Интересное
В 2022 году утечек персональных данных россиян стало в 40 раз больше. В открытый доступ попали данные более 100 млн пользователей, это две трети жителей страны. Самыми уязвимыми оказались сервисы доставки и ритейл, количество записей об их пользователях и сотрудниках составило почти половину общего объёма всех утёкших данных. «Лаборатория Касперского» прогнозирует, что количество случаев утечек данных в 2023-м увеличится на 20%. Рассказываем, что нужно учесть, чтобы обезопасить себя и своих клиентов.
Распределение утечек в Дарквебе по отраслям организаций в России, %
Какие данные попадают в сеть и чем это грозит
Уязвимость ритейла и служб доставки связана с тем, что такие компании хранят огромные объёмы конфиденциальной информации: имена, номера телефонов, данные платёжных карт.
В прошлом году в открытом доступе оказались две базы данных одного из крупнейших российских операторов экспресс-доставки с именами и фамилиями, номерами телефонов, адресами и другими данными пользователей. Один файл содержал 466 млн строк, а второй — 822 млн. В самой компании объясняли эти инциденты хакерской атакой. Пострадавшие пользователи подали к компании коллективный иск о взыскании 2,2 млн рублей в качестве компенсации.
В мае в сеть утекли персональные данные курьеров службы доставки еды и продуктов. База содержала 521 500 строк с ФИО, адресами электронных почт и номерами телефонов. В компании в качестве причины назвали внешнее воздействие и пообещали усилить меры защиты.
Ответственность за утечки в России вскоре могут ужесточить — Минцифры уже разработало соответствующий законопроект. Как сообщала газета «Коммерсант», при первичном инциденте будет предусмотрен фиксированный штраф и оборотный штраф (от 5 млн до 500 млн рублей) — при повторном.
Не только в России
Не только российский ритейл сталкивается с киберугрозами. В популярной американской сети супермаркетов, которая объединяет около 100 магазинов в семи штатах, утекли персональные данные более 3 млн пользователей. Среди них были имена, пароли, email и сведения из водительских удостоверений.
Компания в течение нескольких лет хранила данные покупателей на незащищённом облачном сервере с открытыми контейнерами, за это её оштрафовали на 400 000 долларов. При этом представители Wegmans заявили, что слитые данные были зашифрованы и нет никаких признаков, что кто-то из клиентов пострадал.
Число утечек в мире и в России, I полугодие 2021 vs I полугодие 2022
Как выстроить защиту данных
По сути, можно выделить два вида киберугроз, которым подвержены компании: хакерские атаки и утечки через сотрудников.
В ритейле много людей, которые занимаются обработкой персональных данных: отделы техподдержки, продаж, бухгалтерия и многие другие. Например, сотрудники отдела продаж считаются самой уязвимой для хакеров группой. Данные могут пострадать, если они не поставят хороший пароль на рабочую почту, перейдут по фишинговой ссылке или выложат в соцсети конфиденциальную информацию с рабочего места.
«Лаборатория Касперского» приводит рекомендации, которые помогут минимизировать риски.
Каждый сотрудник, начинающий работу в Ozon, должен пройти специальный курс по информационной безопасности. В нём мы в интерактивной форме рассказываем о ключевых мерах и о том, почему важно их соблюдать. Содержание курсов учитывает специфику конкретных профессий. Для сотрудников офиса, клиентского сервиса или склада у нас есть разные курсы.
Помимо этого мы проводим дополнительные активности, которые повышают осведомлённость и вовлечённость коллег. Для ИТ-специалистов мы организуем соревнования с решениями задач по информационной безопасности (CTF), а для сотрудников офиса — развлекательную викторину с классными призами.
Мы также проверяем наших коллег, отправляя фишинговые письма, разработанные командой информационной безопасности. В них мы рассказываем о секретных корпоративах или скидках, для доступа к которым нужно ввести корпоративную почту и пароль. Могу отметить, что число откликнувшихся на такие письма с каждой проверкой сокращается.
Иногда данные попадают в открытый доступ из-за атак злоумышленников, которые пользуются уязвимостями информационных систем, находят лазейки и сливают данные.
Для защиты от хакеров вы можете внедрить в свои системы дополнительную защиту и принять меры для профилактики взломов.
Для защиты данных клиентов мы используем риск-ориентированный подход: постоянно развиваем бизнес-процессы и технологические процессы в рамках концепции secure-by-design. Это значит, что мы выстраиваем безопасность на всех этапах развития продукта, начиная с разработки дизайна архитектуры. Мы внедряем современные системы и технологии кибербезопасности в соответствии с лучшими российскими и международными практиками, стандартами и законами. Среди них защита от DDoS-атак, WAF, SEIM, «Антивирус», «Антибот» и т. д.
Мы выстраиваем эффективные ИБ-коммуникации, которые позволяют контролировать безопасность всех внутренних и внешних процессов. Мы создали Центр мониторинга информационной безопасности (SOC) и организовали работу группы реагирования на инциденты ИБ (CSIRT). Обе команды помогают нам обнаруживать вредоносные действия, предотвращать их и эффективно противостоять.
Ещё у нас есть команда по защите данных и сотрудник, который отвечает за безопасность данных в компании (DPO). Они постоянно проводят аудит внутренних и внешних информационных систем, чтобы защитить данные клиентов, сотрудников и партнёров от любых видов утечек. Мы также запустили программу Bug Bounty, в рамках которой выплачиваем вознаграждение за поиск уязвимости в наших сервисах.