Утечки конфиденциальной информации: кто виноват и что делать
В этой статье будет определена актуальность утечки конфиденциальной информации, в том числе персональных данных. Также будут рассмотрены ключевые аспекты данной проблемы исходя из анализа ее масштабов, будут выявлены наиболее уязвимые места. Кроме того, будет обоснована необходимость контроля сотрудников и подрядчиков и проведен анализ статистики утечек, опираясь на аналитику ведущих центров Positive Technologies и InfoWatch.
Опасность утечек данных
В современном мире, где технологии развиваются стремительными темпами, а данные становятся новым золотом, необходимо грамотное управление рисками, связанными с информационной безопасностью. При их оценке важно учитывать действия не только внешних, но внутренних злоумышленников, поскольку часто именно ошибки или бездействие сотрудников, мошенничество и инсайдерские действия оказывают негативное воздействие на компанию. Проблема заключается в недостаточной осведомленности персонала в вопросах информационной безопасности при использовании информационных систем (далее — ИС), что приводит к утечке важных сведений.
Утечка данных — это инцидент, при котором конфиденциальная информация становится доступной третьим лицам или неограниченному кругу лиц. В результате граждане рискуют потерять приватность и деньги, а компании — понести значительные убытки из‑за потери конкурентного преимущества, санкции со стороны контрагентов и заказчиков, компенсации неустоек, а также потери доверия клиентов. В свою очередь, ущерб репутации организации приводит к снижению клиентской базы и даже к судебным разбирательствам.
В 2024 году минимизацию утечек данных (особенно персональных данных) можно назвать вопросом национальной безопасности для нашей страны. К сожалению, они приобрели уже всероссийский масштаб, причём объёмы утекающих данных растут: если в 2023 году злоумышленники получили 490 млн. записей персональных данных граждан РФ, то только за первые три месяца 2024 года их число достигло 510 млн.
Похожую статистику опубликовали BI.ZONE Brand Protection: в 2023 году в открытый доступ попали 420 баз данных с 980 млн строк, а в январе 2024 года — 62 базы или 525 млн записей с контактами, паспортными данными, платежной информацией. Более того, С 1 февраля 2024 года зафиксировано 29 утечек, общий объем которых составил около 11 млн строк, причем 85% из них содержали пароль или его хеш.
Таким образом, обеспечение безопасности корпоративных информационных систем (КИС) сегодня считается приоритетным направлением, без которого организации не могут управлять рисками и обеспечивать стабильность развития бизнеса.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Внутренние нарушители информационной безопасности
Одной из наиболее серьезных угроз являются внутренние нарушители — сотрудники, имеющие доступ к корпоративной информации и которые по неосторожности или с умыслом наносят вред корпоративной инфраструктуре.
Внутренние угрозы могут вызваны следующими факторами:
- Недостаточная осведомленность о правилах безопасности. Например, работники могут случайно открыть фишинговое письмо или использовать слабые пароли, что открывает доступ злоумышленникам.
- Недовольство сотрудников. Например, человек считает, что ему не доплатили премию, или у него возник конфликт с руководством.
- Поиск лёгкого заработка. Когда сотрудники продают базы данных и другую корпоративную информацию.
- Внедрение инсайдеров — сотрудников, завербованных конкурентами. Они могут передавать важные сведения о стратегиях, планах компании.
Внутренняя безопасность начинается с обучения персонала и формирования культуры кибербезопасности, только так можно минимизировать риски и защитить компанию от широкого спектра угроз. То есть необходим комплексный подход, поскольку бизнес, имеющий низкий уровень зрелости информационной безопасности не сможет одномоментно внедрить все решения и вывести их на высокий уровень. Это процесс планомерный, требующий адаптации самой компании и сотрудников к новым правилам и механизмам.
Закупка и интеграция средств защиты информации тоже малоэффективны, если они настроены или эксплуатируются некорректно, поэтому важно учесть возможности отделов ИБ и ИТ, направленные на контроль за внутренними нарушителями.
Проведение обучений сотрудников и киберучений
Одним из эффективных методов подготовки к возможным угрозам являются киберучения. Эти тренировки позволяют специалистам по безопасности развивать навыки распознавания и предотвращения атак, что значительно повышает уровень защиты компании. Например, технология киберобмана актуальна для выявления нелегитимных действий злоумышленников в корпоративной сети. Приманки и ловушки, генерируемые системой, помогают специалистам оперативно реагировать на инциденты и прерывать цепочку атаки.
Помимо базового обучения в 2023 году появилась потребность в оценке и тренировки отдельных навыков сотрудников, в том числе по форензике, проактивному поиску угроз и безопасной разработке. Например, увеличилось количество заданий типа «расследование», основанные на разборе действий злоумышленников, использование различных средств защиты информации. В качестве тестирования проводится рассылка имитирующих фишинговую атаку писем, сбор статистики.
Выводы
Утечка данных остается острой проблемой для государственных и коммерческих организаций. Для их защиты необходимо систематически проводить мониторинг внутренних систем, применяя комплекс правовых, организационных и технических мер. А поскольку в 2024 году число кибератак с высокой долей вероятности увеличится, важно с установленной периодичностью обучать персонал, донося до сотрудников четкий план действий.
