Утечка персональных данных – одно из самых распространенных последствий недостаточно зрелой системы безопасности компании. Разглашение сведений о клиентах, сотрудниках и партнерах организации или попадание информации к хакерам может привести к существенным финансовым, юридическим и репутационным рискам, спровоцировать критические инциденты в сфере ИБ.

Сейчас активно набирают обороты торговые площадки в DarkNet, где злоумышленники обнародуют слитую информацию, торгуют ею, принимают с ее помощью заказы на киберпреступления. Чаще всего компании-жертвы даже не подозревают об этом, поскольку подобные каналы сбыта данных не обнаруживаются традиционными средствами обеспечения ИБ. Рассказываем, почему секретная информация может утечь, как установить причастных к этому лиц и где ее искать.

Утечка персональных данных в компании

Сначала уточним, что такое персональные данные (ПДн). Это информация, которая относится непосредственно к субъекту – конкретному человеку. Примеры таких сведений: личный адрес и телефон, фотографии, данные паспорта и банковских карт. То есть это информация, по которой можно идентифицировать конкретную персону. К слову, абстрактные номера телефонов и email-адреса не относятся к ПДн, поскольку нельзя с уверенностью сказать, кому они принадлежат.

Персональные данные условно делятся на четыре категории:

  • Сведения, обнародованные по согласию субъекта. Это могут быть любые наборы ПДн, с разрешения владельца опубликованные в общедоступных источниках (на сайтах, порталах и т. д.).

  • Специальные ПДн – информация, раскрывающая личность человека и его образ жизни. Например, это сведения о состоянии здоровья, судимости, религиозных взглядах. Такие данные обычно не фигурируют в открытом доступе, и чтобы с ними ознакомиться, нужно делать официальные запросы в соответствующие органы или лично опрашивать человека.

  • Биометрические ПДн – уникальные биологические и физиологические характеристики конкретного человека, позволяющие установить его личность. Это могут быть отпечатки пальцев, группа крови и т. д. Законодательство определяет, что такую информацию разрешено хранить с целью последующей идентификации персоны. К примеру, если на проходной офиса стоит камера с функцией сканирования лица, биометрические данные потребуются для распознавания сотрудников. Подобные сведения иногда необходимы для аутентификации в информационных системах.

  • Иные персональные данные – все то, что имеет отношение к конкретным людям, но не вошло в предыдущие категории. В частности, размер заработной платы, принадлежность к социальным группам и т. д.

Утечка персональных данных в компании – несанкционированное попадание информации в чужие руки (скажем, к конкурентам) или в открытый доступ. Обнародованные сведения могут быть использованы в корыстных интересах против организации или с целью навредить конкретному человеку.

Слитой может оказаться информация о сотрудниках компании, клиентах, партнерах, поставщиках. В лучшем случае данные просто появятся в общем доступе, в худшем – будут использованы злоумышленниками, например, с целью шантажа или переманивания сотрудников к конкурентам.

Источники утечки данных в компании

Основная причина утечек – неправильная обработка и хранение данных. Допустим, сотрудники могут по ошибке отправить важную информацию не по адресу. Вот еще вероятные причины:

  • Взлом базы данных.

  • Вредоносное ПО, в частности кейлогеры, которые регистрируют каждое нажатие клавиатуры.

  • Фишинговые атаки.

Часто утечки происходят не без участия инсайдеров – лиц, имеющих непосредственное отношение к компании. Ими могут быть сотрудники, которые намеренно сливают злоумышленникам засекреченные сведения. Такие поступки нередко совершаются из мести или по заказу конкурентов. Если действия инсайдера не удастся вовремя выявить с помощью средств обеспечения безопасности, он может в течение длительного времени сливать разные данные – от сведений о персонале до содержания коммерческих разработок.

ответственность за утечку персональных данных

Ответственность за утечку персональных данных в компании

ФЗ РФ № 152 «О персональных данных» в редакции от 27.07.2006 обязывает организации должным образом хранить, обрабатывать и защищать ПДн, поэтому ответственность за утечку сведений полностью ложится на компанию.

Статья 13.11 КоАП РФ гласит о наложении штрафов за различные нарушения при работе с персональными данными.

В статьях 81, 90, 192 ТК РФ говорится о дисциплинарной ответственности, которая касается сотрудников компании, виновных в инциденте. Если утечка произошла по ошибке работника, руководитель организации вправе применить наказание в виде выговора, штрафа, а иногда и увольнения.

Статья 15 ГК РФ регулирует гражданско-правовую ответственность сотрудников. Если инцидент повлек серьезные последствия, виновник утечки облагается штрафом и обязан возместить убытки.

В соответствии со статьей 137 УК РФ за утечку персональных данных в компании иногда наступает и уголовная ответственность. Так, за сбор и распространение сведений, касающихся личной и семейной тайн, предусмотрены достаточно большие штрафы, принудительные работы или арест. Аналогичное наказание будет назначено за незаконный доступ к защищаемым сведениям, их модификацию, блокировку или уничтожение. Виды нарушений и санкции перечислены в статье 272 УК РФ.

Как хакеры сливают данные

Если данные не были намеренно переданы киберпреступникам с целью подготовки атак, то они могут быть использованы далеко не сразу. Хакеры размещают объявления о продаже или обмене украденных сведений в закрытых группах Telegram, на специальных площадках в DarkNet, в социальных сетях. Там же публикуются заказы на проведение кибератак в отношении конкретных организаций.

Таких площадок нет в открытом доступе, поэтому далеко не сразу удается обнаружить утечку персональных данных в компании. Соответственно, время играет против организаций, которые не успевают подготовиться к возможным инцидентам, наказать виновных и усилить меры безопасности.

Как обнаружить утечку

Мониторинг DarkNet – сложная задача, которая не под силу традиционным инструментам ИБ. Для раннего обнаружения утечек нужно использовать специальное решение, к примеру Solar AURA. В него включен модуль «Даркнет», разработанный для поиска каналов слива данных.

Функции инструмента:

  • Мониторинг сетевых каналов (групп в Telegram, сообществ хакеров, торговых площадок) с целью выявления сообщений о продаже слитых данных, заказов на кражу сведений и подготовку кибератак в отношении организаций.

  • Сбор информации о пользователях, разместивших подобные объявления.

  • Cбор дополнительных фактов о случившихся инцидентах (например, с целью выявления инсайдеров).

Система защиты предполагает автоматизированный и ручной поиск сведений в реальном времени. Результаты мониторинга оцениваются опытными экспертами в сфере информационной безопасности, которые помогут организации-заказчику предотвратить кибератаку или расследовать инцидент.

обнаружение утечки персональных данных в компании

Заключение

Утечка персональных данных в компании неизменно повлечет за собой проблемы в виде административной (а иногда и уголовной) ответственности, кибератак на организацию. Чтобы минимизировать последствия, нужно как можно скорее обнаружить каналы сбыта информации и установить причастных к утечке лиц. Это не получится сделать с помощью традиционных инструментов ИБ, которые не предназначены для мониторинга пространства «темного интернета» – DarkNet, а именно там базируются группировки хакеров, сливающих персональные данные и другие конфиденциальные сведения.

Коммерческий центр противодействия кибератакам Solar JSOC предлагает решение Solar AURA для оперативного обнаружения утечек. Инструмент обеспечит круглосуточную защиту от внешних цифровых угроз, а эксперты помогут разобраться в причинах инцидентов и исключить подобные случаи в будущем.