Вас сливают: 90% утечек спровоцированы человеческим фактором
На фоне украинских событий жертвами утечки данных становятся крупнейшие российские компании, в том числе IT-cектора. Свыше 90% утечек — не результат мастерства хакеров, а вина сотрудников, говорят опрошенные «Известиями» эксперты по кибербезопасности. Работодатели особенно рискуют, выдавая данные доступа внештатным и удаленным сотрудникам. Что грозит за передачу данных клиентов и попытки высказать политическую позицию на страницах бренда, а также почему почти невозможно исключить человеческий фактор в вопросах информационной безопасности, читайте в материале «Известий».
Простор для саботажа
«Как можно чаще поднимайте не относящиеся к делу вопросы»; «работайте медленно»; «делайте свою работу плохо и обвиняйте в этом оборудование» — такие советы давали диверсантам американские спецслужбы в 1944 году. Это инструкция из «Полевого руководства по саботажу» — секретной брошюры, которая использовалась для вербовки агентов в других странах.
Ее составители не могли и мечтать о том просторе для диверсий и саботажа, который появился с переходом на информационные технологии. Достаточно дать заинтересованным лицам подсмотреть за плечо, пока вводишь логин и пароль для входа в корпоративную почту, или самостоятельно выкачать базу данных о клиентах.
С начала спецоперации РФ на Украине стало известно о нескольких крупных утечках. В частности, в даркнете выставили на продажу персональные данные 30 млн человек, которые пользовались услугами лаборатории «Гемотест». В утечке данных признался сервис доставки грузов и документов СДЭК. По данным компании, она произошла из-за взлома.
Более 660 кибер- и DDoS-атак на российские и белорусские предприятия и учреждения осуществила «первая в мире киберармия» Украины, утверждает вице-премьер, министр цифровой трансформации страны Михаил Федоров. С конца февраля портал Distributed Denial of Secrets, который называют преемником WikiLeaks, загрузил уже почти три терабайта данных российских компаний и органов власти. Впрочем, в достоверности этой информации сомневаются даже западные СМИ, которые поощряют так называемый хактивизм.
Множество госорганизаций и компаний из сфер финансов и ритейла сейчас подвергается огромному количеству направленных атак, которые и приводят к утечкам, признает гендиректор ITCOM Security Максим Вирченко.
— Нельзя не учитывать тот факт, что много крупных западных IT-компаний прекратили деятельность в России, — подчеркивает он в беседе с «Известиями». — Базы данных информационных систем и сигнатуры становятся критически уязвимыми из-за отсутствия обновлений, и использование «устаревших» систем в конце концов может привести к утечке данных.
Удар изнутри
Если в случае со СДЭКом причиной утечки стал взлом, то утерю данных клиентов «Яндекс.Еды» спровоцировал сотрудник сервиса, о чем сообщила компания по итогам служебной проверки: «В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее».
— Если во время острой фазы пандемии основным мотивом сливов было желание недобросовестных сотрудников заработать деньги, то сейчас стало больше случаев личной инициативы людей, придерживающихся других взглядов на сложившуюся внешнеполитическую ситуацию, или оба фактора сразу, — говорит Максим Вирченко.
По статистике, 90% утечек данных — «это человеческий фактор, а не действия хакеров извне», объясняет главный специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников. И это отчасти хорошая новость: значит, данные о клиентах защищаются неплохо.
— В любом случае крупные компании обычно не признают факт утечки, — признает Овчинников. — Очень часто утекают неполные данные, которые спустя 2–3 месяца уже теряют свою актуальность на черном рынке. Внутри компаний подобные утечки расследуются и по результатам делаются соответствующие выводы. Однако итоги проверок в СМИ, конечно, не публикуются.
Исполнительный директор IT-компании HFLabs Константин Степанов соглашается, что основной фактор утечек — человеческий. Причем сотрудник может организовать слив данных не из-за желания обогатиться или принципиальной позиции по политическим вопросам, а попросту из чувства обиды.
— Даже те утечки, которые связаны с внешним воздействием, иногда тоже связаны с человеческим фактором. Например, кто-то забыл закрыть внешний доступ к внутреннему ресурсу, — отмечает Степанов в беседе с «Известиями». Другой причиной может стать уязвимость работников к методам фишинга и социальной инженерии, добавляет гендиректор ITCOM Security Максим Вирченко.
Ни нашим ни вашим
Такие информационные диверсии наносят компании колоссальный урон, особенно если она находится в сложной ситуации — например, готовится к заключению сделки или проходит процедуру банкротства, подчеркивает директор по управлению персоналом компании Rights Business Standard Ольга Липина. Возможные последствия — многомиллионные штрафы, а то и закрытие.
— Для сотрудников же в случае утечки информации также существуют последствия, и выговор и увольнения — не самые тяжелые из них, — отмечает Липина в беседе с «Известиями».
Персональные данные охраняются законом, а значит, те, кто их незаконно передает, могут привлекаться к ответственности. Причем как к административной, так и к уголовной, если речь идет о незаконном сборе и распространении «сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия», объясняет Оксана Старожильцева, адвокат, председатель комиссии Ассоциации юристов России по защите социальных и экономических прав.
— Трудовым кодексом тоже предусмотрена ответственность за разглашение работником охраняемой законном тайны (государственной, коммерческой, служебной и иной), ставшей ему известной в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, — обращает внимание собеседница «Известий».
За это работодатель вправе уволить сотрудника.
Компания может предусмотреть ответственность за разглашение коммерческой тайны, прописав ее в трудовом договоре или заключив с работником соответствующее соглашение. В нем можно установить, в частности, штрафные санкции, добавляет юрист в сфере банкротства, финансовых и интеллектуальных споров Анна Грецкая.
По ее словам, разглашение закрытой информации влечет за собой три вида взысканий: дисциплинарное (выговор, штраф или увольнение по статье), гражданско-правовое (позволяет получить возмещение убытков или недополученной прибыли не только с работников, но и с субподрядчиков) и уголовное. «Оно наступает в случаях, когда третьи лица пытаются получить коммерческую тайну при помощи шантажа, угроз жизни, похищения документов», — разъясняет юрист.
Фрилансер в трудном положении
В корпоративных мошеннических схемах чаще всего участвуют сотрудники среднего звена, в пятой части случаев — топ-менеджеры. Такие данные опроса Deloitte среди компаний РФ и СНГ приводит замдиректора департамента специальных проектов hh.ru, специалист по кибербезопасности Ксения Трохимец.
Обычно всевозможные схемы мошенничества — дело рук сотрудников, которые находятся в трудной жизненной ситуации, говорит она.
— Любые существенные изменения во внешней среде на практике приводят к росту утечек вне зависимости от событий на внешнеполитической арене или прихода пандемии. В обоих ситуациях существенная часть инцидентов может быть связана с сотрудниками, работающими удаленно, или фрилансерами, — подчеркивает гендиректор ITCOM Security Максим Вирченко.
Специалисты по информационной безопасности сходятся во мнении, что большинство российских компаний в условиях удаленки весьма праздно относятся к выбору, хранению и передаче паролей, в том числе от публичных страниц в соцсетях. В нынешних условиях это провоцирует информационные диверсии иного толка, когда от имени брендов постятся политические лозунги и иные не относящиеся к их деятельности заявления.
После такого перформанса сотрудник также может быть привлечен к ответственности по трудовому законодательству, говорит адвокат Оксана Старожильцева. Кроме того, это можно расценивать как нарушение внутреннего распорядка организации, добавляет юрист Анна Грецкая.
— Уволить одним днем после такого нельзя, необходимо соблюсти все требования трудового законодательства при расторжении договора с работником. Дальше необходимо смотреть, что это за лозунги и что они демонстрируют, — рассказывает Старожильцева. Она напоминает, что по закону наказуема, в частности, пропаганда либо публичное демонстрирование нацистской атрибутики и символики, а также атрибутики или символики экстремистских организаций.
В Трудовом кодексе не прописаны основания для увольнения работника за пост в соцсетях, внешний вид или политические взгляды, но только если это касается его личных ресурсов, подчеркивает Анна Грецкая.
Робот не спасет
Компании в России немногим отличаются от иностранных в подходах к защите информации, рассказывает главный специалист профильного отдела «Газинформсервиса» Дмитрий Овчинников. Для среднестатистической организации методика во многом зависит от наличия квалифицированного персонала — «хотя бы пара толковых системных и сетевых администраторов могут обеспечить достаточно высокий уровень защищенности с минимальными затратами».
Если говорить про государственные и близкие к ним корпорации, то они следуют регламентам и приказам регуляторов.
— Лучше всего с информационной безопасностью обстоят дела у банков и крупных финансовых организаций. Это связано с тем, что им необходимо соответствовать международным банковским стандартам, — полагает собеседник «Известий».
Какими бы совершенными ни были системы информационной безопасности, внутри компании могут найтись люди, которые воспользуются служебным положением, подчеркивает исполнительный директор HFLabs Константин Степанов.
— Например, есть рынок так называемого пробива. Сотрудник, имеющий доступ к персональным данным клиентов банка, из желания заработать может «сливать» информацию тем, кто им занимается, — приводит пример собеседник. — Иногда для этого достаточно просто сфотографировать экран компьютера с данными человека.
По его словам, чтобы минимизировать подобные утечки, нужно выстроить прозрачный процесс доступа к персональным данным и отслеживать, кто и почему открывает карточки клиентов: «Не нужно держать все яйца в одной корзине: куда лучше, если счета клиентов хранятся отдельно от их персональных данных».
В то же время нужно помнить, что слишком сложный доступ к клиентской базе для сотрудников может оказаться палкой о двух концах. Пока нового сотрудника проверяет служба безопасности, коллеги могут предложить ему поработать со своего компьютера, и так он получит несанкционированный доступ к ней, объясняет специалист.
— Я пока не встречала ни одной компании, в которой весь штат подкован в полном соблюдении кибергигиены. Именно человеческий фактор — причина 95% случаев нарушения кибербезопасности, — говорит замдиректора департамента специальных проектов hh.ru Ксения Трохимец. Чтобы свести потенциальный ущерб к минимуму, нужны емкие и четкие инструкции от службы безопасности, учитывающие, в частности, возможность взлома через контрагентов.
«Освежать» знания сотрудников по кибербезопасности стоит на регулярной основе, а в сложных ситуациях — тем более, отмечает специалист по управлению персоналом Ольга Липина. «Я считаю правильным и важным также информировать сотрудников о возможной ответственности, не с целью запугивания, но для осознания значимости информации», — добавляет она. Любая кризисная ситуация — будь то внутренние проблемы компании или внешние обстоятельства — требует открытого диалога руководства с сотрудниками, исчерпывающих инструкций и понимания последствий.
