Ваши данные утекли уже в момент заполнения формы на сайте

...да-да еще до момента нажатия на кнопку отправить.

За последние 10 лет сложно назвать крупную компанию, ��оторая не имела бы опыта масштабной утечки данных. Чтобы понять скорость утечек информации, достаточно просто принять тот факт, что любую свою информацию можно считать частично публичной уже в момент заполнения онлайн-формы на сайте или в мобильном приложении. Да, это не опечатка — именно в момент заполнения, ещё до отправки данных. Очень часто вводимые в форму данные уже обрабатываются. Ну и, конечно, от момента обработки запроса до его попадания в базы данных и системы журналирования — всё это потенциальные риски утечек.

Бороться с этим де-факто бессмысленно. Можно вводить тысячи разных законов — GDPR, NIS, CISA, ISSACA и другие стандарты. Однако ничего из этого работать не будет. Если проводить аналогию, то это всё равно что пытаться заставить военных воевать по правилам. Когда речь идёт о жизни и смерти — какие уж тут правила! По сути, это и есть ключевая проблема: законодатели и авторы инструкций, как всегда, далеки от реального положения дел и вряд ли сами когда-либо проводили атаки (ибо никто не возьмёт на работу по написанию законов и правил человека, который сам участвовал в атаках, что, кстати, логично).

Получается, остаётся только смириться и наблюдать, как информация из ваших баз данных перетекает к злоумышленникам? Конечно, можно, как это делает 99% компаний, уходить в ответы «это не на нашей стороне» и искренне надеяться, что удастся избежать коллективных исков, а ещё лучше — штрафов. В этом плане корпорации могут «поблагодарить» стремительный рост числа случаев несанкционированного доступа и утечек данных: это происходит так часто, что на очередную утечку уже никто не обращает внимания.

С другой стороны, было бы глупо и недальновидно не попытаться хоть что-то сделать с данной проблемой. Существует достаточно очевидное решение, которое, в том числе, используют спецслужбы для прикрытия своих сотрудников. Аналогичную методику применяют некоторые SERM-сервисы, но по какой-то причине крупные компании боятся так поступать.

Если мы знаем, что не можем гарантировать полную защиту информации, логично было бы взять инициативу в свои руки. По принципу «не можешь победить — возглавь». Если очевидно, что киберпреступники проявляют существенный интерес к вашим базам данных и компании в целом, не стоит ждать. Ведь кибератака, как и любое преднамеренное преступление, — если цель поставлена, хакеры рано или поздно её достигнут.

Если компания стала целью, не стоит сидеть сложа руки. Вы не можете спрогнозировать действия злоумышленников: возможно, утечка будет незначительной и её просто разместят в сервисах «платных пробивов», а возможно, с помощью украденных данных организуют инсайдерскую торговлю акциями компании на бирже. Это уже более серьёзный и прямой удар по её финансовому положению.

Я неоднократно рекомендовал компаниям, которые консультирую, в случае очевидной целевой атаки проводить превентивные меры и направлять злоумышленников по ложному следу:

Эта методика предельно проста и очень эффективна. Она не требует десятков внутренних и внешних команд информационной безопасности (большая часть которых, откровенно говоря, занята лишь написанием бессмысленных отчётов об уязвимостях, которые невозможно ни исправить, ни эксплуатировать). Всё, что нужно, — это волевое решение руководства раз и навсегда защитить свою компанию от последствий утечек. Ведь утечки всё равно будут происходить!

Описанный подход — профилактический, конструктивный и, пусть даже грубый, но действенный.

И ещё раз: если у вас успешная и богатая компания, рано или поздно она станет целью киберпреступных группировок. Они умеют добиваться своих целей, и причин тому множество. Главная из них — разница в зарплатах тех, кто защищает, и тех, кто атакует. Атакующий редко работает за сумму меньше $50 000 в месяц (и налоги его не волнуют), а защищающий редко получает больше $5 000 после налогов. Вот и думайте, можно ли обойтись без хитростей...