Журнал "Системы Безопасности" № 3‘2023

В Ц Е Н Т Р Е В Н И М А Н И Я 118 П роблемы включают в себя несоблюдение требований по обработке и хранению пер- сональных данных, случаи утечки информации, а также недостаточную осведомленность граж- дан о своих правах. Все это вызывает опасения относительно конфиденциальности и безопас- ности персональных данных, а также возмож- ное злоупотребление ими. Как защитить персональные данные клиентов от утечек и не разорить компанию Для раскрытия этой темы нам необходимо обратиться к определению термина "персо- нальные данные". Согласно Федеральному закону № 152-ФЗ "О персональных данных", это любая информация, относящаяся к прямо или косвенно определенному или определяе- мому физическому лицу (субъекту персональ- ных данных). Но для чего хакеры и злоумышленники охотятся за нашими персональными данными и какие цели они преследуют при их получении? Причин достаточно много. Ниже я приведу некоторые из них, которые, по моему мнению, являются основными: l заработок; l взлом; l удар по репутации (распространение дезин- формации). Как правило, злоумышленники преследуют цель заработать как можно больше на продаже персональных данных, ведь их агрегация поз- воляет сформировать цифровой профиль чело- века, что помогает найти новые подходы к так- тикам проведения социальной инженерии и реализации новых целей. Вторым пунктом идет взлом жертвы или компа- нии, в которой она работает. Полученные пер- сональные данные могут помочь злоумышлен- нику получить доступ к личным мессенджерам и иным аккаунтам жертвы, например правиль- но подобрав ответ на секретный вопрос для восстановления доступа в систему. Однако этот метод уходит в прошлое с введением двухфак- торной аутентификации. На текущий момент популярным методом взлома с использованием социальной инженерии является метод кражи cookie жертвы, в котором могут находиться пер- сональные данные, а также учетные данные для попадания в инфраструктуру организации. В качестве примера приведу описание инци- дента, случившегося в компании Electronic Arts: "О масштабной утечке данных игрового издателя Electronic Arts. Началось все с того, что хакеры купили украденные cookie-файлы за 10 долларов. Используя их, злоумышлен- ники попали в корпоративный Slack компании Electronic Arts. Так как cookie позволяет захо- дить в систему под видом определенного человека, преступники решили воспользо- ваться этим. Выдавая себя за сотрудника кор- порации, они связались со службой поддерж- ки EA и в конечном итоге получили доступ к токенам многофакторной аутентификации и проникли в корпоративную сеть издателя". Под третьим пунктом я выделяю "удар по репу- тации". Данный механизм направлен на эконо- мическое и психологическое воздействие на человека или компанию, которая стала или может стать целью хакеров. Утечка данных может привести к финансовым потерям, к поте- ре имиджа и доверия. Для достижения своих целей злоумышленники, как правило, используют несколько основных техник: l фишинг; l социальную инженерию; l целенаправленные атаки. Все эти техники очень популярны в наше время, но около 60% угроз исходит от почтового фишинга. По итогам исследования компании InfoWatch за 2022 г., в Сеть утекло более 667 млн записей персональных данных, что существенно больше показателя 2021 г. – 250 млн записей; 2020 г. – 191 млн записей. Я провел исследование, которое показало, что защита персональных данных полностью реализована только в 26% компаний, в 53% реализована недостаточно. Оставшиеся (21%) респонденты ответили, что защита персональных данных у них не реализована в принципе. Примечательно, что лишь 71% респондентов отметил высокую актуальность необходимости защиты персональных данных в России в целом, а для бизнеса – 46%. Удивительно, что при огромном количестве уте- чек персональных данных в России только 45% компаний закладывают в бюджет на следую- щий год покупку средств защиты информации для защиты персональных данных и около 32% компаний еще не определились. Для более глубокого понимания темы необхо- димо знать, какая ответственность может гро- зить за утечку или неправильную обработку персональных данных и при каких обстоятель- ствах она может наступить. Это знание поможет грамотно сформировать стратегию защиты пер- сональных данных, сформировать и согласо- вать бюджет. Законодательные основы Для ответа на вопрос "Как защитить персональ- ные данные клиентов от утечек и не разорить компанию?" необходимо изучить содержание ряда федеральных законов, приказов и поста- новлений правительства, некоторые из них при- ведены ниже: l 152-ФЗ "О персональных данных"; l ПП № 1119 "Об утверждении требований к защите персональных данных при их обра- ботке в информационных системах персо- нальных данных"; июнь – июль 2023 www.secuteck.ru Дмитрий Беляев Начальник службы информационной безопасности АО "Первый Инвестиционный Банк" Сравнение количества утечек за 2020–2022 гг. Как защитить персональные данные клиентов от утечек Современные технологии и цифровизация приводят к росту объема персональных данных. Однако, несмотря на прогресс в этой области, существуют недостатки как в законодательстве, так и на практике, негативно сказывающиеся на защите данных