Бизнес без утечек: как избежать оборотных штрафов и доказать, что утечки не было

Число утечек персональных данных россиян продолжает расти. Только за первый квартал 2024 года в сеть «утекло» совокупно более 120 млн записей с телефонными номерами и 38 млн email, это в пять раз больше, чем за аналогичный период 2023 года. Преступники зарабатывают на кражах персональных данных (ПД) разными способами – от персонализации мошеннических звонков и попыток взять кредит до взломов учётных записей и перепродажи данных спамерам. И если ранее компании, допускавшие утечки данных, отделывались небольшими штрафами в 30-60 тыс. руб., то уже в этом году ситуация изменится кардинально: по итогам 2023 года совокупный объем штрафов, которые российские компании заплатили за утечки данных, вырос в 20 раз по сравнению с 2021 годом.

С начала этого года заметен тренд, при котором регуляторы ужесточают ответственность за утечки информации и недостаточную защиту ИБ-инфраструктуры. Так, в резонансном деле об утечке данных авиаперелётов руководители организации, хранившей данные, едва избежали ареста. На личной ответственности ИБ-руководителей за утечки настаивает и Банк России. К тому же, принятые Госдумой в первом чтении в январе этого года поправки в Кодекс об административных правонарушениях и Уголовный кодекс серьёзно ужесточают ответственность компаний и их сотрудников: за бездействие, приведшее к утечке, несвоевременное оповещение регуляторов, и повторные нарушения. Поправками вводятся оборотные штрафы для компаний, допустивших утечку, в размере до 3% выручки. В натуральном выражении штраф составит от 3 до 15 млн руб. в зависимости от объёма утекшей информации, а при повторном нарушении компании заплатят не менее 15 млн руб. Здесь авторы проекта явно изучили зарубежную практику – раздел европейского законодательства о персональных данных (GDPR), посвящённый санкциям за его несоблюдение, использует такие формулировки, как «штраф до €10 млн» и «2% от всемирного оборота компании за истекший год».

Российский бизнес обеспокоен таким настроем государства. Критике подвергаются разные аспекты закона, в том числе неопределённость состава правонарушения и возложение ответственности на компанию вне зависимости от причин утечки. К тому же, саму идею вычислять сумму штрафа на базе оборота многие участники рынка считают дискриминационной – она ничем не грозит, например, государственным и муниципальным органам. Отдельные компании и отраслевые объединения предлагают внести поправки в текущие формулировки. Например, смягчать или отменять наказание для компаний, которые сделали всё необходимое для защиты данных, дифференцировать требования к предприятиям, которые обрабатывают крупные и малые объемы данных, увеличить сроки обязательного информирования регулирующих органов об инцидентах с текущих 24 часов на первичное информирование и 72 часов на доклад о результатах внутреннего расследования до 30 дней. Уже в апреле 2024 года поступил отзыв правительства на законопроект – его предлагается принять, но с поправками: дифференцировать ответственность в зависимости от характера правонарушения и степени его общественной вредности, предусмотреть смягчающие обстоятельства. К последним относятся денежная компенсация вреда субъектам ПД, а также: «осуществление оператором существенных ежегодных расходов … на мероприятия по обеспечению информационной безопасности персональных данных». Эти тенденции говорят о том, что, как крупным российским компаниям, так и МСП, уже в этом году потребуется наращивать экспертизу в области информационной безопасности. При этом речь идет не только о защите данных, но и об оперативном реагировании на инциденты.

Службы ИБ в крупных компаниях знают, как снизить шансы утечки: внедрять дополнительные средства защиты информации, устранять уязвимости, ужесточать политики. Но для работы с утечками или псевдоутечками нужна другая экспертиза: специфические технологии сбора данных, навыки их анализа и быстрого расследования природы утечки. При этом, специфической экспертизы по мониторингу новых утечек и быстрого расследования их природы даже у крупных компаний, как правило, нет. А именно это потребуется в первую очередь, если в даркнете или Telegram всплывают данные, якобы украденные в компании. В случае любой утечки всегда есть вероятность, что она:

·       является целиком фальшивой;

·       получена из более старых утечек путём переработки и компиляции;

·       собрана по данным в открытых источниках;

·       получена из данных, хранящихся у подрядчиков или контрагентов.

Во всех этих сценариях наличие сторонней экспертизы вендора, способного в реальном времени проводить анализ «утекшей» информации, поможет компании подтвердить или опровергнуть утечку. Экспертиза анализа даркнета и база уже произошедших утечек у стороннего вендора, поможет компании в споре с регуляторами и даст ей возможность опереться на мнение вендора, как доверенную третью сторону, с целью избежать крупных штрафов и репутационных потерь, а также доказать отсутствие утечки и продемонстрировать оперативную реакцию на инцидент. К тому же, дополнительным весомым аргументом в споре с регулятором в таком случае станет наглядная демонстрация передовых практик ИБ в компании. Организациям, имеющим зрелые процессы сбора, хранения, деперсонализации и уничтожения данных, а также практикующей строгое разграничение доступа, регулярные ИБ-аудиты, обучение сотрудников и киберучения, постоянное сканирование инфраструктуры на уязвимости и их устранение, гораздо проще воспользоваться пунктом про смягчающие обстоятельства или отрицать утечку на основе полученных при расследовании фактов.

Ужесточение ответственности за утечки данных на первый взгляд может потребовать от компаний существенного роста инвестиций в собственную ИБ-инфраструктуру. Но для большинства операторов ПД развивать собственную экспертизу и раздувать штат ИБ в таких специфических нишах, как расследование утечек и их мониторинг в хакерском сообществе, очень дорого. Эффективней передать эти задачи на аутсорсинг, узкопрофильным специалистам.

Непрерывное сканирование периметра компании на уязвимости силами внешних исследователей, как правило, эффективнее: исследователи заинтересованы репутационно и не стремятся скрыть внешние дефекты ИБ, как внутренние службы. Регулярное решение проблем аналогичного характера профильными специалистами позволяет им выполнить корректную приоритизацию уязвимостей для их эффективного устранения. Зачастую внешних специалистов приглашают и на расследование инцидентов во внутренней инфраструктуре, когда этот навык отсутствует внутри ИБ-команды или требуется дополнительное подтверждение сделанных ранее заключений.

В портфолио МТС эти сервисы предоставляются на базе платформы CICADA8. Она объединяет в себе управление уязвимостями, мониторинг утечек и попыток фишинга на имени бренда в единый технологический и бизнес-процесс, позволяющий защите компании выйти на новый уровень — непрерывный анализ защищенности.

CICADA8 автоматически сканирует уязвимости на внешнем периметре инфраструктуры компании и собирает их в информативный дашборд. Эксперты МТС помогают оценить каждую уязвимость, понять, насколько она критична для конкретной организации и получить рекомендации по устранению. Этот процесс напрямую связан с утечками — по разным оценкам, от 26 до 40% взломов компаний начинаются с эксплуатации известных уязвимостей в их публичной инфраструктуре.

Впрочем, лидирует среди векторов начального проникновения всё же фишинг. И здесь CICADA8 тоже снижает остроту угрозы. Мониторинг появления фишинговых доменов, с упоминанием названия организации, поможет предотвратить кибератаки как на сотрудников, так и на клиентов компании.

И конечно, платформа CICADA8 предоставляет полные возможности по мониторингу утечек. Данные по компании и её сотрудникам отслеживаются, как в открытых каналах, так и в приватных источниках. Если в утечке обнаруживаются потенциально чувствительные и, вероятно, подлинные данные, организация может реагировать на появление утечки по специально согласованному и заранее отрепетированному процессу. Быстро и эффективно.