Почему ваши персональные данные могут стать доступными для посторонних
Личные сведения, которые оказываются в Интернете, моментально становятся доступными большому количеству людей, в том числе и злоумышленникам. Кроме того, как сообщают специалисты, утечка информации может происходить по вине сотрудников компаний, которые запрашивают у клиентов их персональные данные.
Сколько информации о себе предоставляют российские пользователи
По статистике, каждый российский пользователь в среднем имеет 15 наборов данных, которые он постоянно обнародует для подтверждения своей личности (оставляет различным компаниям или госструктурам). 70% россиян имеют профиль в Единой системе идентификации и аутентификации, сим-карты, банковские карты, регистрацию на нескольких интернет-сайтах. А в Москве у людей еще больше идентификаторов – примерно 24 на каждого пользователя.
Отчего происходят утечки данных
Как говорят специалисты центра технологий, медиа и телекоммуникаций, утечка персональных данных пользователя напрямую связана с количеством компаний, собирающих сведения о пользователях. В России 88% утечек данных происходит именно по вине сотрудников компаний, в мире же этот показатель составляет не более 56%. В некоторых случаях действия персонала бывают непреднамеренными и не таят в себе злого умысла, это результат незнания регламента работы с личной информацией клиента.
Однако, нельзя исключать и умышленный «слив» информации. За продажу на черном рынке пары записей с персональными данными сотрудник компании может получить сумму, равную его месячной зарплате. По предварительным оценкам за прошлый год в России было подано около ста исков, которые имеют отношение к утечке персональных данных. Кроме того, текучка кадров, сокращение штата сотрудников и прочие явления вызывают недовольство сотрудников, что является причиной распространения засекреченных данных конкурентам.
Практически все автоматизированные системы защиты ограничивают доступ к секретной информации в рамках только одного здания. Как правило, один общий сервер хранения данных используется несколькими филиалами. Поэтому службы безопасности не могут проследить, как именно реализуется доступ к информации каждого из филиалов.
Некоторые большие корпорации используют сложные ИТ-инфраструктуры. Такие комплексные системы защиты могут быть причиной утечки, поскольку одновременная работа нескольких человек может быть недостаточно налаженной. Сбои в работе программного обеспечения возникают постоянно. В этот момент защищаемые файлы могут быть перехвачены. Поэтому в базе может потеряться существенное количество важной информации, которую достаточно трудно восстановить.
Известные утечки данных банков за последнее время
Только за последний месяц стало известно о нескольких утечках банковских данных клиентов:
- Сбербанк подтвердил утечку данных 5000 клиентов, продавец базы утверждал, что имеет в распоряжении примерно 60 млн. записей.
- Из коллекторского агентства «Национальная служба взысканий», которое сотрудничало со Сбербанком, была обнаружена утечка персональных данных клиентов. Злоумышленник был задержан, он сообщил, что имеет сведения об 11000 клиентов. В настоящее время банк разорвал договор о сотрудничестве с данным коллекторским агентством.
- На специализированном форуме было выставлено объявление о реализации данных клиентов «Альфастрахование» (около 3000) и клиентов Альфа-банк (около 3500).
- Совсем недавно 5000 персональных данных клиентов и вкладчиков ВТБ были замечены на черном рынке.
Пути повышения информационной безопасности
Обеспечение безопасности должно основываться на одномоментном применении всех мер, которые предусмотрены законом или рекомендуются специалистами. К организационным мерам, в первую очередь, относятся разработки приложений, регламентов и процессов взаимодействия. Но не только, кроме этого необходимо:
- установить градацию доступа сотрудников к информации, содержащей коммерческую тайну;
- назначить сотрудников, которые несут ответственность за обеспечение информационной безопасности;
- переобучить персонал;
- получить лицензию на работу с засекреченной информацией.
Что касается технических средств и мер безопасности и сохранения конфиденциальной информации в тайне, к ним относятся не только программы, к примеру DLP-системы, но и прочие инструменты, которые имеются в распоряжении компании. Необходимо опираться на модель информационной защиты, принципы которой заключаются в следующем:
- простота архитектуры;
- сокращение числа каналов;
- внедрение только прогрессивных программных решений;
- использование исключительно лицензированного ПО;
- протоколирование и документирование любых действий пользователей;
- наличие нескольких рубежей обороны.
Важно понимать, что меры по обеспечению безопасности секретной базы данных необходимы, но они должны быть разумными. На них не должны затрачиваться средства, которые сравнимы по цене со стоимостью ресурсов. Излишняя нагрузка на персонал или бизнес будет нецелесообразной.