Как защитить персональные данные клиентов от утечек

Современные технологии и цифровизация приводят к росту объема персональных данных. Однако, несмотря на прогресс в этой области, существуют недостатки как в законодательстве, так и на практике, негативно сказывающиеся на защите данных.

Проблемы включают в себя несоблюдение требований по обработке и хранению персональных данных, случаи утечки информации, а также недостаточную осведомленность граждан о своих правах. Все это вызывает опасения относительно конфиденциальности и безопасности персональных данных, а также возможное злоупотребление ими.

Как защитить персональные данные клиентов от утечек и не разорить компанию

Для раскрытия этой темы нам необходимо обратиться к определению термина "персональные данные". Согласно Федеральному закону № 152-ФЗ "О персональных данных", это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Но для чего хакеры и злоумышленники охотятся за нашими персональными данными и какие цели они преследуют при их получении? Причин достаточно много. Ниже я приведу некоторые из них, которые, по моему мнению, являются основными:

• заработок;
• взлом;
• удар по репутации (распространение дезинформации).

Как правило, злоумышленники преследуют цель заработать как можно больше на продаже персональных данных, ведь их агрегация позволяет сформировать цифровой профиль человека, что помогает найти новые подходы к тактикам проведения социальной инженерии и реализации новых целей.

Вторым пунктом идет взлом жертвы или компании, в которой она работает. Полученные персональные данные могут помочь злоумышленнику получить доступ к личным мессенджерам и иным аккаунтам жертвы, например правильно подобрав ответ на секретный вопрос для восстановления доступа в систему. Однако этот метод уходит в прошлое с введением двухфакторной аутентификации. На текущий момент популярным методом взлома с использованием социальной инженерии является метод кражи cookie жертвы, в котором могут находиться персональные данные, а также учетные данные для попадания в инфраструктуру организации.

В качестве примера приведу описание инцидента, случившегося в компании Electronic Arts: "О масштабной утечке данных игрового издателя Electronic Arts. Началось все с того, что хакеры купили украденные cookie-файлы за 10 долларов. Используя их, злоумышленники попали в корпоративный Slack компании Electronic Arts. Так как cookie позволяет заходить в систему под видом определенного человека, преступники решили воспользоваться этим. Выдавая себя за сотрудника корпорации, они связались со службой поддержки EA и в конечном итоге получили доступ к токенам многофакторной аутентификации и проникли в корпоративную сеть издателя".

Под третьим пунктом я выделяю "удар по репутации". Данный механизм направлен на экономическое и психологическое воздействие на человека или компанию, которая стала или может стать целью хакеров. Утечка данных может привести к финансовым потерям, к потере имиджа и доверия.

Для достижения своих целей злоумышленники, как правило, используют несколько основных техник:

• фишинг;
• социальную инженерию;
• целенаправленные атаки.

Все эти техники очень популярны в наше время, но около 60% угроз исходит от почтового фишинга.

По итогам исследования компании InfoWatch за 2022 г., в Сеть утекло более 667 млн записей персональных данных, что существенно больше показателя 2021 г. – 250 млн записей; 2020 г. – 191 млн записей.

Сравнение количества утечек за 2020–2022 гг.

Я провел исследование, которое показало, что защита персональных данных полностью реализована только в 26% компаний, в 53% реализована недостаточно. Оставшиеся (21%) респонденты ответили, что защита персональных данных у них не реализована в принципе.

Примечательно, что лишь 71% респондентов отметил высокую актуальность необходимости защиты персональных данных в России в целом, а для бизнеса – 46%.

Удивительно, что при огромном количестве утечек персональных данных в России только 45% компаний закладывают в бюджет на следующий год покупку средств защиты информации для защиты персональных данных и около 32% компаний еще не определились.

Для более глубокого понимания темы необходимо знать, какая ответственность может грозить за утечку или неправильную обработку персональных данных и при каких обстоятельствах она может наступить. Это знание поможет грамотно сформировать стратегию защиты персональных данных, сформировать и согласовать бюджет.

Законодательные основы

Для ответа на вопрос "Как защитить персональные данные клиентов от утечек и не разорить компанию?" необходимо изучить содержание ряда федеральных законов, приказов и постановлений правительства, некоторые из них приведены ниже:

• 152-ФЗ "О персональных данных";
• ПП № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
• ПП № 11 "Об утверждении требований к классам защищенности информации";
• ПП № 687 "Об утверждении Правил обработки персональных данных банковскими организациями";
• 149-ФЗ "Об информации, информационных технологиях и о защите информации";
• 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях";
• 38-ФЗ "О рекламе";
• 374-ФЗ "О дополнительных мерах по стимулированию развития цифровой экономики";
• приказы ФСТЭК 17/21.

Знание этих требований позволит закрыть методологическую часть защиты персональных данных в вашей организации, по этому процессу вам останется только осуществлять контроль и привлечение к ответственности за нарушения.

Классы защищенности информации

В постановлении Правительства РФ № 11 "Об утверждении требований к классам защищенности информации" описаны классы защищенности информации. Их всего четыре, однако для обеспечения адекватной защиты информации и персональных данных необходимо соответствовать 2, 3 или 4 классу, при этом реализация защиты по 4 классу требует существенных затрат.

Для реализации 2-го класса защиты необходимо использовать следующие виды средств защиты информации:

• антивирусное программное обеспечение и программное обеспечение для обнаружения вторжений;
• межсетевые экраны и другие средства контроля доступа;
• системы шифрования информации и защиты от утечки данных;
• системы обнаружения и предотвращения утечки конфиденциальной информации;
• средства защиты периметра сети;
• средства контроля целостности файлов;
• средства контроля доступа к файлам и каталогам;
• системы авторизации и аутентификации пользователей;
• системы мониторинга и анализа безопасности.

Проанализировав законодательные требования, многие руководители компаний, увидев существенную разницу между стоимостью средств защиты и штрафами за утечку персональных данных, оставляют все как есть, не развивая информационную безопасность компании и уж тем более защиту персональных данных.

Но ситуация изменится: могут быть введены оборотные штрафы до 500 млн руб., которые в корне поменяют отношение к защите персональных данных. Соответствующие законопроекты были направлены Минцифры России в Госдуму в марте 2023 г.

Актуальность защиты персональных данных в России в целом и для компаний

Планирование бюджета для защиты персональных данных

Реализация защиты персональных данных в цифрах

Средний и крупный бизнес имеют достаточно финансов для выполнения требований регуляторов и для реализации адекватной защиты персональных данных, поэтому я опишу свою субъективную оценку реализации защиты персональных данных в компаниях малого бизнеса и выделю основные статьи расходов с бюджетом до 1 млн руб.

1. Оценка и аудит безопасности данных (бюджет 200 тыс. руб.):

• проведите аудит текущего состояния безопасности данных в вашей организации;
• определите уязвимые места и риски, связанные с обработкой и хранением персональных данных;
• разработайте план мероприятий по устранению обнаруженных проблем безопасности.

2. Политика и процедуры безопасности данных (бюджет 100 тыс. руб.):

• разработайте политику безопасности данных, определяющую правила и процедуры для защиты персональных данных;
• обучите сотрудников правилам обработки и защиты персональных данных;
• разработайте процедуры реагирования на нарушения безопасности данных и инциденты.

3. Защита сетевой инфраструктуры (бюджет 300 тыс. руб.):

• установите файрволы и интранет-шлюзы для контроля и фильтрации сетевого трафика;
• разверните систему обнаружения вторжений (IDS) или систему предотвращения вторжений (IPS) для обнаружения и предотвращения несанкционированного доступа;
• установите и настройте антивирусное программное обеспечение для защиты от вредоносных программ.

4. Контроль доступа (бюджет 200 тыс. руб.):

• внедрите систему управления доступом (Access Control System) для контроля прав доступа сотрудников к персональным данным;
• разработайте и внедрите политику управления паролями и двухфакторной аутентификации;
• регулярно обновляйте и анализируйте журналы доступа для выявления подозрительной активности.

5. Шифрование данных (бюджет 150 тыс. руб.):

• рассмотрите возможность шифрования персональных данных в покое, при передаче ив хранилище.

Если политика вашей компании разрешает использовать решения Оpen Source для защиты информации, то необходимо их использовать.
Это может сэкономить компании немало денег, однако важно понимать, что данные средства защиты информации будут не сертифицированы и для полноценного выполнения требований регулятора их рассматривать не стоит.

QR-код для скачивания полного перечня документов для разработки и выполнения требований защиты персональных данных

Опубликовано в журнале "Системы безопасности" № 3/2023

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: ru.freepik.com