С начала этого года заметен тренд, при котором регуляторы ужесточают ответственность за утечки информации и недостаточную защиту ИБ-инфраструктуры. Так, в резонансном деле об утечке данных авиаперелётов руководители организации, хранившей данные, едва избежали ареста. На личной ответственности ИБ-руководителей за утечки настаивает и Банк России. К тому же, принятые Госдумой в первом чтении в январе этого года поправки в Кодекс об административных правонарушениях и Уголовный кодекс серьёзно ужесточают ответственность компаний и их сотрудников: за бездействие, приведшее к утечке, несвоевременное оповещение регуляторов, и повторные нарушения. Поправками вводятся оборотные штрафы для компаний, допустивших утечку, в размере до 3% выручки. В натуральном выражении штраф составит от 3 до 15 млн руб. в зависимости от объёма утекшей информации, а при повторном нарушении компании заплатят не менее 15 млн руб. Здесь авторы проекта явно изучили зарубежную практику – раздел европейского законодательства о персональных данных (GDPR), посвящённый санкциям за его несоблюдение, использует такие формулировки, как «штраф до €10 млн» и «2% от всемирного оборота компании за истекший год».
Тренд на ответственность
Российский бизнес обеспокоен таким настроем государства. Критике подвергаются разные аспекты закона, в том числе неопределённость состава правонарушения и возложение ответственности на компанию вне зависимости от причин утечки. К тому же, саму идею вычислять сумму штрафа на базе оборота многие участники рынка считают дискриминационной – она ничем не грозит, например, государственным и муниципальным органам. Отдельные компании и отраслевые объединения предлагают внести поправки в текущие формулировки. Например, смягчать или отменять наказание для компаний, которые сделали всё необходимое для защиты данных, дифференцировать требования к предприятиям, которые обрабатывают крупные и малые объемы данных, увеличить сроки обязательного информирования регулирующих органов об инцидентах с текущих 24 часов на первичное информирование и 72 часов на доклад о результатах внутреннего расследования до 30 дней. Уже в апреле 2024 года поступил отзыв правительства на законопроект – его предлагается принять, но с поправками: дифференцировать ответственность в зависимости от характера правонарушения и степени его общественной вредности, предусмотреть смягчающие обстоятельства. К последним относятся денежная компенсация вреда субъектам ПД, а также: «осуществление оператором существенных ежегодных расходов … на мероприятия по обеспечению информационной безопасности персональных данных». Эти тенденции говорят о том, что, как крупным российским компаниям, так и МСП, уже в этом году потребуется наращивать экспертизу в области информационной безопасности. При этом речь идет не только о защите данных, но и об оперативном реагировании на инциденты.
Оборотным штрафам очерчивают рамки
Службы ИБ в крупных компаниях знают, как снизить шансы утечки: внедрять дополнительные средства защиты информации, устранять уязвимости, ужесточать политики. Но для работы с утечками или псевдоутечками нужна другая экспертиза: специфические технологии сбора данных, навыки их анализа и быстрого расследования природы утечки. При этом, специфической экспертизы по мониторингу новых утечек и быстрого расследования их природы даже у крупных компаний, как правило, нет. А именно это потребуется в первую очередь, если в даркнете или Telegram всплывают данные, якобы украденные в компании. В случае любой утечки всегда есть вероятность, что она:
  • является целиком фальшивой;
  • получена из более старых утечек путём переработки и компиляции;
  • собрана по данным в открытых источниках;
  • получена из данных, хранящихся у подрядчиков или контрагентов.
Во всех этих сценариях наличие сторонней экспертизы вендора, способного в реальном времени проводить анализ «утекшей» информации, поможет компании подтвердить или опровергнуть утечку. Экспертиза анализа даркнета и база уже произошедших утечек у стороннего вендора, поможет компании в споре с регуляторами и даст ей возможность опереться на мнение вендора, как доверенную третью сторону, с целью избежать крупных штрафов и репутационных потерь, а также доказать отсутствие утечки и продемонстрировать оперативную реакцию на инцидент. К тому же, дополнительным весомым аргументом в споре с регулятором в таком случае станет наглядная демонстрация передовых практик ИБ в компании. Организациям, имеющим зрелые процессы сбора, хранения, деперсонализации и уничтожения данных, а также практикующей строгое разграничение доступа, регулярные ИБ-аудиты, обучение сотрудников и киберучения, постоянное сканирование инфраструктуры на уязвимости и их устранение, гораздо проще воспользоваться пунктом про смягчающие обстоятельства или отрицать утечку на основе полученных при расследовании фактов.
С утечкой наперегонки
Ужесточение ответственности за утечки данных на первый взгляд может потребовать от компаний существенного роста инвестиций в собственную ИБ-инфраструктуру. Но для большинства операторов ПД развивать собственную экспертизу и раздувать штат ИБ в таких специфических нишах, как расследование утечек и их мониторинг в хакерском сообществе, очень дорого. Эффективней передать эти задачи на аутсорсинг, узкопрофильным специалистам.
Непрерывное сканирование периметра компании на уязвимости силами внешних исследователей, как правило, эффективнее: исследователи заинтересованы репутационно и не стремятся скрыть внешние дефекты ИБ, как внутренние службы. Регулярное решение проблем аналогичного характера профильными специалистами позволяет им выполнить корректную приоритизацию уязвимостей для их эффективного устранения. Зачастую внешних специалистов приглашают и на расследование инцидентов во внутренней инфраструктуре, когда этот навык отсутствует внутри ИБ-команды или требуется дополнительное подтверждение сделанных ранее заключений.
В портфолио МТС эти сервисы предоставляются на базе платформы CICADA8. Она объединяет в себе управление уязвимостями, мониторинг утечек и попыток фишинга на имени бренда в единый технологический и бизнес-процесс, позволяющий защите компании выйти на новый уровень — непрерывный анализ защищенности.
CICADA8 автоматически сканирует уязвимости на внешнем периметре инфраструктуры компании и собирает их в информативный дашборд. Эксперты МТС помогают оценить каждую уязвимость, понять, насколько она критична для конкретной организации и получить рекомендации по устранению. Этот процесс напрямую связан с утечками — по разным оценкам, от 26 до 40% взломов компаний начинаются с эксплуатации известных уязвимостей в их публичной инфраструктуре.Впрочем, лидирует среди векторов начального проникновения всё же фишинг. И здесь CICADA8 тоже снижает остроту угрозы. Мониторинг появления фишинговых доменов, с упоминанием названия организации, поможет предотвратить кибератаки как на сотрудников, так и на клиентов компании.
И конечно, платформа CICADA8 предоставляет полные возможности по мониторингу утечек. Данные по компании и её сотрудникам отслеживаются, как в открытых каналах, так и в приватных источниках. Если в утечке обнаруживаются потенциально чувствительные и, вероятно, подлинные данные, организация может реагировать на появление утечки по специально согласованному и заранее отрепетированному процессу. Быстро и эффективно.
Новый уровень защищенности
Число утечек персональных данных россиян продолжает расти. Только за первый квартал 2024 года в сеть «утекло» совокупно более 120 млн записей с телефонными номерами и 38 млн email, это в пять раз больше, чем за аналогичный период 2023 года. Преступники зарабатывают на кражах персональных данных (ПД) разными способами – от персонализации мошеннических звонков и попыток взять кредит до взломов учётных записей и перепродажи данных спамерам. И если ранее компании, допускавшие утечки данных, отделывались небольшими штрафами в 30-60 тыс. руб., то уже в этом году ситуация изменится кардинально: по итогам 2023 года совокупный объем штрафов, которые российские компании заплатили за утечки данных, вырос в 20 раз по сравнению с 2021 годом.
Бизнес без утечек: как избежать оборотных штрафов и доказать, что утечки не было
15 апреля 2024