В декабре 2013 года группа сенаторов внесла в Госдуму поправки к закону «О персональных данных», которые регламентируют ответственность компаний за утечку информации. В частности, согласно этим документам, многократно вырастут штрафы за подобные инциденты, что заставит российский бизнес пересмотреть отношение к вопросам информационной безопасности, сообщает специализированный портал Digit. Пока же оно остается преимущественно халатным. Подтверждения — в статистике.
Особенности национального инсайда
Одна из тенденций отрасли защиты информации от утечек последних лет — сохранение количества инцидентов на одном уровне. Если в 2010 году, по данным аналитического центра Zecurion, в мире было зафиксировано 830 утечек с потенциальным ущербом свыше 5 тыс. долларов, то в 2011 году — 819, а в 2012 году — 825.
![](http://digit.ru/images/41150/57/411505709.jpg)
Ущерб от утечек
Доля утечек российского «происхождения» при этом находится в пределах 3,5-5%. Близкие цифры приводит и Роскомнадзор. В отчёте о деятельности Уполномоченного органа по защите прав субъектов персональных данных, опубликованном в 2013 году, говорится о 53 случаях утечки персональных данных. По сравнению с числом инцидентов в США кажется, что это немного. Однако в данном случае статистика не должна никого обманывать.
Бизнес по знакомству
В феврале 2013 года ГУЭБиПК МВД России и ГУ МВД России по Приволжскому федеральному округу совместно со службой безопасности Сбербанка смогли пресечь деятельность организованной группы (бывшие действующие сотрудники подразделений банка, а также руководители коммерческих организаций), участники которой подозреваются в хищении в особо крупном размере денежных средств с зарплатных карт клиентов ОАО «Сбербанк России».
Благодаря связям в финансово-кредитных учреждениях они имели доступ к информации о держателях банковских карт, наличии и количестве денежных средств на счетах, а также паспортным данным. За счет фиктивных доверенностей они получали доступ к денежным средствам «жертв», переводили их на свои счета с помощью электронной системы «Сбербанк-онлайн» и затем обналичивали.
В отношении подозреваемых следственными органами возбуждено уголовное дело по признакам преступления, предусмотренного статьей УК РФ «Мошенничество». Предполагаемый ущерб, причиненный ОАО «Сбербанк России», превысил 50 миллионов рублей.
Большое количество публичных инцидентов в США связано с требованиями местного законодательства, обязывающего компании раскрывать факты утечек, а также особенностями национального менталитета — американцы исключительно щепетильно относятся к privacy и искренне возмущаются, когда какая-либо организация допускает утечку их персональных данных.
В России же, где различного рода «базы», в том числе и составляемые госструктурами, до сих пор широко распространены, уровень терпимости несравнимо выше, а законодательно закреплённых требований разглашать случаи утечек пока еще нет.
В США раскрытие информации об утечке персональных данных считается правилом хорошего тона и действительно помогает уменьшить недовольство со стороны клиентов и сократить финансовый ущерб от инцидента. В России пока еще компании заинтересованы в сокрытии инцидента. Раскрытие информации влекло за собой ненужный интерес со стороны прессы и клиентов и прочие негативные последствия для бизнеса.
Опасная страховка
В июле 2013 года произошла серьезная утечка в российском представительстве страховой компании Zurich. В базе данных, которая досталась злоумышленникам, содержалась информация о более чем 1 млн клиентов компании за период с января 2012 по февраль 2013 года.
"При грамотном использовании базы конкуренты смогут переманить не менее половины клиентов, — рассказал Владимир Ульянов, руководитель аналитического центра Zecurion, комментируя утечку базы данных российского представительства страховой компании Zurich. Если при этом, по его словам, средняя стоимость страхового договора составляет 8 тыс. рублей, убытки компании могут составить не менее 4 млрд рублей.
«Аргументами для клиентов в данном случае могут быть меньшая стоимость полиса или больший набор услуг. Да и сам факт утечки не прибавит лояльности клиентам Zurich, — сказал Ульянов.
Сколько?
Если стремление российских компаний к сокрытию инцидентов вполне объяснимо, причины низкой заинтересованности в реальной защите данных остаются не до конца понятными.
Одна лишь оценка потенциального ущерба должна мотивировать компании уделять самое пристальное внимание безопасности информационных активов. Но, вероятно, слабое управление рисками («скорее всего, у нас ничего не украдут») или его полное отсутствие привели к тому, что получилось в 2013 году.
Зависть и связи
Крупная утечка документации произошла осенью 2012 года в концерне «Тракторные заводы». Потенциальный ущерб — более 50 млн рублей. Обвинение было предъявлено бывшему сотруднику предприятия, возглавившему затем конкурирующий «ЧТЗ-Уралтрак». По версии следствия, документы, составляющие коммерческую тайну, вынесли бывшие коллеги инсайдера.
«Основной причиной низкой заинтересованности российских компаний в реальной защите данных является существенное превышение затрат на защиту информации по сравнению с потенциальным ущербом от утечки информации, — рассказал Юрий Маслов, коммерческий директор ООО «Крипто-Про». Например, на начало августа 2013 на 279 330 оператора персональных данных приходилось 53 утечки за 2013 год.
Бизнес, по словам Маслова, считает так: вероятность, что утечка произойдёт в организации в течение года, составит 0,0002. При размере штрафа в 5000 рублей по ст. 13.11 КоАП РФ и при среднем по РФ размере компенсации морального вреда 80000 рублей величина потенциального ущерба составит 17 рублей. А проверки уполномоченным органом компания не боится, т.к. она придёт не раньше, чем через 3 года после образования юридического лица, и при максимуме 1000 проверок в год эту проверку можно ждать ещё 279 лет.
Почему?
Наибольшее количество информации (20%), согласно статистике Zecurion.ru, в 2012 году утекло через различные веб-сервисы. При этом чаще всего виновниками становились роботы поисковых систем, индексирующие данные на серверах организаций.
![](http://digit.ru/images/41150/95/411509537.jpg)
Каналы утечки информации
Если рассматривать статистику последних лет, можно отметить существенное снижение доли утечек через стационарные компьютеры (до 10%). И действительно, нет смысла взламывать помещения, воровать массивные рабочие станции, когда практически те же самые данные находятся на мобильных компьютерах, которые сотрудники активно используют вне офиса.
Фальстарт
Банк Citigroup, по сообщению Reuters 3 октября 2013 года, оштрафован на 30 млн долларов. Эту сумму ему придется выплатить в связи с неправомерной деятельностью одного из аналитиков Citigroup Global Markets на Тайване Кевина Чанга (Kevin Chang), который отправил финансовым организациям конфиденциальное исследование о Hon Hai Precision Industry Co, главном партнере Apple, до официальной публикации отчета.
Применение средств прозрачного шифрования дисков в данном случае могло бы значительно сократить число инцидентов, однако на практике лишь немногие компании используют подобные программы.
![](http://digit.ru/images/41150/59/411505928.jpg)
Наличие умысла в утечках информации
«Однако одной из значительных „подводных“ частей айсберга являются целенаправленные атаки, направленные на кражу данных или совершение мошеннических действий в сети конкретной компании», — рассказал Сергей Гордейчик, заместитель генерального директора Positive Technologies. Целями подобных атак, по его словам, могут быть порталы обслуживания клиентов телекоммуникационных компаний, ДБО, а также рабочие станции сотрудников, используемые в качестве «посредников» при доступе к хранилищам корпоративной информации, таким как ERP.
«По результатам расследований инцидентов, проводимым компанией Positive Technologies, в последние два года наблюдался ощутимый рост подобных атак в корпоративном секторе», — сказал Гордейчик.
Наибольшее количество утечек на протяжении последних лет происходит всё же не по злому умыслу, из-за халатности или невнимательности сотрудников. Отчасти этому способствует сам технический прогресс и упрощение методов хранения и передачи информации.
Большое количество информации пропадает вместе с мобильными накопителями. На карманные флешки умещаются десятки гигабайт данных, и утрата лишь одного носителя с конфиденциальной базой данных влечёт серьёзные последствия. Нередко чувствительную информацию отправляют по электронной почте ошибочному адресату. В данном случае злую шутку играет функция автозаполнения полей в почтовых клиентах. Подобные инциденты легко предотвращаются современными DLP-системами, но их применение пока ещё достаточно ограничено.
Что дальше?
Так стоит ли ожидать уменьшения утечек в ближайшее время? Вряд ли. Реальная защищённость компаний находится на низком уровне, и кардинально ситуация за ограниченный промежуток времени не переменится.
Организационные изменения не приживаются быстро, а внедрение средств информационной безопасности требует не только желания, но и бюджета. Тем не менее, будет расти заинтересованность компаний в защите собственной конфиденциальной информации, персональных данных клиентов. Этому поспособствует рост финансовых потерь от инцидентов в целом и увеличение штрафных санкций со стороны регуляторов в частности.
В конце 2012 года группа сенаторов во главе с председателем Совета Федерации Валентиной Матвиенко внесла в Госдуму поправки в закон «О персональных данных». Если они будут приняты, компании, у которых произошла утечка информации, будут обязаны сообщать об этом в уполномоченный госорган.
О планах Совета Федерации по многократному увеличению штрафов за утечку информации было известно еще в конце июля 2013 года. Штрафы, по словам сенатора Руслана Гаттарова, должны исчисляться миллионами рублей для юридических лиц и сотнями тысяч рублей для физических лиц.
Простой доступ
Экс-начальник отдела продаж «ФосАгро» приговорен к году и девяти месяцам исправительных работ за слив коммерческой информации иностранным клиентам за 2 миллиона долларов.
Летом 2013 года выяснилось, что в период с 2010 по 2011 год он незаконно передавал заинтересованным иностранцам служебную информацию в области реализации минудобрений — данные об объемах производства кормовых фосфатов, ценах, взаимоотношениях с клиентами.
Полученную конфиденциальную информацию клиенты использовали в своих коммерческих интересах, что «давало определенные конкурентные преимущества» на рынке продажи минудобрений. В результате ЗАО «ФосАгро АГ» понесло убытки более чем на 2 миллиона долларов.
Увеличение санкций за утечки грозит не только российским компаниям, но и европейским. На рассмотрении Европарламента в настоящий момент находится новый вариант закона о защите персональных данных, предусматривающий, в частности, увеличение штрафов.
Усиление нормативного прессинга и повышение осведомлённости топ-менеджмента организаций по вопросам информационной безопасности положительно скажется на защищённости не только персональных данных, но и информационных активов компаний в целом. И первые сдвиги уже заметны — согласно опросу, проведённому Zecurion в различных регионах России, Украины и Казахстана, около 25% компаний планируют начать внедрение DLP-систем в ближайший год. Удастся ли воплотить такие масштабные планы в жизнь, станет известно уже скоро.
Полезный багаж
Американская компания-производитель процессоров AMD обвинила четырех своих бывших сотрудников в хищении более ста тысяч секретных документов. Из судебного иска, поданного в окружной суд американского штата Массачусетс, следует, что трое бывших сотрудников компании, перед тем, как перейти на работу в Nvidia, занимающуюся разработкой чипов, незаконно загрузили на съемные носители около ста тысяч конфиденциальных документов, принадлежащих AMD.
Судебный иск касается Роберта Фельдштайна (Robert Feldstein), Ману Дисай (Manoo Desai), Николаса Коцука (Nicolas Kociuk), а также Ричарда Хагена (Richard Hagen), который обвиняется в том, что он нанял в конкурирующую компанию бывших сотрудников AMD зная, что у них есть секретные документы. Роберт Фельдштайн ранее занимал в AMD пост вице-президента по стратегическим разработкам. В его обязанности входила разработка решений, которые будут использованы в таких популярных игровых консолях следующего поколения, как новые версии Xbox, PlayStation и Wii. Как утверждает AMD, поскольку ни Xbox, ни PlayStation еще даже официально не анонсированы, существует риск того, что Фельдштайн может раскрыть секретные технологии своим новым работодателем.
Источник: Роскомнадзор