Потери от утечки данных: сколько стоит отсутствие безопасности?
Утечка данных — страшный сон для любой компании, которая работает с конфиденциальной информацией. Расскажем, как часто происходят утечки, почему убытки исчисляются миллионами и как быть, если специалист по ИБ решил заработать на сливе ценной информации.
Как часто происходят утечки
У аналитиков разные цифры, и вряд ли их можно считать показательными. Официально в прошлом году зафиксировали меньше 200 утечек, а исследования IT-компаний показывают, что до 90% организаций могли сталкиваться со сливами, но предпочитают скрывать инциденты. Если отталкиваться от официальных данных, то чаще всего утечки фиксировали в сфере здравоохранения, промышленности, телекоммуникации и IT. По словам аналитиков, в прошлом году в основном сливали коммерческую и служебную информацию, персональные данные, ряд инцидентов связан с передачей государственной тайны.
Какие убытки несет компания
Основная цель всех мошенников — деньги. Одни пытаются продать информацию в даркнете, другие хотят использовать для собственной выгоды. Но последствия для компаний не исчисляются только прямыми денежными потерями. Речь идет о репутации, утрате доверия клиентов и упущенной выгоде, если в третьи руки попали авторские разработки и финансовые документы.
Денежные
Рассмотрим ситуацию на примере слива базы данных. Компания уже потратила ресурсы, чтобы эту базу собрать, как минимум вложила финансы в рекламу и продвижение. Но этим убытки не ограничиваются. Если данные попадут конкурентам, ущерб окажется более значительным. Конкурент получит список клиентов и распорядится им с максимальной выгодой, например предложит скидки и переманит клиентов. Если речь о небольшой фирме, то потери могут оказаться фатальными: спрос падает, убытки растут, впереди банкротство и закрытие.
Плохие прогнозы и у ситуаций, когда конкуренты получают доступ к вашим авторским разработкам. В данном случае убытки приравниваются к выручке от будущих продаж. Чтобы отстоять свои интересы, понадобится обращаться в суд и привлекать к делу эксперта по соответствующим видам спора. А это снова расходы, причем значительно выше, чем зарплата штатного юриста.
Еще один пример — утечка бизнес-планов, бухгалтерской документации и отчетов. Как только конкурирующая компания получит доступ к финансовым инструментам, никто не помешает ей позаимствовать подход, сменить стратегию развития и воспользоваться вашим работающим бизнес-планом.
Административные
Утаивать утечку персональных данных от контролирующих органов рискованно. По закону компании должны в течение суток сообщить в Роскомнадзор об инциденте и провести расследование. Вне зависимости от того, чья вина, организация несет ответственность — на компанию составят административный протокол, в лучшем случае выпишут предупреждение, но чаще всего сразу оштрафуют. Разбежка по суммам большая, зависит от размера утечек и ответственного лица.
Так, по статье 13.11 КоАП РФ, должностным лицам грозит штраф от 10 до 20 тысяч рублей, юридическим — от 60 до 100 тысяч. При повторном нарушении суммы еще выше: должностные лица рискуют потерять до 50 тысяч, юрлица — до 300. Если судья придет к выводу, что действия попадают под санкции второй части указанной выше статьи, то последствие куда плачевнее: за повторное нарушение для юрлица штраф достигает полутора миллионов рублей.
Репутационные
Утечка уже сама по себе бьет по репутации компании. Клиенты с недоверием относятся к организациям, от которых утекли личные данные пользователей. Однако к репутационным издержкам относится не только это. Слить могут информацию об инцидентах или рабочих нюансах, которые руководству хотелось бы держать в тайне. Предположим, в третьи руки попали финансовые документы, а среди них — смета на корпоратив. Компания не совершила ничего плохого, но блогеры еще долго будут перемывать кости руководителям, обвинять их в чрезмерных тратах, подсчитывать, сколько бутылок алкоголя купили на указанную сумму. В худшем случае слетятся еще и журналисты. Компания будет в центре внимания, но это совсем не тот пиар, который повышает продажи.
Юридические
Самые серьезные проблемы начнутся, если на компанию подадут иск пользователи, чьи личные данные попали в открытый доступ. На скамью подсудимых может попасть руководитель или офицер безопасности, который допустил инцидент. Поэтому компании стараются в сжатые сроки провести внутреннее расследование, вычислить виновного и отчитаться перед контролирующими органами.
Чаще всего в этом случае применяется статья 272 УК РФ «Неправомерный доступ к компьютерной информации». Только за копирование данных можно получить штраф до 200 тысяч рублей, в худшем случае — попасть за решетку на два года. Если же из рабочих компьютеров информацию извлекают из корыстных целей, группой лиц и с использованием служебного положения, то есть риск схлопотать штраф до 500 тысяч рублей, ограничение свободы, принудительные работы или тюремный срок до пяти лет.
Кейсы крупных компаний
Яндекс.Еда
Что случилось
В марте 2022 года служба ИБ компании зафиксировала утечку данных, в интернете оказались телефоны и адреса клиентов. Во время расследования выяснили, что слив произошел из-за недобросовестного сотрудника. Подробности компания не разглашала, но отметила, что ужесточила подход к хранению сведений о заказах, и теперь доступ к информации такого рода имеют на 30% меньше сотрудников.
Чем закончилось
Пострадавшие пользователи обратились в суд, моральный ущерб они оценили в 100 тысяч рублей на каждого. Однако судья посчитал сумму завышенной: компенсацию в 5 тысяч рублей получила только часть заявителей, остальным в иске отказали. По заявлению Роскомнадзора суд оштрафовал компанию на 60 тысяч рублей, это минимальное наказание по данной административной статье. В августе того же года Яндекс.Еде предстояло еще одно испытание: следственный комитет возбудил уголовное дело по трем статьям, все они касались разглашения личных данных.
Delivery Club
Что случилось
В мае 2022 года жертвой хакерской атаки стала еще одна служба доставки еды. Как и в предыдущем случае, в руки мошенников попали телефоны, адреса клиентов и суммы заказов за последние полгода. Потери Delivery Club оказались гораздо серьезнее: хакер выложил в сеть часть базы данных, отметив, что в полной версии файл содержит 250 млн строк.
Чем закончилось
За утечку данных компании пришлось отвечать перед судом, спустя полгода руководству назначили штраф в 80 тысяч рублей. Параллельно в Delivery Club проводили внутреннее расследование, но его результаты так и не дошли до широкой общественности.
Гемотест
Что случилось
В апреле 2022 года из-за уязвимости системы «Гемотест» в даркнете появились данные клиентов сети медицинских лабораторий. Мошенник предлагал купить две базы: в одной на 31 млн строк хранились имена, адреса, телефоны и паспортные данные клиентов, во второй — 554 млн строк с результатами анализов.
Чем закончилось
На медицинскую компанию составили протокол за нарушение законодательства в области персональных данных. «Гемотест» не отрицал, что хакеры скачали важную информацию, но не признал вины и просил закрыть дело. Решение суда — 60 тысяч рублей штрафа.
Ростелеком
Что случилось
Провайдер цифровых услуг и сервисов не смог обеспечить защиту данных. Пострадали как работники, так и пользователи. Хакеры получили доступ к архиву, где указаны должности и телефоны сотрудников, а также информация о клиентах сервиса «Умный дом».
Чем закончилось
По заявлению Роскомнадзора компанию проверили, составили административный протокол и оштрафовали на 60 тысяч рублей. Как позже сообщили в «Ростелекоме», внутреннее расследование говорит о том, что к утечке мог быть причастен один из бывших коллег, который скопировал перед увольнением часть внутреннего телефонного справочника.
Спортмастер
Что случилось
В конце 2022 года к злоумышленникам ушли данные клиентов сети магазинов «Спортмастер» — имена, телефоны, электронные адреса. По информации хакеров, они завладели базой, где содержалось более миллиона данных пользователей. Номера банковских карт и пароли украсть не удалось.
Чем закончилось
На «Спортмастер» составили протокол об административном правонарушении. Как рассказали в компании, способствовал сливу сведений один из подрядчиков. О судьбе виновника не сообщали — это конфиденциальная информация.
Whoosh
Сервису аренды самокатов повезло, их службе безопасности удалось пресечь утечку данных нескольких миллионов пользователей. Как заявили в компании, если бы не оперативное вмешательство сотрудников ИБ, то хакеры получили бы не только имена и телефоны клиентов, но и неполные данные банковских карт.
Чем закончилось
Несмотря на то, что утечки не произошло, и сведения не были опубликованы, компания взялась за внутреннее расследование. По словам представителей сервиса, вина за инцидент лежит на сотруднике, который нарушил установленные правила. Недобросовестного специалиста уволили, а информацию об инциденте передали в полицию для дальнейшего расследования.
Как не допустить убытков
Назначьте ответственного специалиста по ИБ
Офицер безопасности отвечает за настройку системы контроля, следит за действиями сотрудников, реагирует на сомнительные операции, фиксирует инциденты и принимает меры. Например, Staffcop можно настроить так, что система запретит использование внешних устройств или заблокирует демонстрацию экрана, если во время переговоров по видеосвязи кто-то попытается вывести на монитор конфиденциальные документы. При этом выбор, какие функции программы использовать, остается за офицером безопасности. Чем больше организация, тем больше специалистов по ИБ должно быть в штате, так как один человек даже физически не в силах уследить за сотней работников.
Ознакомьте коллег с документами о неразглашении
При трудоустройстве в компанию руководители предлагают специалистам подписать NDA — документ о неразглашении. Часто это делают формально, просто вручая бумаги на подпись, поэтому сотрудники плохо понимают, где проходит грань между разрешенной и конфиденциальной информацией. Нужно ответственно подойти к вопросу, разъяснить спорные моменты и рассказать о последствиях. Например, если по неосмотрительности кликнул на соседний файл и отправил клиенту ценный документ — это утечка. Если сфотографировал рабочий стол и на снимок случайно попал стикер с паролем — тоже утечка. Специалист должен понимать, что даже не преднамеренный слив данных грозит лично ему «административкой» и финансовыми потерями.
Контролируйте сотрудников, которые работают с конфиденциальной информацией
Офицер безопасности должен настроить не только контроль за ценными файлами, но и за специалистами, имеющими к ним доступ. Бухгалтеры работают с финансами, менеджеры — с базами данными, а айтишники и вовсе связаны практически со всей инфраструктурой компании. Задача сотрудника по ИБ оценить потенциальные риски, поставить на усиленный контроль ряд работников и периодически проверять, не совершают ли они подозрительных действий.
Определите, какая информация представляет ценность
Как правило, важная информация — это база клиентов и поставщиков, финансовая отчётность, авторские разработки.
- Во-первых, нужно ограничить доступ к ценным сведениям у сотрудников, которые не используют их в своей работе.
- Во-вторых, пометить документы специальными маркерами, чтобы о любых действиях с конфиденциальными сведениями офицеру безопасности сразу же приходило уведомление.
- В-третьих, настроить словарь по ключевым словам и выражениям, чтобы даже текстовая информация не осталась незамеченной.
Используйте комплекс программ для контроля сотрудников
В работе важно использовать именно комплекс программ: одна фиксирует действия сотрудников и реагирует на ключевые слова и выражения в сообщениях, а другая — блокирует отправку подозрительных файлов.
Если специалист решит присвоить конфиденциальные сведения, офицер безопасности сразу же узнает об этом с помощью таких программ, как Staffcop. Если данные записали на флешку или распечатали на принтере, то сотрудник ИБ может попросту забрать устройство или бумаги. Если передали через e-mail, то выручит, например, ICAP-сервер или DLP-модуль, который заблокирует исходящее сообщение, тем самым предотвратит утечку.
Самые хитрые пытаются обойти систему и сфотографировать данные на мобильный телефон. Действительно, программы контроля в этом случае бессильны, но если установить камеры видеонаблюдения, то они зафиксируют момент, когда сотрудник снимает смартфоном монитор.
Проводите внешний аудит
Существуют компании, которые предлагают провести внешний аудит системы и выявить слабые места. Часто организации игнорируют данный пункт, полностью доверяя офицеру безопасности. Но тут нужно вспомнить выражение: «А кто будет сторожить сторожа?» Если «безопасник» не чист на руку и решит заработать на краже данных, поймать его будет очень сложно. Такое нарушение может выявить только сторонняя организация, например Контур.Безопасность.
Утечку данных гораздо проще предотвратить, чем в будущем разгребать от нее последствия. Чтобы избежать проблем, рекомендуем установить комплекс программ для контроля за сотрудниками и настроить систему в соответствии с требованиями своей организации.
Чтобы узнать о многообразии функций Staffcop и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.