«Российские компании замалчивают факты кражи персональных данных, так как не хотят брать на себя ответственность».
Руководитель направления дистрибуции компании TESSIS Роман Волов
В мире наиболее крупными утечками информации в 2017 году стали:
- Атака на компанию Equifax, американское бюро кредитной истории, в результате которой личной информацией 143 млн человек завладели злоумышленники. Стоит отметить, что данная компания ведет свою деятельность в том числе и в России.
- Утечка персональных данных индийского мобильного оператора Jio Reliance — данные более 120 млн клиентов.
- В результате ошибки (неправильной конфигурации утилиты для резервного копирования) в сеть утекла база личных данных на 1,37 млрд. записей компании River City Media, которая занимается сетевым маркетингом.
Что касается нашей страны, то информации об утечках очень мало. К сожалению, это происходит не из-за качественных систем защиты или высококвалифицированных специалистов. Некоторые компании все еще не считают важным вкладывать деньги в информационную безопасность и с трудом выделяют бюджет на продление антивирусной защиты несмотря на то, что таких мер уже давно недостаточно. Согласно ежегодному отчету компании INFOWATCH, Россия занимает второе место по количеству инцидентов в мире — 254 случая за 2017 год. В 2017 году стоит отметить следующие инциденты:
- Пенсионный фонд РФ сформировал летом 2017 года специальную комиссию по вопросу проверки утечки личных данных более 17 тыс. человек. Данные содержались в Excel-файле и включали в себя номера СНИЛС, адреса регистрации, места работы, даты рождения.
- Утечка паспортных данных более 36 тыс. клиентов микрофинансовой организации «Займоград» в Мурманской области.
Российские компании замалчивают факты кражи персональных данных, так как не хотят брать на себя ответственность. Кроме того, штрафы за нарушения незначительны, и организациям легче заплатить несколько тысяч рублей, нежели тратиться на безопасность. Однако, если инцидент становится известным публике, то избежать финансовых потерь не удастся. Компании могут столкнуться с издержками, связанными с ущербом для репутации, сбоями в работе организации или утратой конфиденциальной информации.
Возможных сценариев утечки персональных данных — масса. Самым безобидным последствием для клиента могут стать бесконечные звонки от разных компаний с предложениями услуг, например, продлить заканчивающийся через месяц полис ОСАГО. Так, в 2017 году в сети были обнаружены данные 5,6 млн клиентов российских страховых компаний. Что касается бизнеса, то основные угрозы здесь — кража интеллектуальной собственности, раскрытие корпоративной тайны, а также мошенничество и вымогательство.
Желание компаний умолчать об инцидентах понятно, однако оно может привести к неприятным последствиям. Так, «МаксимаТелеком», оператор Wi-Fi в Московском метрополитене, устранила уязвимость спустя сутки после публикации новости о ней. Хотя автор в данной статье пишет: «Я сообщил об уязвимости (наверняка это делали до меня, эта штука очевидна до нельзя) неделю назад, и, так и не получив никакого ответа, решил раскрыть ее тут». Таким образом, сервис минимум год позволял любому получить номера телефонов всех подключенных пассажиров поезда. В данном случае нельзя говорить о масштабном инциденте, который привел к серьезным последствиям. Но на основе данной информации могли быть предприняты и другие шаги, которые привели бы к утечке конфиденциальной информации или к реализации другой угрозы.
Говорить об утечках информации нужно. В США существует практика общественных слушаний по обнародованным инцидентам. Например, судебный процесс над компанией Equifax послужил уроком и позволил компаниям на чужом примере понять и вовремя устранить уязвимости в своей инфраструктуре. К сожалению, данная практика отсутствует у нас в стране, и нам приходится делать выводы, исходя из собственных ошибок. Уже давно не стоит вопрос, произойдет утечка или нет. Сейчас самый актуальный вопрос: «Когда это случится?»