Как защитить данные покупателей и не попасть на штраф в миллионы рублей
Торговые сети собирают персональные данные клиентов для оформления скидочных карт, регистрации в интернет-магазине и входа в чат-бот. При этом они обязаны обеспечить сохранность личной информации. Рассказываем о громких сливах последних лет в ритейле и о том, как предотвратить утечки.
Почему данные пользователей утекают в Сеть
К персональным данным относятся фамилия и имя пользователя, его возраст, место жительства, электронный адрес почты, номер телефона. При первом посещении сайта магазина система запрашивает согласие на обработку персональных данных, кроме того, на сайте магазина пользователям предлагают пройти опрос, чтобы лучше понимать интересы целевой аудитории. Эта информация важна не только для торговой сети, но и для конкурентов и мошенников, которые могут использовать сведения о пользователях в своих целях.
Слив данных по неосторожности
Такие ситуации возможны, если компания не проводит регулярные обучающие мероприятия по кибербезопасности. Сотрудники не понимают, почему нельзя переслать данные клиентов на личную почту и чем грозит распаковка архива с неизвестного адреса. Они без злого умысла вступают в переписку с мошенниками, переходят по фишинговым ссылкам и тем самым предоставляют доступ злоумышленникам к корпоративным документам, в том числе содержащим персональные данные.
Слив данных из-за халатности специалиста
Подобные инциденты случаются, если специалист транслирует свою жизнь в социальных сетях, проводит прямые эфиры с рабочего места или размещает личные видео на YouTube. На фотографии или видео могут попасть другие сотрудники, документы компании, иные конфиденциальные данные.
Слив данных за деньги
И наконец, умышленный слив информации — как правило, за вознаграждение. Тут возможны разные сценарии: продажа корпоративной тайны в даркнете или слив базы данных конкурентам в обмен на новую должность. Мы уже рассказывали, как выявить сотрудника, который представляет угрозу компании. Обычно это касается специалиста, который недоволен своей позицией в компании, часто конфликтует с руководством и коллегами, планирует уволиться и хочет извлечь выгоду и подзаработать.
Громкие взломы
Российские торговые сети все чаще сталкиваются с утечкой персональных данных, обычно потеря сведений связана с атаками злоумышленников на интернет-магазины. В 2023 году эта проблема затронула 67% ритейлеров. Мы собрали самые громкие случаи кибератак, которые произошли в последние годы.
Взлом Oriflame в 2021 году
В августе 2021-го хакеры взломали серверы косметической компании и похитили сканы полутора миллионов паспортов пользователей. Вскоре в даркнете оказались копии документов жителей России, Грузии и Казахстана. Спустя несколько месяцев прошел суд, Oriflame оштрафовали на 30 000 рублей за нарушение закона о персональных данных.
Взлом «Яндекс.Еды» в 2022 году
В феврале 2022 года в Сеть утекли данные 58 тысяч клиентов «Яндекс.Еды». Файл включал в себя имена клиентов, их адреса и телефоны, коды от домофонов и даже размер расходов в сервисе за последние полгода. Хакеры выложили всю информацию на отдельном сайте, но Роскомнадзор оперативно его заблокировал. На компанию составили протокол за нарушение закона о персональных данных. В ходе расследования выяснилось, что к сливу причастен один из сотрудников «Яндекс.Еды», но это не сняло ответственности непосредственно с организации — руководству пришлось выплатить штраф в 60 000 рублей.
Масштабный взлом 12 компаний в 2023 году
Один из самых масштабных взломов, с которыми столкнулся российский бизнес, произошел в июне 2023 года. Неизвестный хакер за несколько дней слил данные крупных компаний, у которых есть интернет-магазины.
Список компаний с серьезными потерями:
«Ашан», торговая сеть — утечка данных на 7,8 млн строк с именами, телефонами и email.
«Буквоед», книжный интернет-магазин — два текстовых файла с данными клиентов, в каждом файле более 3 млн строк конфиденциальной информации.
«Глория Джинс», торговая сеть — данные более 3 млн пользователей.
Book24.ru, книжный интернет-магазин — более 4 млн строк персональных данных: Ф. И. О., телефон, email и хешированный пароль.
«Твое», интернет-магазин одежды — данные более 2,2 млн клиентов.
«Аскона», интернет-магазин — около 2 млн строк с информацией о пользователях.
Роскомнадзор провел расследование и предположил, что киберпреступник мог получить доступ к сайтам из-за уязвимостей в системе от разработчика «1С-Битрикс», которую многократно атаковали накануне. Однако в пресс-службе «1С-Битрикс» считают, что всему виной — несвоевременное обновление, ведь уязвимости устранили еще пару месяцев назад и проинформировали об этом всех клиентов.
Какие риски для компании повлечет утечка данных
Финансовые риски
Зная потенциальных клиентов «в лицо», конкуренты переманивают аудиторию: обзванивают пользователей с предложением выгодных условий или отправляют рассылку со списком акционных позиций. В этом случае под финансовыми рисками имеется в виду упущенная выгода, ведь организации потребуется время, чтобы вернуть своих клиентов.
При утечке персональных данных руководство обязано уведомить о происшествии Роскомнадзор. По результатам проверки на компанию могут наложить штраф за нарушение законодательства в области персональных данных, что тоже является финансовой потерей. На сегодняшний день сумма штрафа достигает 100 000 рублей, а если инкриминируют часть 8 или 9 статьи 13.11 КоАП РФ, то более миллиона рублей.
С 30 мая 2025 года наказание ужесточится. Так, за незаконную передачу информации о пользователях должностным лицам грозит штраф до 400 тысяч рублей, ИП и компаниям — до 5 миллионов. А если речь шла о сливе персональных данных спецкатегорий, например с упоминанием медицинского диагноза, то штраф может достигать 15 миллионов рублей. Попытки скрыть инцидент от Роскомнадзора тоже влекут за собой большие финансовые потери: подобный «секрет» обернется для должностных лиц штрафом до 800 тысяч рублей, для ИП и организаций — до 3 миллионов.
Кроме того, пострадавшие, чьи данные были раскрыты, могут обратиться в суд с требованием о компенсации морального вреда. Но, как показывает практика, рассчитывать на крупные суммы не приходится. Так, например, после утечки данных из сервиса «Яндекс.Еда» в 2022 году несколько пользователей требовали по 100 000 рублей компенсации, но суд удовлетворил лишь часть исков и уменьшил сумму до 5 000 рублей.
Репутационные риски
Главную угрозу для репутации представляют фишинговые рассылки. Мошенники могут воспользоваться украденной базой клиентов, отправить по электронному адресу рассылку с предложением оформить заказ онлайн от лица интернет-магазина. Внешний вид магазина идентичен настоящему, заметить отличие в адресной строке очень сложно. После оплаты деньги уходят злоумышленникам. Если покупатель пойдет в суд, компании предстоит долго разбираться и пытаться вернуть доверие клиентов.
Требования закона в области защиты данных
Любая компания, которая собирает информацию о своих клиентах, по закону признается оператором персональных данных, а значит, обязана нести ответственность за сохранность конфиденциальных сведений. Перед началом деятельности, связанной со сбором данных, организация обязана оповестить об этом Роскомнадзор, чтобы ее включили в единый реестр.
На следующем этапе нужно разработать нормативные акты, прописать в них порядок обработки персональных данных и разместить документ на сайте. При первом посещении интернет-магазина пользователь увидит всплывающий баннер с предложением принять или отклонить сбор cookie. При регистрации, заполнении анкеты и при входе в чат-бот, где нужно вводить личные данные, пользователь должен поставить галочку о своем согласии с политикой обработки персональных данных, при желании он может перейти по ссылке и подробнее ознакомиться с политикой обработки персональных данных, которая должна быть в обязательном порядке размещена на сайте.
Важно! Клиент имеет право отозвать свое согласие на обработку данных. Для этого нужно связаться с интернет-магазином, и тот в течение 30 дней обязан уничтожить всю информацию. Также пользователь вправе потребовать удалить или изменить сведения, если они не соответствуют действительности. Если компания проигнорирует просьбу, то клиент может обратиться в Роскомнадзор.
Как защитить персональные данные покупателей с помощью специализированного ПО
Для предотвращения утечки персональных данных нужно регулярно напоминать коллегам о кибербезопасности и проводить обучающие тренинги. Также не забудьте подписать с сотрудниками соглашение о неразглашении и объяснить, какие последствия грозят за нарушение. Однако даже внимательный руководитель не в состоянии обеспечить должную защиту информации, поэтому лучшим решением станет использование специализированного ПО.
Контролируйте доступ в систему
На сервере хранятся важные сведения, но далеко не каждый специалист сталкивается с ними во время работы. Ограничьте доступ к базам данных у тех сотрудников, которые не контактируют с пользователями.
Отслеживайте активность коллег
Staffcop позволяет фиксировать подозрительную активность: ПО реагирует на странные поисковые запросы, фиксирует, какие документы копирует специалист и кому он отправляет по электронной почте важные файлы или архивы.
Реагируйте на подозрительные действия
Если система безопасности зафиксировала подозрительный инцидент, инспектор ИБ может мгновенно отреагировать, например заблокировать доступ пользователю, пока не выяснит, кому и зачем он собирался передать конфиденциальную информацию.
Расследуйте инциденты
Если не удалось предотвратить слив, специализированные программы помогут провести расследование. Благодаря Staffcop можно отследить действия каждого специалиста: увидеть, кто упоминал базу данных в личных переписках в мессенджерах, пересылал текстовые файлы или копировал данные на флешку. По результатам расследования руководство передаст информацию в Роскомнадзор.
Заключение
Собрать хорошую базу клиентов — это полдела. Вторая половина — уберечь данные от мошенников. При утечке информации сведения о покупателях разлетаются по Сети, а магазин несет финансовые и репутационные риски. Чтобы избежать проверок со стороны Роскомнадзора, обеспечьте должную защиту персональных данных и убедитесь, что все коллеги знают правила работы с конфиденциальной информацией. А если избежать утечки не удалось, то Staffcop поможет разобраться, случайный это был слив или преднамеренный и кто виновен в инциденте.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети: «ВК» и «ТГ», где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.