С начала 2022 года зафиксировано уже более 60 крупных инцидентов утечек информации, которая содержит более 230 миллионов записей с личной информацией. В статье рассматриваются причины, следствия и эффективные методы борьбы с распространением персональной информации третьим лицам.
Ключевые слова: персональные данные, информационная безопасность, корпоративная сеть.
За 2021 год экспертно-аналитический центр InfoWatch зарегистрировал 331 инцидент утечки данных ограниченного доступа, из них 89,8 % приходится на персональные данные, 5,1 % на коммерческие тайны, 4,7 % на государственные тайны и 0,4 % на платежную информацию [1]. Изучая проблему распространения персональных данных, операторами которых являются крупные компании, мы можем выделить две основные причины: технические, носящие человеческий фактор.
Если рассматривать технические причины, то несанкционированный доступ к персональным данным злоумышленники могут получить из-за недостаточной защищенности корпоративной сети [5]. Общая картина рынка говорит, что о защите своей инфраструктуры задумывается лишь малая часть предприятий, в процентном соотношении — более половины это крупные компании.
Принимая во внимание человеческий фактор, то большинство инцидентов происходит именно из-за некомпетентности и неосведомленности персонала компаний. Стоит также отметить, что некоторая процентная часть утечек происходит из-за острой конкурентной среды на рынке труда, где выявлены следующие проблемы: 1) промышленный шпионаж; 2) отсутствие разграничения доступа к информации конфиденциального характера [6]. Часто злоумышленники при попытке проникнуть в инфраструктуру компании используют именно этот вектор атаки, так как он является наиболее эффективным. При этом в сеть, помимо персональных данных утекают также и данные, составляющую коммерческую тайну.
По данным Роскомнадзора утечки информации влекут за собой создание «цифровых клонов» жертв, которые затем используются для мошеннических действий. [2]
Для того, чтобы определить, как защититься от утечки данных необходимо выяснить, кому и зачем может понадобиться информация, которой обладают операторы персональных данных.
Главная угроза передачи персональных данных третьим лицам — это люди. Угрозы разглашения информации разделяют на внешние, внутренние и смешанные.
Основной проблемой распространения персональных данных из внешних источников в информационном пространстве является конкуренция взаимодействующих фирм на рынке. Следствием конкуренции является приобретение информации о действиях конкурентов, то есть коммерческий шпионаж, который является противозаконным действием и подлежит уголовной и административной ответственности.
Внутренней угрозой распространения персональных данных является неправильная организация инфраструктуры корпоративной сети, где нет четкого разграничения полномочий и доступа к данным. По данным InfoWatch в 2021 году утечки данных в 58,3 % случаев происходили из-за рядовых сотрудников и в 32,2 % из-за злоумышленников. [1] Разграничение доступа к данным, в этом случае подразумевает под собой возможность беспрепятственного доступа к информации в пределах его полномочий и исключить возможности превышения этих полномочий. [3]
Наиболее вероятными каналами утечки информации являются: посредники и партнеры; промышленный шпионаж; подкуп и шантаж сотрудников; адвокатские и консульские фирмы; государственные органы; реклама и СМИ.
Наряду с утечкой данных из-за человеческого фактора, актуальной проблемой также остается и технические средства шпионажа, т. е. любые методы проникновения в корпоративную сеть с помощью вредоносного программного, аппаратного и программно-аппаратного обеспечения. По статистике за 2019 год персональные данные утекали через сеть в 76,6 % случаев, через бумажные носители — 6,3 %. [1]
В целях борьбы с утечкой информации был принят федеральный закон от 14.07.2022 г. № 266-ФЗ, в котором оговариваются новые требования по обработке персональных данных, а также ужесточение мер ответственности за незаконное использование персональных данных, не имея подтверждения их законного происхождения и права использования. Согласно этому закону с 1 сентября 2022 года операторы данных будут обязаны предоставлять отчеты об инцидентах информационной безопасности и утечки личной информации пользователей в надзорные ведомства. Также Минцифры совместно с ФСБ и ФСТЭК планируют ввести проведение ежегодного аудита для операторов персональных данных для борьбы с инцидентами информационной безопасности на добровольной основе.
Ожидаемым следствием введения новых законопроектов является внедрение компаниями, являющимися операторами персональных данных, в корпоративную сеть правила доступа к персональным данным. К тому же следует регистрировать все операции, выполняемые над персональными данными и отслеживать факты утечки данных. При обнаружении утечек операторы персональных данных обязаны сообщать о произошедшем в ГосСОПКА или Роскомнадзор, если инцидент произошел в случае кибератаки или по вине сотрудника соответственно. Помимо этого, необходимо предоставить результаты внутреннего расследования в течение трех дней. [4]
В виду этого можно предположить, что компании будут вводить такие системы как DCAP (целью которой является защита данных, которые никак не обрабатываются), DLP (целью этой системы является предотвращение утечек данных), SIEM (цель системы — сбор и анализ информации из сетевых устройств и устройств безопасности).
В результате проведенных исследований отметим, что борьба со следствием — не самый эффективный метод борьбы с утечкой информации. В законодательстве РФ нет четкого определения утечки персональных данных, из чего следует, что нет конкретно определенного ведомства, и неясно, по каким критериям будут происходить проверки, подтверждения и классификация утечки данных для оборотных штрафов.
Литература:
- Россия. Утечки информации ограниченного доступа в 2021 году [Электронный ресурс]. — Режим доступа: https://www.infowatch.ru (дата обращения: 11.10.2022).
- РКН: 230 млн записей с личными данными россиян утекли в сеть с начала 2022 года [Электронный ресурс]. — Режим доступа: https://www.kommersant.ru (дата обращения: 9.10.2022).
- Разграничение прав доступа к данным [Электронный ресурс]. — Режим доступа: https://www.staffcop.ru (дата обращения: 910.10.2022).
- Отчет об утечке персональных данных станет обязательным [Электронный ресурс]. — Режим доступа: https://www.vedomosti.ru (дата обращения: 10.10.2022).
- Анализ методов защиты от несанкционированного доступа к личной информации. Курбанов Т. К., Карачаев А. Р., Пашаева Ф. Р., Гитинов Х. Х. Образование и право. 2022. № 5. С. 325–329.
- Актуальные проблемы обеспечения защиты конфиденциальной информации в условиях электронного документооборота в работе государственных и муниципальных органов. Гитинов Х. Х., Курбанов Т. К., Алискеров М. Р., Качаева Г. И. Образование и право. 2021. № 10. С. 131–139.
