Утечки данных 2013: российский бизнес надеется на "авось"

Утечки данных 2013: российский бизнес надеется на "авось"

В декабре 2013 года группа сенаторов внесла в Госдуму поправки к закону "О персональных данных", которые регламентируют ответственность компаний за утечку информации. В частности, согласно этим документам, многократно вырастут штрафы за подобные инциденты, что заставит российский бизнес пересмотреть отношение к вопросам информационной безопасности. Пока же оно остается преимущественно халатным. Подтверждения — в статистике.

Особенности национального инсайда

Одна из тенденций отрасли защиты информации от утечек последних лет — сохранение количества инцидентов на одном уровне. Если в 2010 году, по данным аналитического центра Zecurion, в мире было зафиксировано 830 утечек с потенциальным ущербом свыше 5 тыс. долларов, то в 2011 году — 819, а в 2012 году — 825.

Доля утечек российского "происхождения" при этом находится в пределах 3,5-5%. Близкие цифры приводит и Роскомнадзор. В отчёте о деятельности Уполномоченного органа по защите прав субъектов персональных данных, опубликованном в 2013 году, говорится о 53 случаях утечки персональных данных. По сравнению с числом инцидентов в США кажется, что это немного. Однако в данном случае статистика не должна никого обманывать.

Бизнес по знакомству

В феврале 2013 года ГУЭБиПК МВД России и ГУ МВД России по Приволжскому федеральному округу совместно со службой безопасности Сбербанка смогли пресечь деятельность организованной группы (бывшие действующие сотрудники подразделений банка, а также руководители коммерческих организаций), участники которой подозреваются в хищении в особо крупном размере денежных средств с зарплатных карт клиентов ОАО "Сбербанк России".

Благодаря связям в финансово-кредитных учреждениях они имели доступ к информации о держателях банковских карт, наличии и количестве денежных средств на счетах, а также паспортным данным. За счет фиктивных доверенностей они получали доступ к денежным средствам "жертв", переводили их на свои счета с помощью электронной системы "Сбербанк-онлайн" и затем обналичивали.

В отношении подозреваемых следственными органами возбуждено уголовное дело по признакам преступления, предусмотренного статьей УК РФ "Мошенничество". Предполагаемый ущерб, причиненный ОАО "Сбербанк России", превысил 50 миллионов рублей.

Большое количество публичных инцидентов в США связано с требованиями местного законодательства, обязывающего компании раскрывать факты утечек, а также особенностями национального менталитета — американцы исключительно щепетильно относятся к privacy и искренне возмущаются, когда какая-либо организация допускает утечку их персональных данных.

В России же, где различного рода "базы", в том числе и составляемые госструктурами, до сих пор широко распространены, уровень терпимости несравнимо выше, а законодательно закреплённых требований разглашать случаи утечек пока еще нет.

В США раскрытие информации об утечке персональных данных считается правилом хорошего тона и действительно помогает уменьшить недовольство со стороны клиентов и сократить финансовый ущерб от инцидента. В России пока еще компании заинтересованы в сокрытии инцидента. Раскрытие информации влекло за собой ненужный интерес со стороны прессы и клиентов и прочие негативные последствия для бизнеса.

Опасная страховка

В июле 2013 года произошла серьезная утечка в российском представительстве страховой компании Zurich. В базе данных, которая досталась злоумышленникам, содержалась информация о более чем 1 млн клиентов компании за период с января 2012 по февраль 2013 года.

"При грамотном использовании базы конкуренты смогут переманить не менее половины клиентов, — рассказал Владимир Ульянов, руководитель аналитического центра Zecurion, комментируя утечку базы данных российского представительства страховой компании Zurich. Если при этом, по его словам, средняя стоимость страхового договора составляет 8 тыс. рублей, убытки компании могут составить не менее 4 млрд рублей.

"Аргументами для клиентов в данном случае могут быть меньшая стоимость полиса или больший набор услуг. Да и сам факт утечки не прибавит лояльности клиентам Zurich, — сказал Ульянов.

Если стремление российских компаний к сокрытию инцидентов вполне объяснимо, причины низкой заинтересованности в реальной защите данных остаются не до конца понятными.

Одна лишь оценка потенциального ущерба должна мотивировать компании уделять самое пристальное внимание безопасности информационных активов. Но, вероятно, слабое управление рисками ("скорее всего, у нас ничего не украдут") или его полное отсутствие привели к тому, что получилось в 2013 году.

Зависть и связи

Крупная утечка документации произошла осенью 2012 года в концерне "Тракторные заводы". Потенциальный ущерб — более 50 млн рублей. Обвинение было предъявлено бывшему сотруднику предприятия, возглавившему затем конкурирующий "ЧТЗ-Уралтрак". По версии следствия, документы, составляющие коммерческую тайну, вынесли бывшие коллеги инсайдера.

"Основной причиной низкой заинтересованности российских компаний в реальной защите данных является существенное превышение затрат на защиту информации по сравнению с потенциальным ущербом от утечки информации, — рассказал Юрий Маслов, коммерческий директор ООО "Крипто-Про". Например, на начало августа 2013 на 279 330 оператора персональных данных приходилось 53 утечки за 2013 год.

Бизнес, по словам Маслова, считает так: вероятность, что утечка произойдёт в организации в течение года, составит 0,0002. При размере штрафа в 5000 рублей по ст. 13.11 КоАП РФ и при среднем по РФ размере компенсации морального вреда 80000 рублей величина потенциального ущерба составит 17 рублей. А проверки уполномоченным органом компания не боится, т.к. она придёт не раньше, чем через 3 года после образования юридического лица, и при максимуме 1000 проверок в год эту проверку можно ждать ещё 279 лет.

Наибольшее количество информации (20%), согласно статистике Zecurion.ru, в 2012 году утекло через различные веб-сервисы. При этом чаще всего виновниками становились роботы поисковых систем, индексирующие данные на серверах организаций.

Если рассматривать статистику последних лет, можно отметить существенное снижение доли утечек через стационарные компьютеры (до 10%). И действительно, нет смысла взламывать помещения, воровать массивные рабочие станции, когда практически те же самые данные находятся на мобильных компьютерах, которые сотрудники активно используют вне офиса.

Фальстарт

Банк Citigroup, по сообщению Reuters 3 октября 2013 года, оштрафован на 30 млн долларов. Эту сумму ему придется выплатить в связи с неправомерной деятельностью одного из аналитиков Citigroup Global Markets на Тайване Кевина Чанга (Kevin Chang), который отправил финансовым организациям конфиденциальное исследование о Hon Hai Precision Industry Co, главном партнере Apple, до официальной публикации отчета.

Применение средств прозрачного шифрования дисков в данном случае могло бы значительно сократить число инцидентов, однако на практике лишь немногие компании используют подобные программы.

"Однако одной из значительных „подводных" частей айсберга являются целенаправленные атаки, направленные на кражу данных или совершение мошеннических действий в сети конкретной компании", — рассказал Сергей Гордейчик, заместитель генерального директора Positive Technologies. Целями подобных атак, по его словам, могут быть порталы обслуживания клиентов телекоммуникационных компаний, ДБО, а также рабочие станции сотрудников, используемые в качестве "посредников" при доступе к хранилищам корпоративной информации, таким как ERP.

"По результатам расследований инцидентов, проводимым компанией Positive Technologies, в последние два года наблюдался ощутимый рост подобных атак в корпоративном секторе", — сказал Гордейчик.

Наибольшее количество утечек на протяжении последних лет происходит всё же не по злому умыслу, из-за халатности или невнимательности сотрудников. Отчасти этому способствует сам технический прогресс и упрощение методов хранения и передачи информации.

Большое количество информации пропадает вместе с мобильными накопителями. На карманные флешки умещаются десятки гигабайт данных, и утрата лишь одного носителя с конфиденциальной базой данных влечёт серьёзные последствия. Нередко чувствительную информацию отправляют по электронной почте ошибочному адресату. В данном случае злую шутку играет функция автозаполнения полей в почтовых клиентах. Подобные инциденты легко предотвращаются современными DLP-системами, но их применение пока ещё достаточно ограничено.

Так стоит ли ожидать уменьшения утечек в ближайшее время? Вряд ли. Реальная защищённость компаний находится на низком уровне, и кардинально ситуация за ограниченный промежуток времени не переменится.

Организационные изменения не приживаются быстро, а внедрение средств информационной безопасности требует не только желания, но и бюджета. Тем не менее, будет расти заинтересованность компаний в защите собственной конфиденциальной информации, персональных данных клиентов. Этому поспособствует рост финансовых потерь от инцидентов в целом и увеличение штрафных санкций со стороны регуляторов в частности.

В конце 2012 года группа сенаторов во главе с председателем Совета Федерации Валентиной Матвиенко внесла в Госдуму поправки в закон "О персональных данных". Если они будут приняты, компании, у которых произошла утечка информации, будут обязаны сообщать об этом в уполномоченный госорган.

О планах Совета Федерации по многократному увеличению штрафов за утечку информации было известно еще в конце июля 2013 года. Штрафы, по словам сенатора Руслана Гаттарова, должны исчисляться миллионами рублей для юридических лиц и сотнями тысяч рублей для физических лиц.

Простой доступ

Экс-начальник отдела продаж "ФосАгро" приговорен к году и девяти месяцам исправительных работ за слив коммерческой информации иностранным клиентам за 2 миллиона долларов.

Летом 2013 года выяснилось, что в период с 2010 по 2011 год он незаконно передавал заинтересованным иностранцам служебную информацию в области реализации минудобрений — данные об объемах производства кормовых фосфатов, ценах, взаимоотношениях с клиентами.

Полученную конфиденциальную информацию клиенты использовали в своих коммерческих интересах, что "давало определенные конкурентные преимущества" на рынке продажи минудобрений. В результате ЗАО "ФосАгро АГ" понесло убытки более чем на 2 миллиона долларов.

Увеличение санкций за утечки грозит не только российским компаниям, но и европейским. На рассмотрении Европарламента в настоящий момент находится новый вариант закона о защите персональных данных, предусматривающий, в частности, увеличение штрафов.

Усиление нормативного прессинга и повышение осведомлённости топ-менеджмента организаций по вопросам информационной безопасности положительно скажется на защищённости не только персональных данных, но и информационных активов компаний в целом. И первые сдвиги уже заметны — согласно опросу, проведённому Zecurion в различных регионах России, Украины и Казахстана, около 25% компаний планируют начать внедрение DLP-систем в ближайший год. Удастся ли воплотить такие масштабные планы в жизнь, станет известно уже скоро.

Полезный багаж

Американская компания-производитель процессоров AMD обвинила четырех своих бывших сотрудников в хищении более ста тысяч секретных документов. Из судебного иска, поданного в окружной суд американского штата Массачусетс, следует, что трое бывших сотрудников компании, перед тем, как перейти на работу в Nvidia, занимающуюся разработкой чипов, незаконно загрузили на съемные носители около ста тысяч конфиденциальных документов, принадлежащих AMD.

Судебный иск касается Роберта Фельдштайна (Robert Feldstein), Ману Дисай (Manoo Desai), Николаса Коцука (Nicolas Kociuk), а также Ричарда Хагена (Richard Hagen), который обвиняется в том, что он нанял в конкурирующую компанию бывших сотрудников AMD зная, что у них есть секретные документы. Роберт Фельдштайн ранее занимал в AMD пост вице-президента по стратегическим разработкам. В его обязанности входила разработка решений, которые будут использованы в таких популярных игровых консолях следующего поколения, как новые версии Xbox, PlayStation и Wii. Как утверждает AMD, поскольку ни Xbox, ни PlayStation еще даже официально не анонсированы, существует риск того, что Фельдштайн может раскрыть секретные технологии своим новым работодателем.

Источник:
digit.ru