задумываясь, отправляет куда-то конфиденциальные документы или печатает их на общем принтере. Система перехватывает такие документы и просто не дает их отправить или напечатать.

Но если речь идет о преднамеренной утечке, тут одного средства DLP недостаточно. Потому что злоумышленник, прежде чем совершить кражу данных, внимательно изучает систему защиты. И в итоге хорошо понимает не только то, как она работает, но и как ее обойти.

Например, использует канал, который многим даже в голову бы не пришел, — копирует чувствительную информацию и оставляет ее в буфере обмена на рабочем ноутбуке, а дома вытаскивает.

В принципе, DLP отслеживает “копи-паст”, но заблокировать прерванную на работе и возобновленную дома транзакцию, конечно, не может. Данный сценарий мы недавно включили в свою систему. Но в целом это всегда непростая борьба щита и меча.

Ведь в следующий раз злоумышленники придумают другой способ атаки, который система не знает. И нам опять придется “докручивать” систему защиты.

По этой причине вместе с системами DLP надо обязательно использовать организационные меры, которые мы рекомендуем всем пользователям.

Борьба с преднамеренными утечками так сложна еще и потому, что конфиденциальную информацию в основном воруют люди, легально имеющие к ней доступ.

Те, кто может на законных основаниях посмотреть, как устроена система, взять информацию и унести ее домой.

Поэтому “безопасникам”, планирующим в очередной раз улучшать свои DLP-решения, нужно обратить особое внимание именно на эту категорию сотрудников.

Последние громкие случаи

И в России, и в мире заметнее всего утечки данных платежных карт и персональных данных клиентов крупных банков.

Так, в последних числах октября на специализированном форуме обнаружились выставленные на продажу данные 3,5 тыс. клиентов “Альфа-Банка”.

Мошенники продавали ФИО, номера телефонов, паспортные данные, адреса регистрации клиентов по месту жительства, суммы кредитных лимитов или оформленных страховок, предметы страхования и даты договоров.

Также в открытый доступ попали данные держателей кредитных карт Сбербанка. Итогом оперативно проведенного расследования в Сбербанке стало задержание сотрудника — руководителя одного из подразделений.

Если говорить об утечках в промышленном секторе, то в июле 2019 года в открытом доступе оказался сервер компании Honda Motor с миллионами записей, связанных с внутренней сетью и компьютерами сотрудников.

В найденном хранилище оказалось около 134 млн строк компьютерных данных общим объемом порядка 40 ГБ (имена хостов, MAC-адреса, внутренние IP-адреса, сведения о версиях операционных систем, установленных обновлениях и статусах систем защиты конечных точек).

Если бы база данных попала в руки злоумышленников, это могло бы закончиться взломом сети Honda.

Кроме того, все чаще обнаруживаются случаи происшествий, связанные с работой “умных” устройств. Так, летом этого года в интернете нашли незащищенную базу китайского IoT-провайдера Orvibo. Было скомпрометировано порядка 2 млрд записей из журналов устройств категории “умный дом”.

Причиной утечки стал неправильно настроенный облачный сервер Elasticsearch, доступный в Сети без пароля.

В хранилище находились записи логов IoT-устройств, включая такие данные, как имена пользователей, адреса электронной почты, пользовательские пароли, коды сброса настроек, сведения геолокации, IP-адреса, семейные ID, записи “умных” камер.

Репутационные потери

По моему мнению, громкие банковские утечки последних лет — это в основном атаки, нацеленные на репутацию банков.

Сначала в том или ином банке происходит крупная утечка, потом публикуются новости об утекших данных держателей кредитных карт, история обрастает подробностями, раскручивается в медийном пространстве, вкладчики читают, волнуются, идут массово закрывать счета — и все это в нервной обстановке, в очередях, при нехватке операторов в отделениях.

Потом бывшие клиенты банка возмущенно пишут об “этом безобразии” в соцсетях, что вызывает новый приток нервничающих вкладчиков в отделения. И новый виток кризиса в банке — ведь там идет массовый отток клиентов. В конечном итоге все это плохо сказывается и на работе, и на репутации кредитных организаций.

К сожалению, количество таких атак, направленных на репутацию банков, в ближайшие годы будет только расти. Их цели могут быть разными — “запятнать” руководство банка, добиться оттока клиентов у более удачливого конкурента, отомстить работодателю. Но вне зависимости от цели такие атаки всегда больно бьют по репутации компании.

Противостоять этому можно. Прежде всего, грамотно работая в информационном пространстве — открыто и честно рассказывая СМИ о том, что произошло, подробно разбирая кейс, оперативно расследуя преступление и наказывая виновных, желательно публично. Нельзя “посыпать голову пеплом”, не надо жестко отрицать утечку, если она уже произошла, — такие меры будут производить обратный эффект.

Способы борьбы

Говоря о том, как нужно бороться с утечками, нужно, во-первых, сказать, что современным организациям все же не нужно пренебрегать традиционными инструментами, обеспечивающими безопасность.

Без антивируса можно точно подвергнуться заражению. А без системы защиты от утечек — гарантированно потерять конфиденциальную информацию, причем не раз.

Поэтому несмотря на то, что ни антивирус, ни DLP не дают 100-процентной гарантии, совсем без них обойтись нельзя.

Во-вторых, организациям нужно обучать сотрудников элементарной цифровой гигиене.

В-третьих, важно правильно проводить организационные мероприятия по недопущению утечек. В число этих мероприятий входит: ограничение доступа посторонних лиц в помещение, подписание сотрудниками соответствующих письменных обязательств, разграничение доступа к информации и так далее. Это целый комплекс действий, без которого никакая автоматическая система не будет эффективной.

Источник: https://tass.ru/opinions/7164059

Как защитить себя от кражи личных данных

Кража конфиденциальной информации

Защитите свою личную информацию и финансовые счета с помощью этих советов.

ДЛЯ КИБЕР-ВОРОВ ВАША личная информация так же ценна, как золото. Ваше имя, адрес электронной почты, номер телефона, пароли и другая информация могут позволить преступникам нанести ущерб вашим финансовым счетам, состоянию кредита и даже вашим перспективам работы.

Если вы не защищаете себя от кражи личных данных, говорят эксперты, вам следует начать сейчас.

Если вы этого не сделаете, кража данных личности может привести к серьезным финансовым последствиям, разрушению репутации или даже смерти (если вор начнет портить вашу медицинскую историю).

«Последствия кражи личных данных ужасны», – говорит Адам Левин, председатель и основатель CyberScout, поставщика услуг по защите личных данных и данных, а также автора книги «Размах: как защитить себя в мире, полном мошенников, фишеров и личности».

Вы должны активно скрывать свою информацию от потенциальных хакеров и защищать свои данные, если они уже находятся в их руках, считают эксперты. Вот как можно защитить себя от киберпреступников и уменьшить последствия кражи личных данных.

Что такое кража личных данных?

Это преступление происходит, когда кто-то крадет вашу информацию, такую как ваш номер банковской карты или данные личности, чтобы совершить мошенничество. Преступник может открыть кредитные карты на ваше имя, украсть сумму с вашего банковского счета.

Эксперты считают, что это может оказать реальное влияние на ваши финансы. «Ваша идентифицирующая информация так же ценна, как и ваши деньги», – говорит Ева Веласкес, президент и исполнительный директор Центра ресурсов для кражи личных данных. Поэтому важно, чтобы потребители тщательно охраняли свою информацию и выдавали ее только тогда, когда это необходимо.

Как вы узнаете, что ваша личность была украдена? Вы можете не осознавать, что кто-то решил использовать вашу информацию пока вы не увидите таинственный платеж по вашей кредитной карте, не получите неожиданный звонок для взыскания задолженности. Вот почему важно регулярно проверять свои счета, в том числе проверять банковские выписки и банковские выписки.

Знать, как предотвратить кражу личных данных.

Это сложная задача, чтобы полностью предотвратить кражу личных данных, но заинтересованные потребители могут предпринять шаги, чтобы минимизировать риск кражи личных данных и уменьшить ущерб, если таковой будет.

Вот несколько способов уменьшить вероятность того, что ваша личность будет украдена, и вероятность того, что ваши финансы или кредит будут повреждены в процессе.

Используйте надежные пароли. Извините, но пароли “123456” или “пароль” не подходят, когда дело доходит до создания надежного пароля. Придумайте трудно угадываемые коды, построив их вокруг фразы или используя менеджер паролей. Не забывайте регулярно менять их. Настройте двухфакторную аутентификацию, которая создает дополнительные препятствия для очистки ворами.

Ограничьте то, чем вы делитесь в Интернете. Преступники могут угадать ваши пароли, подтвердить вашу личность или выяснить ответы на ваши секретные вопросы по информации, которую вы публикуете на сайтах социальных сетей, таких как и Instagram.

Если вы можете, постарайтесь не указывать на этих сайтах свою дату рождения, адрес, номера телефонов или другую личную информацию. Другая стратегия, которую рекомендует Левин, – лгать, отвечая на ваши секретные вопросы.

Например, вы можете сказать программе, что девичья фамилия вашей матери – «Иванова», хотя на самом деле это «Петрова».

Будьте осторожны при предоставлении вашей информации. Киберпреступники могут получить доступ к вашей личной информации, обманув вас.

Они запускают «фишинговые» мошенничества, когда изображают из себя ваш банк, компанию-эмитента кредитных карт, сборщика налогов или другое учреждение, пытаясь попросить вас указать вашу кредитную карту, банковский счет или PIN-коды или другую информацию.

Одно практическое правило: если учреждение звонит вам, они должны уже знать вашу информацию, говорят эксперты. «Никогда не идентифицируйте себя ни с кем, кто связывается с вами», – говорит Левин.

Доверься своей интуиции. Если телефонный звонок, ссылка или электронная почта кажутся подозрительными, доверяйте своим инстинктам. Вешайте трубку. Не нажимайте на ссылку. Удалить письмо.

Если вы не уверены, был ли звонок законным, вы всегда можете перезвонить – используя номер, указанный на обратной стороне вашей кредитной карты или на веб-сайте компании, – чтобы подтвердить, действительно ли звонивший действовал.

Проверьте или заморозьте свои кредитные отчеты. При необходимости потребители могут заблокировать свои счета в каждом банке. Это замораживание будет действовать до тех пор, пока потребитель не решит его «разморозить».

Настройте оповещения. Мошенники могут проверить небольшую транзакцию в несколько долларов на вашей кредитной карте, чтобы убедиться, что она работает, прежде чем приступить к полномасштабной атаке, поэтому стоит обратить внимание даже на самые незначительные расходы на ваших счетах.

Многие банки и кредитные карты позволяют настраивать в режиме реального времени текстовые оповещения, уведомления по электронной почте или мобильные приложения, которые являются полезным инструментом для опытных потребителей.

«Запросите уведомление в любое время, когда на вашем счете будет транзакция на сумму более $ 0», – говорит Алан Брилл, старший управляющий директор практики кибербезопасности и расследований в Kroll, компании, которая помогает организациям предотвращать риски кибербезопасности и реагировать на них.

«Вы хотите получать уведомления в любое время, когда используется кредитная карта».

Сообщить о краже личных данных. Если вы обнаружили, что ваша личность была украдена, сообщите об этом по соответствующим каналам. Позвоните в компании, где произошло мошенничество, и дайте им знать, что кто-то взял вашу личность.

Попросите их поместить оповещение о мошенничестве в свои учетные записи, а затем измените свои логин и пароли.

Если была открыта новая учетная запись, попросите компанию закрыть учетную запись и отправить вам письмо, подтверждающее, что учетная запись не была вашей, вы не несете за нее ответственности, и она была удалена из вашего кредитного отчета.

Не забывайте о краже личных данных детей. К сожалению, дети также уязвимы для кражи личных данных. Киберпреступник может украсть личную информацию вашего ребенка, чтобы также использовать в мошеннических целях.

Источник: https://zen.yandex.ru/media/id/5aa181ae1410c34eb19f129b/kak-zascitit-sebia-ot-kraji-lichnyh-dannyh-5c7910a17c061c00b37db462

Какие ошибки совершают компании в борьбе с воровством данных

Кража конфиденциальной информации

Алексей Таранин

Почти треть (27%) сотрудников хотя бы раз за карьеру мстили бывшим работодателям – украли рабочие материалы или данные, уничтожили ценные документы либо обнародовали конфиденциальные сведения. Это выяснила софтверная компания ESET, опросив 750 пользователей.

Каждая крупная компания увольняет за кражу конфиденциальной информации по нескольку десятков сотрудников в год, утверждает Андрей Прозоров, руководитель экспертного направления компании Solar Security. Обычно пострадавшие работодатели не доводят подобные истории до суда, опасаясь репутационных рисков, говорит Прозоров.

Это связано и с трудностями сбора доказательств вины сотрудника, отмечает он. Почему же компании столь уязвимы перед действиями недобросовестных сотрудников?

В крупной торгово-производственной компании сотрудники удаляли информацию о продаже товара из базы данных, а вырученные средства похищали. Компании пришлось создать новый отдел информационной безопасности (ИБ) из двух человек, который через полгода вырос в целую службу, рассказывает Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского».

Такой отдел должен быть в любой компании со штатом от 500 человек, особенно если она относится к сектору, где базы данных составляют важную часть бизнеса, – к финансам, телекоммуникациям, здравоохранению, IT, торговле, говорит Денис Королев, партнер EY.

Однако для среднего бизнеса это довольно дорогое удовольствие, считает Алексей Фролов, инвестиционный директор «Инфрафонда РВК». Работодатели предпочитают бывших сотрудников центра информационной безопасности ФСБ, «Лаборатории Касперского» и «Ланита», отмечает Фролов.

Специалист должен иметь навыки программирования и системного администрирования, а также навыки аналитической работы, знания иностранных языков и конкретной отрасли, говорит Королев. Зарплаты таких сотрудников в Москве сейчас составляют в среднем 60 000–85 000 руб. в месяц, но нередко доходят и до 150 000 руб.

Тем не менее спрос на специалистов по информационной безопасности за последний год вырос вдвое, по данным HeadHunter: с 60 вакансий в сентябре 2016 г. до 135 годом позже.

Часто утечка информации происходит путем копирования файлов и их пересылки через почту, мессенджеры, файлообменники, соцсети.

Около 20% респондентов ESET хотя бы раз в жизни копировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать.

Во многих российских компаниях процесс отслеживания действий сотрудников поставлен плохо, говорит Николай Легкодимов, партнер KPMG. Поэтому очень трудно собрать доказательства нарушения для суда.

11 млн руб. по данным «Лаборатории Касперского», в среднем составляет ущерб от одного нарушения информационной безопасности в крупных российских компаниях. В среднем и малом бизнесе – 1,6 млн руб.

По словам Фролова, расследования по уголовным делам, связанным с хищением данных, обычно ведут сами компании – самостоятельно или нанимают специализированные фирмы.

В правоохранительных органах просто нет специалистов нужного уровня. Зарплаты оперативников из управления «К» МВД составляют 50 000–70 000 руб.

в месяц, а в коммерческой фирме специалисты получают от 120 000 руб. в месяц, замечает Фролов.

В августе 2017 г. суд вынес обвинительный приговор двум мошенникам, похитившим персональные данные части абонентов интернет-провайдера «Акадо телеком», говорится в решении суда. В августе 2016 г. служба безопасности «Акадо» зафиксировала взлом базы данных CRM.

Злоумышленником оказался сотрудник одной из подрядных организаций, которому конкурент «Акадо» пообещал 30 000 руб. за копию клиентской базы. Он обратился к другу, написавшему за 5000 руб. программу для проникновения в систему.

Однако служба безопасности «Акадо» обнаружила факт копирования базы, а также зафиксировала переписку злоумышленника с потенциальным покупателем базы. В ноябре 2016 г. на обоих нарушителей было заведено уголовное дело.

В качестве доказательств хищения данных, а также намерения продать информацию суд принял данные, собранные через IT-систему, рассказывает директор по безопасности «Акадо-Екатеринбург» Андрей Перескоков. Подсудимым был вынесен обвинительный приговор – два года лишения свободы условно. Это первый случай, когда интернет-провайдер в суде доказал факт кражи базы данных, радуется Перескоков.

Данные чаще крадут в компаниях, которые сами неэтично ведут себя с сотрудниками, говорит Королев. Если компания не платит обещанные бонусы, в ней плохой моральный климат, сотрудники больше склонны к хищению данных, продолжает Королев.

Неудовлетворенность сотрудников работой повышает риск разглашения или утраты конфиденциальной информации, согласен Денис Липов, директор департамента управления рисками Deloitte.

По словам Королева, минимизировать стимулы к воровству помогают достойные зарплаты и соцпакет, а также корпоративная культура, базирующаяся на честности.

Особую группу риска составляют увольняющиеся сотрудники. Так, работница автоцентра отправила конфиденциальные данные с корпоративной почты на личную: персональные данные коллег, клиентов и различную переписку. IT-система зафиксировала этот факт. В объяснительной нарушительница указала, что информация нужна ей для написания диплома.

А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место – в страховую компанию. И база персональных данных – ее пропуск в эту фирму.

Мошенницу уволили по статье за разглашение коммерческой тайны, рассказал Лев Матвеев, председатель совета директоров компании SearchInform.

При разговоре об увольнении следует напомнить сотруднику о политике безопасности компании и о том, что ему грозит в случае нарушения. Обычно это отбивает охоту прихватить с собой данные, советует Матвеев. Воровство данных – это уголовное преступление согласно ст. 183 УК, максимальный штраф – 1,5 млн руб., нарушителям грозит до семи лет тюремного заключения, добавляет он.

Если руководитель собирается расставаться с работником недружественно, это следует делать быстро – ведь за две недели отработки тот может посеять смуту среди других сотрудников или сказать что-то не то клиенту, а не только украсть базу данных, говорит президент «Экопси консалтинга» Марк Розин.

Игорь Кузьмин, менеджер по продажам техники компании «Белагро-сервис», был уволен за разглашение сведений, составляющих коммерческую тайну, а потом подал в суд на компанию.

Как говорится в решении суда, «Белагро-сервис» обвинил Кузьмина в том, что он собрал данные по 39 потенциальным покупателям сельхозтехники производства компании на выставке «Золотая нива» и по Skype передал их коммерческому директору конкурирующей компании «Агримаркет».

Кузьмин потребовал признать увольнение незаконным и оплатить вынужденный прогул. Суд удовлетворил иск: мол, компания не поставила в известность менеджера при приеме на работу, какие сведения являются коммерческой тайной.

Сейчас «Белагро-сервис» собирается обратиться в правоохранительные органы, чтобы они возбудили уголовное дело против Кузьмина, говорит Владимир Балабанович, директор департамента безопасности ГК «Белагро».

74,2% утечек данных в России, по данным InfoWatch, происходит неумышленно – из-за того, что сотрудники кликают по ссылкам в фишинговых письмах или теряют флешки со служебными ­документами.

Корпоративная культура должна поощрять соблюдение сотрудниками правил ИБ, говорит Роман Чаплыгин, директор практики информационной безопасности PwC. Он уверяет, что ежемесячные бонусы сотрудникам PwC начисляются только при отсутствии каких-либо нарушений правил ИБ.

Например, если в течение месяца сотрудник ни разу не кликал по подозрительным ссылкам, если передавал конфиденциальную информацию только с использованием специальных средств защиты и блокировал свой компьютер, покидая рабочее место, говорит Чаплыгин.

Если сотрудник знает, что его накажут рублем, он не пройдет по вредоносной ссылке, уверен Чаплыгин

Для введения режима коммерческой тайны нужно выполнить пять шагов, указывает Александр Коркин, руководитель практики трудового и миграционного права «Пепеляев групп». Сначала нужно определить перечень информации, составляющей коммерческую тайну, затем ограничить доступ к такой информации.

После этого нужно вести учет лиц, получивших доступ к такой информации. Работодатель также должен включить в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией. Наконец, следует нанести на конфиденциальные документы гриф «Коммерческая тайна».

Большинство дел, по словам Коркина, работодатели проигрывают именно из-за невыполнения этого перечня.

Часто компании сами создают благоприятные условия для хищения данных. Например, 7% респондентов ESET рассказали, что даже после увольнения из компании они могли заходить на корпоративные порталы или рабочую почту удаленно. Например, в 2013 г. компания «Фосагро» выиграла суд против бывшего сотрудника Ашота Топчяна.

Она обвинила его в передаче конкуренту – компании Transammonia сведений, составляющих коммерческую тайну. Расследование показало, что Топчян (вначале менеджер по продажам, затем – начальник отдела) просматривал переписку своего начальника с представителями Transammonia, говорится в решении суда.

Оказалось, что доступ к почте руководителя он получил во время его отпуска и потом продолжал просматривать ящик, откуда черпал конфиденциальные сведения о производстве удобрений и условиях поставок на экспорт.

Как сообщила пресс-служба «Фосагро», после этого инцидента компания ввела жесткие регламенты по хранению сведений, содержащих коммерческую тайну.

Михаил Емельянников, глава консалтингового агентства «Емельянников, Попова и партнеры», говорит, что подобные инциденты не происходили бы, если бы у компании была эффективная система контроля доступа к информационным системам.

Источник: https://www.vedomosti.ru/management/articles/2017/10/10/737221-oshibki-v-borbe-s-vorovstvom

Как снизить вероятность кражи персональных данных — Право на vc.ru

Кража конфиденциальной информации

Персональные данные – крайне важные сведения, компрометация которых в современном (цифровом) мире приводит к серьезным, часто необратимым последствиям. Понимая это, каждый сознательный гражданин старается хранить свои данные в тайне. Сегодня я опишу простые действия, которые уменьшат вероятность кражи ваших персональных данных.

iStock/Julia Makagon

Государство и предпринимаемые им меры по технологизации и цифровизации различных сфер жизни, как ни странно, заставляют рядового пользователя все чаще и чаще «предъявлять» паспорт. Даже билеты на пригородную электричку (не говоря уже об Аэроэкспрессах) через приложение можно купить только введя паспортные данные.

По данным компании InfoWatch, в 2019 году в России в результате утечек оказались скомпрометированы более 172 млн записей персональных данных и платежной информации. По сравнению с данными 2018 года число утечек увеличилось на 46%, объем скомпрометированной пользовательской информации вырос более чем в 6 раз.

Такой бурный рост преступности в части персональных данных обусловлен практически неограниченными возможностями, которые предоставляют злоумышленникам «краденные» ФИО и реквизиты паспорта.

Злоумышленники перевыпускают SIM-карты ничего не подозревающих владельцев, получая полный доступ к социальным сетям, государственным услугам и банковским счетам, или даже умудряются совершать сделки по продаже недвижимости жертвы утечки данных.

Алгоритм незаконного перевыпуска SIM-карты изображение взято из статьи https://vc.ru/group-ib/63983-vishing

Конечно, все развитые страны мира стараются бороться с такого типа преступностью, строя различные технологические барьеры и ужесточая законодательную базу в части обработки персональных данных (Федеральный закон 152-ФЗ в России, Постановление GDPR в Евросоюзе, Закон HB18-1128 в штате Колорадо США). Но такие административные шаги кажутся бесполезными, если отсутствуют понятные с практической точки зрения рекомендации по использованию таких законов и механизмов с целью защиты персональных данных. Мы в Smart Engines, выпуская абсолютно безопасный относительно утечки персональных данных программный продукт, постоянно следим за техническими и юридическими аспектами вопроса сохранности персональных данных. Совместно с профессиональными юристами из компании intellect подготовили пять элементарных действий, предпринимая которые можно серьезно снизить риск кражи персональных данных.

1. Используйте только официальные сайты, когда пользуетесь online услугами. Как бы ни тривиально звучал этот совет, но в действительности именно через фишинговые сайты большая доля персональных данных утекает к злоумышленникам.

Попасть на такие сайты-подделки, охотящиеся за персональной информацией, очень просто: достаточно просто опечататься, набирая адрес web-ресурса, или перейти по случайной ссылке из почты. Совершенно знакомый интерфейс усыпляет бдительность.

Поэтому, прежде чем вводить любые персональные данные, даже просто фамилию, имя и отчество, или e-mail адрес, дважды проверьте написание URL в адресной строке.

Также убедитесь, что сайт поддерживает криптографический протокол SSL или TLS (о том, что передача данных шифруется, вам подскажет буква S в префиксе адресной строки HTTPS://).

Пример скриншота фишингового сайта

То же самое касается сайтов дистанционного банковского обслуживания, покупки билетов, бронирования отелей и т.п., на которых зачастую вводятся и паспортные данные, и реквизиты банковских карт.

Объявление на vc.ru Отключить рекламу

2. Проверяйте оператора персональных данных.

Убедитесь, что компания, которой вы собираетесь передать свои персональные данные, состоит в Реестре операторов, осуществляющих обработку персональных данных.

Каждый законно зарегистрированный оператор персональных данных обязан обладать необходимыми техническими средствами и иметь пакет документов, подтверждающих защищенность персональных данных своих клиентов.

3. Максимально сокращайте список лиц, обрабатывающих ваши данные.

Конечно, в соответствии с частью 3 статьи 6 Федерального закона РФ № 152-ФЗ «О персональных данных», оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Но, тут надо учитывать другой фактор: чем больше таких «других» лиц будет на пути обработки ваших персональных данных, тем больше вероятность их утечки.

В соответствии со статистикой InfoWatch, большинство случаев утечек данных связано с деятельностью рядовых сотрудников, обладающих доступом к персональным данным (в 2019 году в 72,1% случаев виновными в утечке информации оказались рядовые сотрудники компаний, в 4,6% случаев – топ-менеджмент организаций, в 18,4%, – хакеры и неизвестные лица).

Поэтому мой совет: как только видите в «Политике конфиденциальности» или «Соглашении об обработке персональных данных» пункты, связанные с возможностью передачи данных третьим лицам (тем более без точного указания этих третьих лиц), – постарайтесь не соглашаться на такую обработку персональных данных и не подписывать соглашений, содержащих подобные формулировки.

Пример политики конфиденциальности ООО «Яндекс» (https://yandex.ru/legal/confidential/)

4. Всегда проверяйте цель обработки персональных данных. Если вдруг вы замечаете, что в целях обработки персональных данных указаны какие-то общие слова, прямо не соответствующие вашему пониманию реальной цели предоставления данных, то категорически отказывайтесь предоставлять свои персональные данные.

Тут стабильно действует золотое правило: отношение компании к составлению политики обработки персональных данных однозначно демонстрирует ее отношение к самой обработке персональных данных. Такие «размытые» цели – верный признак типовой политики, когда юристы даже не вдавались в суть, зачем эта политика создается.

А значит, и защищать ваши персональные данные никто не будет.

5. Избегайте трансграничной передачи персональных данных. Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона № 152-ФЗ.

При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства.

На практике проверить действительность уничтожения ваших данных вряд ли получится.

В заключение я бы хотел поделиться полезными материалами с читателями, ответственными за обеспечение безопасности обработки персональных данных в своих компаниях.

Не забываем: ответственность за нарушение законодательства в области обработки персональных данных предусмотрена ст. 13.11 КоАП РФ, максимальный штраф по которой для юридических лиц достигает 6 миллионов рублей.

Более серьезная ответственность наступает в случае нарушения Европейского законодательства в области обработки персональных данных (GDPR), где максимальный штраф не ограничен.

Итак, ловите на заметку пару юридических заключений:

Специальные нормативные акты

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  • Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
  • Федеральный закон от 7 мая 2013 г.

    № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных» и федерального закона «О персональных данных».

  • Федеральный закон от 27 июля 2006 г.

    N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

  • Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
  • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ.
  • Общее положение о защите данных (ЕС) 2016/679 (GDPR)

Постановления Правительства РФ

  • Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
  • Постановление Правительства РФ от 15 сентября 2008 г.

    № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства РФ от 21 марта 2012 г.

    № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

  • Постановление Правительства от 19 августа 2015 г.

    № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»

Ведомственные акты

  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  • Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г.

    № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

  • Приказ ФСБ России от 10 июля 2014 г.

    № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

  • Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
  • Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15 февраля 2008 г.).
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.

Разъяснения

  • Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
  • Рекомендации по составлению политики обработки персональных данных (опубликованы на сайте Роскомнадзора).

  • Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  • Приказ Роскомнадзора от 22 июля 2015 г.

    № 85 «Об утверждении формы заявлений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».

  • Приказ Роскомнадзора от 22 июля 2015 г.

    № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи».

Источник: https://vc.ru/legal/158483-kak-snizit-veroyatnost-krazhi-personalnyh-dannyh

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

    ×
    Рекомендуем посмотреть