Молчание не золото. Почему российские компании скрывают утечки данных? Мнение

Руководитель направления дистрибуции компании TESSIS Роман Волов

Согласно данным компании Gemalto, количество скомпрометированной информации ежегодно растет. В 2016 году было зафиксировано почти 2 тысячи инцидентов, в результате которых злоумышленники получили несанкционированный доступ к 1,4 млрд данных. В 2017 году специалисты зарегистрировали 1766 инцидентов, а количество скомпрометированных данных составило 2,6 млрд. На текущий момент число потерянных или украденных записей в 2018 году уже достигло 9,7 млрд.

В мире наиболее крупными утечками информации в 2017 году стали:

1. Атака на компанию Equifax, американское бюро кредитной истории, в результате которой личной информацией 143 млн человек завладели злоумышленники. Стоит отметить, что данная компания ведет свою деятельность в том числе и в России.
2. Утечка персональных данных индийского мобильного оператора Jio Reliance — данные более 120 млн клиентов.
3. В результате ошибки (неправильной конфигурации утилиты для резервного копирования) в сеть утекла база личных данных на 1,37 млрд. записей компании River City Media, которая занимается сетевым маркетингом.

 

Что касается нашей страны, то информации об утечках очень мало. К сожалению, это происходит не из-за качественных систем защиты или высококвалифицированных специалистов. Некоторые компании все еще не считают важным вкладывать деньги в информационную безопасность и с трудом выделяют бюджет на продление антивирусной защиты несмотря на то, что таких мер уже давно недостаточно. Согласно ежегодному отчету компании INFOWATCH, Россия занимает второе место по количеству инцидентов в мире — 254 случая за 2017 год. В 2017 году стоит отметить следующие инциденты:

1. Пенсионный фонд РФ сформировал летом 2017 года специальную комиссию по вопросу проверки утечки личных данных более 17 тыс. человек. Данные содержались в Excel-файле и включали в себя номера СНИЛС, адреса регистрации, места работы, даты рождения.
2. Утечка паспортных данных более 36 тыс. клиентов микрофинансовой организации «Займоград» в Мурманской области.

 

Российские компании замалчивают факты кражи персональных данных, так как не хотят брать на себя ответственность. Кроме того, штрафы за нарушения незначительны, и организациям легче заплатить несколько тысяч рублей, нежели тратиться на безопасность. Однако, если инцидент становится известным публике, то избежать финансовых потерь не удастся. Компании могут столкнуться с издержками, связанными с ущербом для репутации, сбоями в работе организации или утратой конфиденциальной информации.

Возможных сценариев утечки персональных данных — масса. Самым безобидным последствием для клиента могут стать бесконечные звонки от разных компаний с предложениями услуг, например, продлить заканчивающийся через месяц полис ОСАГО. Так, в 2017 году в сети были обнаружены данные 5,6 млн клиентов российских страховых компаний. Что касается бизнеса, то основные угрозы здесь — кража интеллектуальной собственности, раскрытие корпоративной тайны, а также мошенничество и вымогательство.

Желание компаний умолчать об инцидентах понятно, однако оно может привести к неприятным последствиям. Так, «МаксимаТелеком», оператор Wi-Fi в Московском метрополитене, устранила уязвимость спустя сутки после публикации новости о ней. Хотя автор в данной статье пишет: «Я сообщил об уязвимости (наверняка это делали до меня, эта штука очевидна до нельзя) неделю назад, и, так и не получив никакого ответа, решил раскрыть ее тут». Таким образом, сервис минимум год позволял любому получить номера телефонов всех подключенных пассажиров поезда. В данном случае нельзя говорить о масштабном инциденте, который привел к серьезным последствиям. Но на основе данной информации могли быть предприняты и другие шаги, которые привели бы к утечке конфиденциальной информации или к реализации другой угрозы.

Говорить об утечках информации нужно. В США существует практика общественных слушаний по обнародованным инцидентам. Например, судебный процесс над компанией Equifax послужил уроком и позволил компаниям на чужом примере понять и вовремя устранить уязвимости в своей инфраструктуре. К сожалению, данная практика отсутствует у нас в стране, и нам приходится делать выводы, исходя из собственных ошибок. Уже давно не стоит вопрос, произойдет утечка или нет. Сейчас самый актуальный вопрос: «Когда это случится?»