Разделы
ГлавнаяБлог Статьи Прямые и косвенные потери от утечек персональных данных. Мнения экспертов
7 августа 2023
Сергей Полунин, Евгений Царев
1 296

Прямые и косвенные потери от утечек персональных данных. Мнения экспертов

Утечки персональных данных (ПДн) продолжаются. Растёт не только их количество, но и ущерб. Правительство выработает новые требования к защите информации, однако организации не спешат их реализовать, из-за чего в новостных лентах регулярно встречаются новые инциденты. Мы спросили экспертов из «RTM Group» и «Газинформсервис» о прямых о косвенных потерях в результате утечек ПДн и что с этим можно сделать.

Сергей Полунин / Евгений Царев

Эксперты

Сергей Полунин, Руководитель группы защиты инфраструктурных ИТ «Газинформсервис»

Евгений Царев, управляющий «RTM Group»

– Скажите, пожалуйста, как вы сами лично понимаете что такое утечка персональных данных?

Сергей Полунин (С. П.): Утечка персональных данных – это ситуация, когда данные, которые вы оставили на каком-либо веб-ресурсе и которые можно классифицировать как персональные, оказываются в общем доступе. Ситуация крайне неприятная, но, увы, последнее время совершенно рядовая. Причин здесь много – от недобросовестности операторов персональных данных до несовершенства законодательства в этой области. Но самое главное, что мы, как пользователи веб-ресурсов, не можем быть до конца уверены, как наши персональные данные будут храниться и обрабатываться, а значит должны хорошо подумать прежде чем оставить о себе какую-либо информацию в сети.

Евгений Царев (Е. Ц.): Принято считать, что утечка ПДн – это обязательно массовый «слив» персданных в Интернет, но на самом деле это не всегда так. Утечка персональных данных – инцидент, в результате которого произошло неправомерное раскрытие конфиденциальной информации. Такие происшествия могут касаться данных даже одного человека. Недавний пример – случайное раскрытие ПДн одного клиента «Тинькофф Банк», за что банк получил штраф в 70 000 рублей*. Другое дело, что самые громкие случаи касаются именно массовых утечек данных пользователей Интернета.

* Постановление Судебного участка № 348 Савёловского судебного района г. Москвы от 27.06.2023 по делу № 05-0612.348.2023

— Что по вашим данным является наиболее частыми причинами утечек ПДн?

С. П.: Причин довольно много, но владельцы взломанных ресурсов не спешат делиться с сообществом информацией о том, как именно это произошло. Но как правило основной проблемой являются уязвимости в прикладном программном обеспечении, через которые становится возможным доступ к данным аутентификации. Плюс к этому не редки ситуации, когда должным образом не защищён удаленный доступ на сами серверы. И третий сценарий – действия инсайдеров. Очень часто разработчики программного обеспечения не тестируют его должным образом и не применяют практики безопасной разработки, а это в свою очередь также делает утечки возможными.

Е. Ц.: Причины утечек можно поделить на два вида: случайные ошибки пользователей и намеренные действия злоумышленников. Случайные могут произойти из-за человеческого фактора: к примеру, сотрудник банка может перепутать адреса электронной почты клиентов и направить данные не тому. Или по ошибке предоставить общий доступ к документу с персданными. Намеренные утечки могут быть реализованы людьми, которые решили нажиться на персональных данных или «насолить» кому-то. Специально разгласить конфиденциальную информацию могут как «свои» люди (работники, подрядчики, клиенты, партнеры и т.д.), так и «левые» злоумышленники (хакеры и мошенники). В любом случае, первопричиной утечки могут быть недостаточная защищенность данных, отсутствие регулярного пересмотра системы защиты, избыточное хранение ПДн, неустранение уязвимостей, неорганизованность порядка обработки ПДн (в результате чего ПДн могут попасть не тем людям).

— Какие прямые и косвенные потери встречаются в результате утечки данных?

С. П.: Под косвенными потерями, как правило, понимают ситуацию, когда утечка персональных данных дает возможность получить доступ к ресурсам, которые напрямую утечкой затронуты не были. Например, можно представить ситуацию, когда в результате утечки в открытом доступе оказались, логины и хэши паролей пользователей. Сами по себе эти данные кажутся не критичными, однако, по хэшам паролей можно попробовать восстановить сами пароли и если пароль не очень сложный, то это может получиться. А затем, если пользователь использовал ту же связку логина и пароля на другом ресурсе, можно получить доступ и туда. Конечно, все специалисты по ИБ в один голос рекомендуют использовать разные пароли на разных сайтах, а также подключать двухфакторную аутентификацию, где это возможно. Но рекомендациям следуют не всегда и такие косвенные потери увы совсем не редкость.

Е. Ц.: Персональные данные могут быть самыми разными, от ФИО и платежных данных до файлов cookies и информации об устройстве, в зависимости от самого набора данных. Поэтому и последствия могут быть разными. Сами субъекты, данные которых утекли, рискуют потерять деньги со счета, стать должниками по кредиту, а также подвергнуться назойливым звонкам и сообщениям, или даже физическому преследованию. Поэтому утечка персданных имеет серьезные последствия для всех: и для тех, чьи данные утекли, и для тех, кто это допустил.

К прямым потерям компании, у которой утекли данные, можно отнести:

  • Компенсации пострадавшим субъектам;
  • Штрафы от регулирующих органов (РКН, суд);
  • Затраты на проведение расследования инцидента и его последствий, выявление виновных лиц;
  • Восстановление правомерного порядка обработки ПДн, установление нового порядка, закупка нового оборудования;
  • Невозможность исполнения обязательств и санкции за это: расторжение договоров и контрактов с субъектами, кого «задела» утечка, выплата договорных неустоек и штрафов;

К косвенным:

  • Удар по репутации;
  • Потеря потенциальных клиентов и контрагентов;
  • Падение конкурентоспособности;
  • Снижение стоимости активов (акций и других ценных бумаг, нематериальных активов компании);
  • Повышение затраты на пиар и рекламу для восстановления позиций на рынке;
  • Дополнительное внимание от регулирующих органов.

— Есть ли у вас пример из практики об ущербе в результате утечки даных? Или на примере любого другого известного инцидента?

С. П.: На самом деле о кейсах утечки персональных данных пишут достаточно часто, не проходит недели-двух, как в СМИ появляется заметка о том, что в публичном доступе оказались такие-то данные. Совсем недавно была утечки из библиотеки ЛитРес. А до этого писали об утечках из книжного магазина «Буквоед», строительного магазин «Леруа Мерлен», портала кулинарных рецептов «Едим Дома» и магазина одежды «Твое». В этих утечках как правило фигурируют ФИО пользователей, адрес электронной почты, логин и хэш-пароля, т.е. собственно данные из базы данных, с которой работала система аутентификации на этих ресурсах.

Е. Ц.: В практике нашей компании было много случаев работы с утечками на разных этапах её развития. Организациям требуется помощь в решении конкретных последствий инцидентов. Были и такие случаи, когда мы сопровождали весь цикл ликвидации инцидента, начиная с его выявления. По понятным причинам, названия компаний и другие конкретные детали мы не может раскрыть, но готовы предоставить описание кейса (ниже).
После обнаружения утечки в открытых источниках и уведомления регулятора компания-жертва обратилась к нам за помощью в комплексном расследовании инцидента и «работе над ошибками». Утечка ПДн вызвала серьёзный резонанс в СМИ, за чем ожидаемо последовало особо внимательное изучение инцидента регулятором. Ещё до завершения расследования организация понесла значительные репутационные и материальные издержки, компенсация которых потребовала больших усилий.

Причиной утечки оказалась целевая хакерская атака с продолжительным периодом закрепления в системе и сбора дополнительных сведений. Всё это время преступникам удавалось остаться незамеченными ввиду отсутствия важных мер мониторинга и защиты. В ходе расследования были выявлены как пробелы в организации процесса защиты, так и отсутствие значимых технических средств, которые могли бы помешать злоумышленникам. Всё это повлекло за собой трудоёмкий процесс по корректировке внутренней документации, переработке внутренних механизмов и самой организации ИБ. Конечно, самую значительную часть бюджета составила закупка новых и обновление старых СЗИ.

Даже после разрешения ситуации сопутствующие убытки будут сопровождать компанию годы. Ущерб клиентам, данные которых навсегда оказались в открытом доступе, и репутационные потери нельзя исправить ни улучшением системы защиты, ни уплатой штрафов. Резонансный инцидент оставит свой отпечаток на всей будущей информационной политике компании. К нему будут возвращаться при оценке рисков и финансовом планировании, а выбор мер защиты во многом будет определяться стратегией злоумышленников, использованной при осуществлении атаки.

Теги:
информационная безопасность,
утечка данных
Читайте также
iOS-шпион LightSpy вернулся с серьёзным обновлением
15 апреля 2024
Новая группировка вымогателей нацелилась на российские компании
10 апреля 2024
Мошенники притворились службой поддержки Telegram
22 апреля 2024