Публикации
Как предотвратить утечку персональных данных
/
Микаэл КАРАМАНЯНЦ //
. -
2019 -
Новая технология контроля и разграничения прав доступа к данным в информационных системах
/
К.А. Щеглов, А.Ю. Щеглов //
ИСПДн.ру. -
2014 -
сентябрь
Три мифа о персональных данных и облаках
/
Емельянников Михаил Юрьевич //
CNEWS. -
2018 -
Сертификация средств защиты персональных данных: революция или эволюция?
/
А.С.Марков, М.Ю.Никулин, В.Л.Цирлов //
Защита информации. Инсайд. -
2008. -
№5.
Проблемы и решения по защите персональных данных в информационных системах персональных данных
/
А.Марков и Б.Сухинин //
Улан-Уде: ВСГТУ (ТиПВСИТ-2009, 20-27 июля) . -
2009. -
Ч.II. - C.241-244.
Защита персональных данных: откладывать больше нельзя
/
В.Левцов, И.Новиков //
CNews.ru. -
2009. -
15 мая.
Персональные данные. Будни банковской безопасности
/
Е.Царев //
Интеллектуальный банк. -
2009 -
13 июля.
Защита персональных данных в кредитно-финансовых организациях
/
В.Сердюк //
Интеллектуальный банк. -
2009. -
13 июля.
Обработка персональных данных в информационных системах: как обеспечить безопасность
/
А.Бажанов, И.Назаров, Ю.Язов //
Connect! Мир Связи. -
2009. -
№1.
Информационные системы персональных данных
/
М.Емельянников //
CIO. -
2008. -
15 октября.
Постатейный комментарий к Федеральному закону "О персональных данных"
/
М.И.Петров //
ЮД "Юстицинформ". -
2007. -
65с.
Защита персональных данных
/
О.Слепов //
Jet Info. -
2009. -
5 (192).
Защита персональных данных: проблемы и решения
/
В.Коржов //
www.osp.ru. -
2009. -
7 сентября.
Защита персональных данных от вредоносных программ
/
А.Ю.Щеглов //
ИСПДн.ру. -
2009 -
5 августа
Сетевая безопасность персональных данных
/
С.Рябко //
Connect! Мир Связи. -
2009. -
7.
Обработка персональных данных в медицинских организациях
/
А.Столбов //
PCWeek/RE. -
2009. -
6 октября.
Как защитить персональные данные. Подборка статей LETA IT-company
/
О.Губка, Н.Зенин, Н.Конопкин В. Левцов, И.Новиков, Е.Царев //
www.leta.ru. -
2009. -
октябрь.
Обеспечение гарантированной анонимности персональных данных с использованием биометрического профиля пользователя
/
А.Иванов, И.Назаров, Ю.Язов, Е.Остроухова //
Информация и Безопасность. -
2009. -
№1.
Защита персональных данных: если наступит завтра
/
А.Сабанов, Н.Комарова, О.Плотников //
cnews.ru. -
2009. -
ноябрь.
В противовес "ленивым"
/
А.Марков //
Защита информации. Инсайд.. -
2009. -
6.
Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“
/
LETA IT-company //
www.leta.ru. -
2010. -
C. 80.
Почему не заработал закон "О персональных данных"?
/
М.Ю.Емельянников //
Финансовые известия. -
2010 -
22.04.2010
Защита конфиденциальности персональных данных с помощью обезличивания
/
И.Ю.Кучин //
Вестник АГТУ. -
2010. -
№2.
Лицензирование как продукт осознанной необходимости: Лицензирование деятельности операторов персональных данных
/
И.Шахалов //
Защита информации. Инсайд. -
2010. -
2.
Ветер перемен: и регулятор может ошибаться
/
Е.Царев, А.Санин //
IT Manager . -
2010. -
апрель.
Защита персональных данных: пригодится ли нам британский опыт?
/
А.Волков, Е.Царев //
cnews.ru. -
2010 -
июль
Двадцать популярных заблуждений операторов персональных данных
/
П.Шмелев //
fz152.ru. -
2010. -
часть 1, 2.
Готовность к силе закона
/
О.Седов //
Директор ИС. -
2010 -
11.
Процедура обезличивания персональных данных
/
Е. А.Саксонов, Р. В.Шередин //
Наука и образование: электронное научно-техническое издание. -
2011 -
№3 (март).
О подходах по минимизации выполнения требований закона «О персональных данных»
/
В.Омаров //
ИСПДн.ру. -
2011. -
июль.
Публикации 1 - 30 из 30
Начало | Пред. | 1 | След. | Конец
Как предотвратить утечку персональных данных
С 2007 по 2019 годы в России произошло 14,3 тыс. утечек конфиденциальной информации. Одни и те же ошибки руководства компаний приводят к компрометации персональных данных сотен тысяч и миллионов клиентов.

Почему утекают персональные данные
Любой бизнес-проект может иметь уязвимость, из-за которой персональные данные клиентов могут попасть в открытый доступ. Такое случается по семи основным причинам.
1. Владелец сайта выбирает недостаточный уровень шифрования данных или передает их по обычному протоколу.
Весной 2019 года утекли в интернет 157 Гбайт данных клиентов ведущего финансового брокера, 21 Гбайт телефонов и аудиозаписей звонков сервиса автообзона, 3 Гбайт данных сотрудников сервиса частной медицинской помощи.
2. Сотрудники используют конфиденциальную информацию в тестовых целях, например при передаче систем управления базами данных на тестирование разработчикам. При грамотном подходе в финансовых структурах программисты не имеют доступа к реальным данным клиентов, но некоторые пренебрегают этими мерами безопасности. Несмотря на то что каждый сотрудник отвечает за сохранность данных, у многих есть искушение воспользоваться служебным положением.
В 2018 году именно сотрудники оказались виноваты в 78% случаев компрометации данных, не предназначенных для публичного доступа. Причем в России доля утечек по вине руководителей выше, чем в мире — 8,8% против 3,2%.
3. Владелец проекта некорректно распоряжается правами доступа к СУБД.
По результатам обследования 1900 серверов с применением двух популярных систем управления базами данных и распространенной поисковой системы выявлено, что к персональным данным в этих БД можно получить доступ без авторизации, а 10% серверов содержат личную информацию россиян или коммерческие материалы компаний.
4. Владельцы интернет-ресурсов не уделяют должного внимания резервному копированию, передают базы данных через открытое хранилище с открытой ссылкой для скачивания без защиты архива паролем. Нередко даже крупные стартапы хранят данные в незашифрованном виде.
В октябре 2018 года данные о 421 тыс. сотрудников одного из топовых банков попали в Сеть.
5. ИT-команда устанавливает недостаточно жесткие требования к сложности пароля.
6. Сотрудники недостаточно защищают ресурс от межсайтового скриптинга (XSS) и SQL-инъекций.
7. Владелец сайта использует слабые системы мониторинга и логирования процессов управления.
Какие решения защищают персональные данные клиентов
Курс на надежную защиту персональных данных задало государство. С 2014 года законодательная база в области защиты персональных данных активно совершенствуется. Это заставляет операторов пересматривать свою политику информационной безопасности.
Современные решения и индивидуальные ноу-хау помогают компаниям сохранить персональные данные. Разработчики используют решения на основе искусственного интеллекта, которые самостоятельно анализируют поведение пользователей. Они запоминают и постоянно обновляют шаблон действий «обычного» посетителя, накладывают его на новые данные и сравнивают в режиме онлайн. Система сообщает, если выявит потенциально зловредное поведение того или иного пользователя. Это позволяет не заниматься принятием мер постфактум, а предупреждать неправомерные действия по отношению к персональным данным.
Персональные данные теперь лучше защищены от потерь благодаря внедрению экосистем на базе блокчейна. Разработчики улучшают средства защиты сервисов и системы мониторинга по мере роста угроз взлома и кражи баз данных.
Самые известные компании, имеющие решения для защиты персональных данных:
- Cloudflare предоставляет услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS.
- Bitglass защищает данные в облачных приложениях и на устройствах.
- Skyhigh Networks обеспечивает контроль над данными и действиями пользователей в облачных сервисах.
- Netskope предоставляет сервисы, разработанные с применением искусственного интеллекта.
- CipherCloud работает с токенизацией, системой шифрования и комплексным управлением ключами.
- Okta помогает централизовать управление пользователями, автоматизировать доступ в облачных, локальных и мобильных приложениях.
- «Лаборатория Касперского» защищает корпоративные системы, данные и рабочие процессы компаний и госучреждений.
Крупные агрегаторы персональных данных ежегодно модернизирует свои системы, но общая статистика не радует. Владельцы онлайн-ресурсов, как правило, выбирают решения, опираясь исключительно на необходимый уровень безопасности. Большинство проектов не имеет должного финансирования или соответствующих кадров для решения задач в области безопасности персональных данных.
К сожалению, четкого алгоритма действий, способного обеспечить полную безопасность, нет. Каждый блок проекта требует индивидуального подхода. Проверку должен осуществлять не один человек, а команда разработчиков с адекватной подготовкой. Чем больше накапливается персональных данных, тем сильнее должна быть их защита.
Иногда утечка персональных данных происходит из-за недобросовестности сотрудников и часто — благодаря гениальным способностям атакующего. ИT-служба компании должна отслеживать поведение мошенников, анализировать результаты их действий, совершенствовать системы защиты на основе полученного опыта, а в идеале -- предвидеть мошеннические действия.
Надежно защищайте персональные данные
- Постоянно проводите профилактику безопасности. Проверяйте все системы, повышайте уровень тестирования новых версий ПО, модулей, плагинов, патчей.
- Если проект публичный, переведите базы на https. Сайт, который работает на http, вызывает подозрение.
- Регулярно проверяйте сайт на предмет уязвимостей, на рынке есть сотни решений для этого.
- Обратите внимание на частоту обновления и способы получения персональных данных. Не храните информацию о клиентах, если бизнес-модель предполагает разовые приобретения, после которых информация о потребителе не понадобится. Она не несет материальной ценности, но по вашей вине может попасть в руки злоумышленников.
- Анализируйте всю ИT-инфраструктуру проекта, ниши хранения данных, облачные сервисы, выявляйте слабые места.Совместно с юристами усильте условия трудовых контрактов со специалистами, работающими с персональными данными.
- Разъясните сотрудникам всю ответственность за халатное отношение к безопасности информации или ее намеренную кражу. Не экономьте на тренингах по ИT-безопасности. По данным Ponemon Institute, 61% сотрудников злоупотребляет доступом к конфиденциальным данным компании.
- Надежный компьютер — выключенный компьютер.
Тип публикации: Статья