Кибербезопасность всегда была важной темой для всех компаний, чей бизнес связан со сбором персональных данных и необходимостью их хранения. В эпоху пандемии коронавируса важность этой задачи возросла многократно.
По данным разработчиков антивирусного программного обеспечения, кибератаки на организации, у которых есть доступ к критически важным данным или деньгам, происходят регулярно. Однако в период пандемии частота эти проблемы усугубились. В условиях действия режима ЧС и введенного в крупных городах страны карантина, нагрузка на ИТ-системы государственных органов и бизнес-структур значительно возросла, как и потенциальный риск утечки данных.
В феврале текущего года Центр анализа и расследования кибер атак сообщил о том, что в системе Генеральной прокуратуры РК существует брешь, через которую в сеть могли попасть данные по административным правонарушениям. Генпрокуратура факт утечки из своей информационной системы опровергла, однако признала определенные риски.
Кто виноват
Открытый доступ к данным пользователей несет в себе огромные риски, поскольку злоумышленники могут легко манипулировать этими данными, с целью извлечь собственную выгоду. Особенно велики риски тогда, когда речь идет об уязвимости информационных компаний, работающих в финансовой сфере.
Как отмечает Саид Аль-Уляфи, главный специалист по информационной безопасности группы IDF Eurasia, в которую также входит казахстанская компания МФО Solva, почти половина случаев утечки данных происходит по вине сотрудников самих компаний и организаций и защититься от такой инсайдерской угрозы порой сложнее, чем от атак извне. К примеру, летом прошлого года стало известно об утечке данных из медицинской информационной сети Damumed – злоумышленники похитили закрытые данные пациентов и опубликовали их в сети Facebook. Тогда специалисты центра информационных технологий заявили, что причиной утечки стал «человеческий фактор».
Часто виновником утечки становится и контрагенты, обеспечивающие взаимодействие конкретной платформы с внешней средой. Так, в прошлом году в Казахстане произошла еще одна крупная утечка данных, на этот раз из системы Центральной избирательной комиссии. В результате в открытом доступе оказались персональные данные 11 млн. казахстанцев. По итогам последующего аудита информационной безопасности системы ЦИК возникли вопросы к подрядной организации, а также были приняты дополнительные меры защиты данных.
Две стороны одного риска
Интерес злоумышленников к данным клиентов финансовых учреждений очевиден – среди них есть крупные вкладчики банков, владельцы компаний и инвесторы. Утечка информации на любом уровне системы и в любом объеме может иметь для клиента катастрофические последствия. В лучшем случае его данные могут быть переданы каким-то сторонним сервисам, которые попытаются продать ему свои услуги. В более серьезных случаях – речь может идти о попытке кражи денег со счета клиента либо использование его данных в других мошеннических схемах.
С другой стороны, жертвой атаки становится и та компания, откуда произошла утечка данных. Такие инциденты угрожают ее деловой репутации, которая в финансовом мире является едва ли не ключевым элементом успеха в бизнесе.
Кроме того, государство в лице регулирующих органов может подвергнуть такую компанию различным санкциям. К примеру, в 2019 году Федеральная комиссия по торговле США оштрафовала Facebook на огромную сумму – в $5 млрд после того, как было доказано, что по вине социальной сети произошла утечка персональных данных миллионов пользователей. Поэтому банки и МФО, как и любые другие организации, которые собирают персональные данные пользователей, должны быть максимально педантичными в вопросах обеспечения ИТ-безопасности.
Что делать
Для того, чтобы противостоять угрозам и минимизировать риск утечки данных достаточно следовать давно известным протоколам ИТ-безопасности по международным стандартам ISO/IEC 27000. Кроме того, следует самое пристальное внимание обратить и на такие задачи как:
- обработка персональных данных должно проходить на площадке оператора, т.е. по возможности без передачи этого процесса на аутсорсинг. Это позволит обеспечить полный контроль за организацией обработки данных и реализацией необходимых защитных мер;
- обеспечение баланса между мерами по ИТ-безопасности и расходами на эти цели, поскольку излишняя нагрузка на бизнес или персонал может быть избыточной и нецелесообразной;
- максимальная автоматизация бизнес-процессов и исключение из них человеческого фактора;
- формирование достаточной команды специалистов по ИТ-безопасности в лице бизнес-аналитика, технического специалиста и специалиста по работе со средствами криптозащиты (если речь идет о финансовой компании).
Утечка данных: Почему защита личной информации имеет значение и как это сделать
2020-06-16 07:00:43
Последние новости
16.06.2020
Гороскоп на 16 июня