В 2022 году, по данным отчета «Лаборатории Касперского», зафиксировано 168 случаев публикаций баз данных российских компаний: 64% пользовательских данных были скомпрометированы, лидерами по объему утекшей информации стали сервисы доставки (34%) и ритейлеры (14%). Чаще всего компрометация данных происходила у ритейлеров: их доля составила 26% от общего числа компаний, которые столкнулись с этой проблемой в 2022 году. Бизнесу должно быть выгодно «закрыть» цифровой контур компаний, чем нести многократные издержки на выплаты штрафов, замечают в Госдуме РФ.
В публичный доступ попадают данные как пользователей, так и сотрудников крупных российских компаний. Это не только рабочая информация - должность и электронный адрес, но и личная, в том числе номер мобильного телефона и сведения о банковских картах. Аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц подчеркнул, что утечка может затронуть любую компанию. За прошедший год было украдено почти 300 миллионов пользовательских данных, из которых 16% - около 48 миллионов строк, содержащих пароли для вскрытия личных кабинетов пользователей.
«Мы ожидаем, что в 2023 году их количество может вырасти на 20%. При этом велика вероятность, что злоумышленники продолжат обращать внимание на сферу ритейла, которая исторически хранит колоссальные объемы информации. Компаниям важно выстроить комплексную систему защиты ИТ-инфраструктуры, а также разработать план, который будет включать шаги по трем основным направлениям: расследование инцидента и реагирование, а также грамотная и своевременная коммуникация с клиентами, партерами и регуляторами. Более подробный алгоритм действий на случай возможной утечки данных есть в нашем отчете», - сказал господин Фиц.
Специалисты «Лаборатории Касперского» предложили российскому бизнесу внедрить такие меры профилактики от утечек, как хранение только тех данных, которые действительно необходимы для функционирования сервисов и приложений, разработка плана по реагированию на случай взлома, который позволит снизить ущерб от инцидента, использование для анализа потенциальных угроз и оперативного выявления инцидентов сервисов Threat Intelligence и внедрение SIEM-системы для обнаружения попыток несанкционированного доступа на начальном этапе кибератаки.
Для повышения надежности и автоматизации работы распределенных сетей специалисты российского рынка киберзащиты предлагают использовать и ИТ-решение класса SD-WAN, унифицированные политики безопасности и единые настройки сетевого оборудования для всех объектов компании, которые позволят построить отказоустойчивую сеть, внедрить разграничение прав доступа, проводить мониторинги поверхности кибератаки, чтобы выявить проблемные места внешнего ИТ-периметра организации, а также регулярно проводить тренинги по повышению цифровой грамотности сотрудников бизнеса.
Член комитета Госдумы РФ по информационной политике, информационным технологиям и связи Антон Немкин отметил, что еще одним действенным элементом построения системы защиты персональных данных граждан становятся не только технологические, но и регуляторные меры. Эта работа - одно из приоритетных направлений для Госдумы РФ: уже ведется работа по установлению оборотных штрафов для компаний, допускающих утечки и усилению ответственности за незаконный оборот данных, напомнил депутат.
«В 2022 году произошел колоссальный рост утечек, и причины, по которым это случилось именно в 2022 году, понятны. Такая ситуация действительно требует чрезвычайных мер и от государства. Однако это не устраняет необходимости неукоснительного соблюдения требований законодательства и принятия мер по обеспечению безопасности пользовательских данных, тем более что очень многие аспекты этой работы уже решены на уровне законодательства. В том числе мы приняли Федеральный закон от 29.12.2022 № 572-ФЗ, запрещающий принудительный сбор биометрических персональных данных и устанавливающий обязательность их хранения только в защищенной государственной информационной системе. На фоне участившихся утечек Постановлением Правительства РФ от 04.02.2023 № 161 отменен и введенный ранее мораторий на внеплановые проверки бизнеса Роскомнадзора в случае, если компания допустила утечку информации», - подчеркнул Антон Немкин.
Немкин убежден, что в условиях действующего законодательства с достаточно мягкими штрафами не все представители бизнес-сообщества выбирают качественные методы киберзащиты персональных данных своих клиентов. «Введение оборотных штрафов позволит создать условия, когда банкам, ритейлерам, сервисам доставки и другим компаниям, работающим с такими данными, будет гораздо выгоднее инвестировать в защитные информационные системы, которые «закроют» цифровой контур компаний, чем нести многократные издержки на выплаты штрафов, неизбежные при утечке персональных данных», - уверен Антон Немкин.
Он также добавил, что при доработке предложений правительства и законодательных инициатив по вопросам защиты персональных данных россиян проводятся консультации с участниками рынка.