Как предотвратить утечку персональных данных

С 2007 по 2019 годы в России произошло 14,3 тыс. утечек конфиденциальной информации. Одни и те же ошибки руководства компаний приводят к компрометации персональных данных сотен тысяч и миллионов клиентов.

«Утекают» данные о гражданах, контрагентах и сделках, технические и бухгалтерские сведения. Для компаний утечка персональных и платежных данных губительна, от этого страдает репутация в глазах клиентов. Злоумышленники охотятся на информационные активы российских финансовых и транспортных организаций, ИT-компаний и промышленных предприятий. Чем популярнее проект, тем больше он подвержен риску взлома. Так, в апреле 2019 года одна из финансовых организаций не обеспечила сведениям должную защиту и допустила утечку данных 120 тыс. ИП и юридических лиц из базы Росфинмониторинга (здесь и далее статистические данные Tadviser).

Почему утекают персональные данные

Любой бизнес-проект может иметь уязвимость, из-за которой персональные данные клиентов могут попасть в открытый доступ. Такое случается по семи основным причинам.

1. Владелец сайта выбирает недостаточный уровень шифрования данных или передает их по обычному протоколу.
Весной 2019 года утекли в интернет 157 Гбайт данных клиентов ведущего финансового брокера, 21 Гбайт телефонов и аудиозаписей звонков сервиса автообзона, 3 Гбайт данных сотрудников сервиса частной медицинской помощи.

2. Сотрудники используют конфиденциальную информацию в тестовых целях, например при передаче систем управления базами данных на тестирование разработчикам. При грамотном подходе в финансовых структурах программисты не имеют доступа к реальным данным клиентов, но некоторые пренебрегают этими мерами безопасности. Несмотря на то что каждый сотрудник отвечает за сохранность данных, у многих есть искушение воспользоваться служебным положением.

В 2018 году именно сотрудники оказались виноваты в 78% случаев компрометации данных, не предназначенных для публичного доступа. Причем в России доля утечек по вине руководителей выше, чем в мире — 8,8% против 3,2%.

3. Владелец проекта некорректно распоряжается правами доступа к СУБД.

По результатам обследования 1900 серверов с применением двух популярных систем управления базами данных и распространенной поисковой системы выявлено, что к персональным данным в этих БД можно получить доступ без авторизации, а 10% серверов содержат личную информацию россиян или коммерческие материалы компаний.

4. Владельцы интернет-ресурсов не уделяют должного внимания резервному копированию, передают базы данных через открытое хранилище с открытой ссылкой для скачивания без защиты архива паролем. Нередко даже крупные стартапы хранят данные в незашифрованном виде.

В октябре 2018 года данные о 421 тыс. сотрудников одного из топовых банков попали в Сеть.

5. ИT-команда устанавливает недостаточно жесткие требования к сложности пароля.

6. Сотрудники недостаточно защищают ресурс от межсайтового скриптинга (XSS) и SQL-инъекций.

7. Владелец сайта использует слабые системы мониторинга и логирования процессов управления.

Какие решения защищают персональные данные клиентов

Курс на надежную защиту персональных данных задало государство. С 2014 года законодательная база в области защиты персональных данных активно совершенствуется. Это заставляет операторов пересматривать свою политику информационной безопасности.

Современные решения и индивидуальные ноу-хау помогают компаниям сохранить персональные данные. Разработчики используют решения на основе искусственного интеллекта, которые самостоятельно анализируют поведение пользователей. Они запоминают и постоянно обновляют шаблон действий «обычного» посетителя, накладывают его на новые данные и сравнивают в режиме онлайн. Система сообщает, если выявит потенциально зловредное поведение того или иного пользователя. Это позволяет не заниматься принятием мер постфактум, а предупреждать неправомерные действия по отношению к персональным данным.

Персональные данные теперь лучше защищены от потерь благодаря внедрению экосистем на базе блокчейна. Разработчики улучшают средства защиты сервисов и системы мониторинга по мере роста угроз взлома и кражи баз данных.

Самые известные компании, имеющие решения для защиты персональных данных:

1. Cloudflare предоставляет услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS.
2. Bitglass защищает данные в облачных приложениях и на устройствах.
3. Skyhigh Networks обеспечивает контроль над данными и действиями пользователей в облачных сервисах.
4. Netskope предоставляет сервисы, разработанные с применением искусственного интеллекта.
5. CipherCloud работает с токенизацией, системой шифрования и комплексным управлением ключами.
6. Okta помогает централизовать управление пользователями, автоматизировать доступ в облачных, локальных и мобильных приложениях.
7. «Лаборатория Касперского» защищает корпоративные системы, данные и рабочие процессы компаний и госучреждений.

Решения для борьбы с утечками и кражами персональных данных совершенствуются, однако революционных новинок не появилось, и «сила действия» киберпреступности равна силе противодействия систем защиты.

Крупные агрегаторы персональных данных ежегодно модернизирует свои системы, но общая статистика не радует. Владельцы онлайн-ресурсов, как правило, выбирают решения, опираясь исключительно на необходимый уровень безопасности. Большинство проектов не имеет должного финансирования или соответствующих кадров для решения задач в области безопасности персональных данных.

К сожалению, четкого алгоритма действий, способного обеспечить полную безопасность, нет. Каждый блок проекта требует индивидуального подхода. Проверку должен осуществлять не один человек, а команда разработчиков с адекватной подготовкой. Чем больше накапливается персональных данных, тем сильнее должна быть их защита.

Иногда утечка персональных данных происходит из-за недобросовестности сотрудников и часто — благодаря гениальным способностям атакующего. ИT-служба компании должна отслеживать поведение мошенников, анализировать результаты их действий, совершенствовать системы защиты на основе полученного опыта, а в идеале -- предвидеть мошеннические действия.

Надежно защищайте персональные данные

1. Постоянно проводите профилактику безопасности. Проверяйте все системы, повышайте уровень тестирования новых версий ПО, модулей, плагинов, патчей.
2. Если проект публичный, переведите базы на https. Сайт, который работает на http, вызывает подозрение.
3. Регулярно проверяйте сайт на предмет уязвимостей, на рынке есть сотни решений для этого.
4. Обратите внимание на частоту обновления и способы получения персональных данных. Не храните информацию о клиентах, если бизнес-модель предполагает разовые приобретения, после которых информация о потребителе не понадобится. Она не несет материальной ценности, но по вашей вине может попасть в руки злоумышленников.
5. Анализируйте всю ИT-инфраструктуру проекта, ниши хранения данных, облачные сервисы, выявляйте слабые места.Совместно с юристами усильте условия трудовых контрактов со специалистами, работающими с персональными данными.
6.  Разъясните сотрудникам всю ответственность за халатное отношение к безопасности информации или ее намеренную кражу. Не экономьте на тренингах по ИT-безопасности. По данным Ponemon Institute, 61% сотрудников злоупотребляет доступом к конфиденциальным данным компании.
7. Надежный компьютер — выключенный компьютер.

* * *
Микаэл Караманянц, основатель и генеральный директор, «РашенСофт»
Тип публикации:  Статья