Рубрикатор |
Статьи | ИКС № 3 2019 |
Микаэл КАРАМАНЯНЦ  | 01 июля 2019 |
Как уводят персональные данные клиентов и что делать, чтобы этого не случилось
С 2007 по 2019 годы в России произошло 14,3 тыс. утечек конфиденциальной информации. Одни и те же ошибки руководства компаний приводят к компрометации персональных данных сотен тысяч и миллионов клиентов.
«Утекают» данные о гражданах, контрагентах и сделках, технические и бухгалтерские сведения. Для компаний утечка персональных и платежных данных губительна, от этого страдает репутация в глазах клиентов. Злоумышленники охотятся на информационные активы российских финансовых и транспортных организаций, ИT-компаний и промышленных предприятий. Чем популярнее проект, тем больше он подвержен риску взлома. Так, в апреле 2019 года одна из финансовых организаций не обеспечила сведениям должную защиту и допустила утечку данных 120 тыс. ИП и юридических лиц из базы Росфинмониторинга (здесь и далее статистические данные Tadviser).
Почему утекают персональные данные
Любой бизнес-проект может иметь уязвимость, из-за которой персональные данные клиентов могут попасть в открытый доступ. Такое случается по семи основным причинам.
Весной 2019 года утекли в интернет 157 Гбайт данных клиентов ведущего финансового брокера, 21 Гбайт телефонов и аудиозаписей звонков сервиса автообзона, 3 Гбайт данных сотрудников сервиса частной медицинской помощи.
2. Сотрудники используют конфиденциальную информацию в тестовых целях, например при передаче систем управления базами данных на тестирование разработчикам. При грамотном подходе в финансовых структурах программисты не имеют доступа к реальным данным клиентов, но некоторые пренебрегают этими мерами безопасности. Несмотря на то что каждый сотрудник отвечает за сохранность данных, у многих есть искушение воспользоваться служебным положением.
В 2018 году именно сотрудники оказались виноваты в 78% случаев компрометации данных, не предназначенных для публичного доступа. Причем в России доля утечек по вине руководителей выше, чем в мире — 8,8% против 3,2%.
3. Владелец проекта некорректно распоряжается правами доступа к СУБД.
По результатам обследования 1900 серверов с применением двух популярных систем управления базами данных и распространенной поисковой системы выявлено, что к персональным данным в этих БД можно получить доступ без авторизации, а 10% серверов содержат личную информацию россиян или коммерческие материалы компаний.
4. Владельцы интернет-ресурсов не уделяют должного внимания резервному копированию, передают базы данных через открытое хранилище с открытой ссылкой для скачивания без защиты архива паролем. Нередко даже крупные стартапы хранят данные в незашифрованном виде.
В октябре 2018 года данные о 421 тыс. сотрудников одного из топовых банков попали в Сеть.
5. ИT-команда устанавливает недостаточно жесткие требования к сложности пароля.
6. Сотрудники недостаточно защищают ресурс от межсайтового скриптинга (XSS) и SQL-инъекций.
7. Владелец сайта использует слабые системы мониторинга и логирования процессов управления.
Какие решения защищают персональные данные клиентов
Курс на надежную защиту персональных данных задало государство. С 2014 года законодательная база в области защиты персональных данных активно совершенствуется. Это заставляет операторов пересматривать свою политику информационной безопасности.
Современные решения и индивидуальные ноу-хау помогают компаниям сохранить персональные данные. Разработчики используют решения на основе искусственного интеллекта, которые самостоятельно анализируют поведение пользователей. Они запоминают и постоянно обновляют шаблон действий «обычного» посетителя, накладывают его на новые данные и сравнивают в режиме онлайн. Система сообщает, если выявит потенциально зловредное поведение того или иного пользователя. Это позволяет не заниматься принятием мер постфактум, а предупреждать неправомерные действия по отношению к персональным данным.
Персональные данные теперь лучше защищены от потерь благодаря внедрению экосистем на базе блокчейна. Разработчики улучшают средства защиты сервисов и системы мониторинга по мере роста угроз взлома и кражи баз данных.
- Cloudflare предоставляет услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS.
- Bitglass защищает данные в облачных приложениях и на устройствах.
- Skyhigh Networks обеспечивает контроль над данными и действиями пользователей в облачных сервисах.
- Netskope предоставляет сервисы, разработанные с применением искусственного интеллекта.
- CipherCloud работает с токенизацией, системой шифрования и комплексным управлением ключами.
- Okta помогает централизовать управление пользователями, автоматизировать доступ в облачных, локальных и мобильных приложениях.
- «Лаборатория Касперского» защищает корпоративные системы, данные и рабочие процессы компаний и госучреждений.
Решения для борьбы с утечками и кражами персональных данных совершенствуются, однако революционных новинок не появилось, и «сила действия» киберпреступности равна силе противодействия систем защиты.
Крупные агрегаторы персональных данных ежегодно модернизирует свои системы, но общая статистика не радует. Владельцы онлайн-ресурсов, как правило, выбирают решения, опираясь исключительно на необходимый уровень безопасности. Большинство проектов не имеет должного финансирования или соответствующих кадров для решения задач в области безопасности персональных данных.
К сожалению, четкого алгоритма действий, способного обеспечить полную безопасность, нет. Каждый блок проекта требует индивидуального подхода. Проверку должен осуществлять не один человек, а команда разработчиков с адекватной подготовкой. Чем больше накапливается персональных данных, тем сильнее должна быть их защита.
Иногда утечка персональных данных происходит из-за недобросовестности сотрудников и часто — благодаря гениальным способностям атакующего. ИT-служба компании должна отслеживать поведение мошенников, анализировать результаты их действий, совершенствовать системы защиты на основе полученного опыта, а в идеале -- предвидеть мошеннические действия.
Надежно защищайте персональные данные
- Постоянно проводите профилактику безопасности. Проверяйте все системы, повышайте уровень тестирования новых версий ПО, модулей, плагинов, патчей.
- Если проект публичный, переведите базы на https. Сайт, который работает на http, вызывает подозрение.
- Регулярно проверяйте сайт на предмет уязвимостей, на рынке есть сотни решений для этого.
- Обратите внимание на частоту обновления и способы получения персональных данных. Не храните информацию о клиентах, если бизнес-модель предполагает разовые приобретения, после которых информация о потребителе не понадобится. Она не несет материальной ценности, но по вашей вине может попасть в руки злоумышленников.
- Анализируйте всю ИT-инфраструктуру проекта, ниши хранения данных, облачные сервисы, выявляйте слабые места.Совместно с юристами усильте условия трудовых контрактов со специалистами, работающими с персональными данными.
- Разъясните сотрудникам всю ответственность за халатное отношение к безопасности информации или ее намеренную кражу. Не экономьте на тренингах по ИT-безопасности. По данным Ponemon Institute, 61% сотрудников злоупотребляет доступом к конфиденциальным данным компании.
- Надежный компьютер — выключенный компьютер.
* * *
Даже самые продвинутые системы контроля не гарантируют 100%-ной сохранности данных. Остается надеяться, что ИT-службы компаний будут на шаг впереди злоумышленников и персональные данные клиентов останутся под надежной защитой.
Микаэл Караманянц, основатель и генеральный директор,
«РашенСофт»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!