Почему у бизнеса воруют персональные данные клиентов и как защитить свою компанию: советы специалиста по информационной безопасности

Сообщения о том, что очередная компания потеряла персональные данные клиентов, появляются с пугающей регулярностью. Только за неполный июль стало известно о трех крупных «сливах» — злоумышленники украли и выставили на продажу данные клиентов «Острова чистоты», «Буслика» и «Юркас». Что делать, чтобы ваша компания не стала жертвой злоумышленников? Как защитить персональные данные ваших клиентов? «Про бизнес» узнал об этом у директора по информационной безопасности ActiveCloud Антона Грецкого.

— Почему защита данных для компаний сейчас особенно актуальна?

—  Я бы не сказал, что защита персональных данных стала актуальна только сейчас, это достаточно давняя история. Возможно, интерес к этой теме усилился на волне частых взломов корпоративной информации.

— Кто в Беларуси контролирует эту сферу?

— 15 ноября 2021 года у нас появился Национальный центр защиты персональных данных. Это уполномоченный орган по защите прав субъектов персональных данных, который и занимается регулированием, учетом и контролем подобных инцидентов.

— Почему бизнесу важно защищать информацию?

— Можно выделить 3 основные причины, почему этому надо уделить особое внимание:

1. Ответственность — в случае крупных инцидентов Национальный центр по защите персональных данных по результатам плановой или внеплановой проверки может приостановить обработки персональных данных в информационном ресурсе (системе), следствием чего может стать приостановка деятельности всего бизнеса.

2. Финансовые потери — в случае утери данных, технологий или финансовой документации бизнес понесет ощутимые финансовые издержки.

3. Репутационные риски. Не все можно посчитать в деньгах, но утеря данных также отражается на репутации бизнеса.

— Какие примеры утечек данных вы можете привести и чем они грозят бизнесу

— Компания оказывала услуги по сбору персональных данных для крупных медцентров. Допустим, вам нужно было записать к врачу, и вы заходили на сайт медцентра, выбирали врача, вносили свои данные через этот сервис. Полгода назад у них произошла утечка персональных данных клиентов. Началась проверка, им выдвинули n-е количество обвинений. Оказалось, что у сервиса не было ни аттестации, ни каких-либо законных мер по защите данных. В итоге НЦЗПД приостановил обработку персональных данных в информационном ресурсе (системе) inmed.by, ей выписаны штрафы, и ее ждут суды.

В июле 2023 года произошло сразу 3 крупных потери данных:

1. У ЧТУП «ЗападХимТорг» (бренд «Остров чистоты») база данных «утекла» не в первый раз. В июле 2023 года стало известно, что в результате несанкционированного доступа к информационной системе произошла очередная утечка информации и злоумышленники выставили на продажу базу данных, в которой содержатся персональные данные более 730 тысяч пользователей ресурса. Национальный центр защиты персональных данных уже проводил внеплановую проверку ЧТУП «ЗападХимТорг» в связи с предыдущей утечкой данных. Однако, похоже, выводов компания не сделала, что привело к повторному инциденту.
2. 10 июля 2023 года в результате несанкционированного доступа к информационной системе крупного белорусский производитель дверей «Юркас» также произошла утечка персональных данных. В сеть попали ФИО, адреса электронной почты, номера телефонов клиентов и сотрудников предприятия. Утечка затронула данные не более 5000 человек.
3. 5 июля официальный Telegram-канал Национального центра защиты персональных данных сообщил о несанкционированном доступе к информационной системе ООО «ДПМ», в результате которого были получены персональные данные пользователей интернет-магазина buslik.by, который занимается реализацией детских товаров. На продажу выставили данные 220 тысяч пользователей.

— В чем заключается риск для пользователя, данные которого «утекли»?

— Ценность персональных данных в том, что они позволяют злоумышленнику осуществлять какие-либо действия от лица того, чьи персональные данные были указаны — то есть прикрыться ими, как ширмой. Например, от вашего имени могут оформляться какие-то договоры, регистрировать какие-то страницы.

Опять же — на вас могут взять кредит или оформить поручительство. Это в Беларуси для этого нужно прийти в банк. А в некоторых странах (допустим, Сербии, Албании) достаточно заполнить набор персональных данных какого-то человека, чтобы «повесить» на него кредит или оплату за какие-то услуги.

— Каких киберугроз нужно опасаться компаниям?

— Самая популярная киберугроза в отношении компании — это фишинг.

Фишинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.

Идея фишинга — заслать работнику компании (желательно далекому от IT —
бухгалтеру, экономисту, юристу) письмо такого содержания, которое он, скорее всего, откроет. Например, письмо с темой: «Сокращение премий за июль».

В письме будет приложение в виде Excel-файла, который наивная жертва откроет прочитать. А там лежит макрос — специально исполняемый код, который прописывается и что-то делает в вашем компьютере, пока вы работаете, — ворует трафик, копирует данные, предоставляет доступы.

Есть cross site script-мошенничество — когда вас перекидывает с правильного сайта на фальшивый. Бывают различного рода зловредные вирусы, которые могут попадать в компанию по почте с какими-то тестовыми версиями. Часто их доставляют в компанию сами работники — многие любят на работе что-то скачивать с непонятных сайтов, например, фильм на выходной.

Есть хакерские атаки, связанные с набором пароля. Они до сих пор эффективны, потому что многие все еще ставят пароли «чтобы не забыть», например 1−2−3−4−5−6 или дату своего рождения. Естественно, эти пароли очень быстро подбираются, даже взламывать ничего не надо.

— С чем связано то, что злоумышленники получают доступ к клиентской информации?

— Чаще всего это связано с тем, что владельцы ресурсов считают «Ну, нас-то это не коснется!» и уделяют недостаточно внимания информационной безопасности. Большинство компаний, даже если видят следы взлома, пытаются самостоятельно решить эти вопросы. Но далеко не в каждом бизнесе есть специалист, который имеет достаточные компетенции противостоять краже данных.

Что нужно делать? Для начала, вести просветительскую работу с персоналом, обучать их, провести аттестацию. К примеру, все наши сотрудники знают, что «странное письмо» от неизвестного отправителя не нужно открывать, а надо сразу выслать мне на проверку.

У многих компаний потеря данных происходит также из-за отсутствия или устаревания инструментария для защиты.

— Какие именно данные и почему становятся мишенью для мошенников? Как это предотвратить?

— Наиболее уязвимо для мошенников все, что «торчит» в интернете. Это может быть сайт, база данных, корпоративный портал. Но если ваши информационные системы не представлены в интернете, это еще не значит, что данные в безопасности. В таких случаях используется социальная инженерия — злоумышленники пытаются найти работников внутри компании, которых можно мотивировать как-то эти данные достать.

Злоумышленников интересует в первую очередь то, где лежат деньги, — все, что связано с банками и финансами. Причина взломов номер два — это «заказуха» со стороны конкурентов, чтобы создать компании проблемы. Ну и третья причина — желание хакеров самоутвердиться или месть со стороны бывшего сотрудника компании (например, сисадмина), с которым плохо расстались.

Против этого работает система мониторинга — правильно настроенный доступ к любым активам компании, логирование этого доступа, возможность контролировать, кто запрашивал данные, кто их выкачивал. К сожалению, у многих компаний этого нет.

— Какие новые тренды киберугроз возникли в последнее время? К чему это приводит?

—  Нужно отдельно отметить угрозы, связанные с удаленной работой. Во время пандемии большое количество работников стали подключаться к корпоративным ресурсам по удаленным каналам. Часто это открытые незащищенные каналы доступа, с простыми паролями.

Конечно, и для удаленной работы компания может сделать безопасное соединение. Но это стоит денег. Вот и получается, что покупаются 1−2 лицензии или несколько каналов, на которых «сидят» 20 человек. Это медленно и неудобно, в итоге люди начинают подключаться по незащищенным каналам — и результат предсказуем. По большому счету, утеря данных в этом случае происходит из-за желания компании сэкономить. Конечно, разумный баланс должен быть. Но нужно осознавать, что будет, если вопросам безопасности не будут уделяться особое внимание.

— Антон, а как искусственный интеллект может помогать злоумышленникам?

— Я бы сказал, что это достаточно хайповый вопрос. Я слышал разные истории про то, что сейчас искусственный интеллект может писать код по запросам. Насколько это качественно происходит, я не знаю. Но если ИИ может писать хакерам скрипты и качественный код, то это, безусловно, облегчит им работу.

— Так что бы вы посоветовали сделать компаниям для защиты данных?

— Любое построение информационной безопасности начинается с аудита. На это надо выделить бюджет и обратиться к какой-то экспертной компании, которая скажет, что у вас происходит и в чем могут возникнуть проблемы.

Отчет после качественного аудита обычно содержит подробную «дорожную карту» того, что нужно сделать. Скорее всего, там будут задачи обеспечить информационную безопасность, конфиденциальность, целостность и доступность информации.

Наше законодательство говорит о том, что информационные системы, которые обрабатывают информацию ограниченного распространения, должны эксплуатироваться с применением аттестованной системы защиты информации. В среднем по рынку такая аттестация стоит около 25 тысяч BYN и проводится около 4 месяцев.

— В чем преимущества «облачных» решений для защиты?

— Когда вы пытается все это организовать на своих ресурсах, вы должны быть готовы к тому, что это достаточно затратно и по деньгам, и по времени. К тому же часть европейских брендов перекрыли продажи своих товаров в Беларусь и РФ. Итого проект по информационной безопасности в отдельно взятой компании может стоить около $ 300 тысяч, а по сроку развертывания занять около года.

Также важны квалифицированные сотрудники — безопасность сама себя не защитит, нужны люди, которые все это настраивают, конфигурируют, за этим следят. Для начала их нужно найти и нанять (что уже квест!), а потом всем им платить немалую зарплату.

Сложность прогнозирования — неизвестно, какие мощности вам понадобятся уже через год и в каком объеме.

Ответственность — вы и только вы будете виноваты, если что-то случится с вашими данными.

Более простой способ — проанализировать предложения на рынке облачных сервисов и начать работать с одним из них. В этом случае работу можно начать практически сразу, без года на подготовку и значительных вложений. Вы экономите время и точно понимаете, какую сумму в месяц инвестируете на обеспечение безопасности данных своей компании.