Утечка информации: как защитить свой бизнес

Если с финансовыми потерями все понятно, то репутация компании, по мнению Томаса Гэда, представляет собой своего рода «вакцину от несчастья» или, согласно Грэму Даулингу, «страховой полис на случай кризиса».

В 2023 году российский бизнес столкнулся с серьезной киберугрозой – масштабными утечками конфиденциальной информации, происходящими ежемесячно. По данным ГК «Солар», каждая утечка в среднем приводит к потере от 5,5 миллионов рублей для крупных компаний и государственного сектора. Эта оценка включает прямые финансовые потери, но не учитывает потенциальные репутационные убытки и штрафные санкции. Утечки информации наиболее часто затрагивают компании в сфере розничной торговли (37%), финансового сектора (20%) и игровой индустрии (10%). Сейчас общий объем опубликованных данных составляет 91,8 ТБ.

Даже потеря 5% конфиденциальных данных из-за утечек может повлечь утрату лидирующих позиций компании на рынке. Репутационные риски трудно прогнозировать, но они тесно связаны с финансовыми потерями, так как отрицательное восприятие компании прямо влияет на уменьшение доходов. Согласно оценкам экспертов ГК «Солар», более 55% расходов на устранение последствий таких инцидентов тратятся на решение проблем, связанных с репутационными потерями.

Ирина Муравьева, юрист-практик, основатель Академии правовых и финансовых советников:

- Масштабы утечки данных в последние годы откровенно напрягают. Только из российских финансовых организаций в 2023 году утекло 170,3 млн записей персональных данных клиентов – это в 3,2 раза больше, чем в 2022 году. И это без учета платежных данных. По сравнению с 2021 годом показатель подскочил почти в 57 раз.

В целом же большинство утечек в 2023 году было зафиксировано в сегменте малого и среднего бизнеса. Государство ожидаемо реагирует ужесточением ответственности за нарушение работы с персональными данными и введением оборотных штрафов.

В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тысяч рублей, а при повторном нарушении – до 300 тысяч рублей. Законопроект также предусматривает введение административной ответственности за неисполнение или несвоевременное исполнение оператором персональных данных законодательных обязанностей по уведомлению уполномоченного органа по защите прав субъектов персональных данных.

В январе этого года Государственная Дума приняла в первом чтении законопроекты, которые предусматривают административную и уголовную ответственность за утечки персональных данных. По сообщению главы комитета Государственной Думы по информационной политике Александра Хинштейна, с момента представления проекта закона 4 декабря прошлого года Роскомнадзор зафиксировал 18 случаев утечки персональных данных, содержащих более 517 миллионов записей о гражданах РФ. С начала текущего 2024 года уже было зафиксировано восемь случаев. Общая сумма собранных штрафов составила менее пяти миллионов рублей.

В предложенных поправках к законодательству указано, что при утечке данных, затрагивающей от 1 тыс. до 10 тыс. субъектов, юридическое лицо может быть оштрафовано на сумму от 3 до 5 миллионов рублей. Если данные утекли от 10 тыс. до 100 тыс. субъектов, штраф составит от 5 до 10 миллионов рублей, а если более 100 тыс. человек – от 10 до 15 миллионов рублей. Также предусматриваются штрафы за повторные случаи утечек – для граждан в размере от 400 тыс. до 600 тыс. рублей, для должностных лиц от 2 миллионов до 4 миллионов рублей, и для юридических лиц от 0,1% до 3% выручки за календарный год или от 15 миллионов до 500 миллионов рублей.

Ирина Муравьева, юрист-практик, основатель Академии правовых и финансовых советников:

- Как правило, лучше всего меры защиты работают в комплексе. Так, для защиты коммерческой тайны (далее – КТ), компания должна:

- определить нормативно, что попадает по понятие КТ и ввести соответствующий режим в компании;

- закрепить перечень лиц, имеющих доступ к конфиденциальным данным, и вести их учет;

- разработать порядок обращения с КТ и контроля за его выполнением;

- создать условия для сохранения конфиденциальной информации (определить места для хранения ценной документации, разграничить доступы, обеспечить использование паролей в CRM и т.д.);

- обозначить соответствующие документы и информацию грифом «коммерческая тайна»;

- ознакомить сотрудников с принятыми документами по вопросу соблюдения КТ.

Соблюдение процедуры введения режима КТ имеет огромное значение для дальнейшей защиты компании в случае судебных разбирательств.

Юридическую защиту важной для бизнеса информации обеспечивают законодательство, внутренние документы (положения, приказы и другие регулирующие акты), договоры с работниками и контрагентами, а также личная ответственность.

Нормативное регулирование вопроса конфиденциальности и применяемой ответственности установлено законами, а вот внутренние документы компания разрабатывает и принимает, исходя из своих целей. Они позволят защитить интересы организации в случае утечки данных. Договоры же помогут отстоять интересы бизнеса не только в отношениях с сотрудниками, но и партнерами, например, агентами.

Ответственность, установленная российским законодательством за нарушение режима конфиденциальности:

- дисциплинарная – увольнение, замечание или выговор (ст. 192 ТК РФ);

- материальная – полное возмещение причиненного ущерба (ч. 7 ст. 243 ТК РФ);

- административная – штрафы до 5 000 рублей для должностных лиц(ст. 13.14 КоАП РФ);

- уголовная – штраф до 1,5 млн рублей или лишение свободы до 7 лет (ст. 183 УК РФ).

Технические методы защиты информации включают в себя несколько важных шагов, главным из которых является регулярное создание резервных копий самой значимой информации. Также необходимо обеспечить дублирование вспомогательных компонентов информационной системы, связанных с хранением данных, и рассмотреть возможность экстренного перераспределения сетевых ресурсов в случае возникновения проблем или потери работоспособности отдельных компонентов. Планирование резервных источников питания для системы также является важным аспектом технической защиты.

Аутентификация и идентификация – два ключевых подхода к обеспечению информационной безопасности, которые основаны на ограничении доступа к веб-ресурсам. Идентификация связана с получением уникального идентификатора пользователя в системе, а аутентификация позволяет проверить пользователя на истинность с использованием известных методов или идентификаторов в системе.

Существуют различные средства для защиты информации, включая аппаратные, программные, криптографические и физические. Аппаратные средства представлены различными электронными, электрическими и лазерными устройствами, многие из которых используют токены для работы. К программным средствам относятся ПО для ограничения доступа, проверки, блокировки трафика и управления сетью. Криптографические средства – это различные программы и службы для кодирования и шифрования информации. Физические средства включают преграды физического характера: сейфы и изолированные помещения.

Методы и средства защиты информации должны быть адаптированы под конкретные угрозы и включать комплекс системы защиты информации. Одной из типичных проблем безопасности является утечка данных, для предотвращения которой могут использоваться DLP-системы: они обеспечивают защиту, а также предоставляют подробную статистику по рабочим процессам и действиям пользователей.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:

- Прежде чем говорить о защите информации, необходимо понять, от чего мы будем ее защищать. Специалисты по защите информации сформулировали три столпа своей работы – целостность, доступность и конфиденциальность. Вот по этим трем направлениям, как правило, и ведется работа.

Целостность – это обеспечение невозможности подмены или порчи данных. Для решения этой задачи используются всевозможные средства контроля.

Доступность – это сохранение возможности получения информации. Тут можно вспомнить всевозможные атаки на отказ в обслуживании (DDoS), которые не крали данные, но делали невозможным доступ к ней для легитимных пользователей.

Ну и наконец конфиденциальность – самая, на мой взгляд, сложная проблема. Необходимо гарантировать приватность данных при их хранении, передаче и использовании. Здесь требуется рассматривать широчайший спектр технических решений, потому что кража данных возможна буквально на каждом этапе их использования.

В арсенале специалистов по информационной безопасности есть решения по огромному количеству направлений и вопрос, как правило, заключается в том, что мы считаем самой серьезной угрозой нашим данным и сколько у нас есть денег, чтобы безопасность данных обеспечить. Классические антивирусы или межсетевые экраны – это, конечно, только вершина айсберга. Сегодня на рынке есть решения практически под любую задачу – контроль использования информационных ресурсов, обнаружение утечек данных по каналам связи, сбор событий безопасности с различных источников и еще очень много всего. Перед специалистами по защите информации стоит вопрос решения, которое следует выбрать, и поиска денег на его закупку, внедрение и обслуживание.

Годовая инфляция в Ульяновской области в феврале 2024 года практически не изменилась

Годовая инфляция в регионе в феврале 2024 года составила 7,04% после 7,00% в январе. Инфляцию во многом сдерживало расширение предложения некоторых продуктов питания. В то же время противоположное влияние на нее оказал эффект низкой базы прошлого года в ценах на некоторые непродовольственные товары. Инфляция в регионе сложилась ниже, чем в Приволжском федеральном округе (7,54%) и в России в целом (7,69%).

Российский рынок рекламы в 2023 году вырос на 30%

Объем вложений рекламодателей составил почти 730 миллиардов рублей.

Символ бренда

Как создать узнаваемый логотип? Какие смыслы закладывать в него и стоит ли вообще уделять ему так много внимания? Какие логотипы нравятся потребителям в 2024 году? На эти вопросы uldelo.ru ответили эксперты.