Как ритейлерам избежать штрафов за утечки данных, если «бумажная безопасность» уже не работает
время публикации: 10:00 05 февраля 2025 года
@Freepic
Об этом в материале расскажет Сергей Тимошенко, совладелец и генеральный директор компании-разработчика в сфере информационной безопасности «ЭВРИТЕГ».
В ноябре 2024 года были приняты законы, ужесточающие ответственность за утечки данных и их незаконный оборот. Их основная цель – стимулировать компании вкладывать средства в обеспечение безопасности и повысить их ИБ-ответственность.
Новая система штрафов:
● За утечку 1 000-10 000 субъектов персональных данных для юридических лиц предусмотрены штрафы в размере 3-5 млн рублей.
● За компрометацию данных 10 000-100 000 субъектов – 5-10 млн рублей.
● За массовые утечки (более 100 000 субъектов ПДн) – 10-15 млн рублей.
Если утечка данных повторится, штрафы для юридических лиц увеличатся до 3% от годовой выручки компании за предшествующий год, но не менее 20 миллионов рублей и не более 500 миллионов рублей.
До недавнего времени многие компании ограничивались так называемой «бумажной» безопасностью, то есть формальным выполнением требований регуляторов. Фактически под этим термином подразумевается набор документов, которые нужно показать контролирующим органам при очередной проверке. Ведь поскольку регуляторы не могут оценить реальную защищенность бизнеса, они проверяют его на соответствие требованиям по наличию ряда регламентов и политик.
Однако законодательные изменения, вступающие в силу с мая 2025 года, требуют перехода на «реальную» безопасность – защиту данных на практике. Особенно это касается ритейлеров, которые являются одной из главных мишеней для хакеров.
Сектор ритейла – одна из наиболее уязвимых отраслей с точки зрения информационной безопасности. Так, согласно данным Роскомнадзора, с января по сентябрь 2024 года в России было зафиксировано более 100 случаев утечек ПДн. Причем чаще всего они происходили в компаниях в сфере торговли. Причины подобных инцидентов могут быть разными, и условно их можно разделить на три категории:
● Внешние атаки. Например, в октябре прошлого года сеть магазинов «Детский мир» подверглась атаке, в результате которой в сеть утекли данные более 1,2 млн клиентов. Хакеры смогли заполучить доступ к фамилиям, телефонам, имейлам и номерам бонусных карт.
● Инсайдерские угрозы. Наиболее яркий пример – утечка данных «Яндекс Еды» в 2022 году. Тогда в результате действий инсайдеров в сеть утекла информации о более чем 6,8 млн клиентах компании. Этот тип угроз особенно актуален для ритейла. Так, по данным «СёрчИнформ», в 2023 году 83% ритейлеров столкнулись с внутренними инцидентами по вине персонала, при этом 67% из них зафиксировали утечки данных.
● Невнимательность сотрудников. Помимо угрозы, исходящей от корпоративных шпионов, утечки могут происходить в связи с банальным пренебрежением сотрудниками мерами предосторожности. Например, в случаях, когда они переходят по фишинговым ссылкам.
Так, в июне 2024 года был обнаружен новый сценарий фишинговых атак: злоумышленники представлялись сотрудниками технической поддержки компаний, а затем отправляли сообщения о смене доменного адреса внутренних рабочих систем, прося сотрудников перейти по ссылке и ввести корпоративные пароли.
Помимо этого, некоторый процент утечек объясняется тем, что с каждым годом данных становится все больше и порой их объем фактически становится неконтролируемым. В итоге распределенные системы, многочисленные облачные решения и файловые хранилища, используемые бизнесом, усложняют инвентаризацию и классификацию данных, а также управление к ним доступом, что облегчает работу злоумышленникам.
@Freepic
Логичный вопрос: как ритейлу решить проблему с сохранностью ПДн? Есть ли на рынке технологии, способные закрыть эту боль, а вместе с ней и доступ злоумышленникам к чувствительной информации? И будет ли это решение удобным?
Сегодня для ритейла, как и для любого бизнеса, работающего с большим объемом чувствительной информации, оптимальным решением могут стать платформы безопасности данных (Data Security Platform, DSP). Это продукты, которые позволяют обеспечить многоуровневую защиту и управлять всеми типами данных из единого интерфейса, что облегчает администрирование и минимизирует вероятность ошибок.
В основе DSP лежит концепция «нулевого доверия» (Zero Trust). Подобный подход предполагает, что любое действие или любой пользователь не являются доверенными, до тех пор, пока не будет доказано обратное. Причем подтверждение требуется, каждый раз, когда система распознает, что пользователь совершает какие-либо действия. В результате DSP-решения одновременно решают целый ряд задач:
● Осуществление гибкой политики управления доступом. Механизмы подобных платформ сводят на нет возможность получения доступа к информации вне рабочего места юзера.
● Отслеживание трафика и мониторинг инфраструктуры. Абсолютно все действия с системой, в том числе вносимые изменения, проверяются и логируются, а подозрительная сетевая активность – например, частое обращение к различным категориям данных – вызывает автоматическую блокировку запросов или учетной записи пользователя.
● Осуществление принципа минимальных привилегий. Механизмы DSP-решений нацелены на то, чтобы предотвращать доступ к данным, даже если запрос исходит от привилегированных пользователей, например, в случае если они утратили контроль над своим рабочим местом или совершают умышленные действия.
● Инвентаризация и классификация данных. Система разделяет информацию по степени важности и ее критичности для компании.
● Шифрование данных на всех уровнях. Даже если предположить, что данные будут украдены, они останутся недоступными для прочтения без предъявления специальных ключей. Иными словами, такой подход гарантирует защиту данных от публичного распространения.
Читайте также: Самые громкие кибератаки и утечки данных в ритейле в 2024
DSP-системы также масштабируемы, что позволяет адаптировать их к изменяющимся нагрузкам и размерам бизнеса. И хотя это относительно новый тренд на глобальном рынке, уже сейчас разработчики предлагают подобные платформы. Тем не менее они и могут отличаться по функционалу, так как единого стандарта нет.
Например, сейчас на рынке есть новое решение DSP-класса от отечественного разработчика с дополнительной возможностью развертывания БД в безопасной среде, к которой де-факто нельзя получить несанкционированный доступ.
Однако какими бы опциями не был дополнен функционал подобных решений, все системы класса DSP в любом случае защищают бизнес от трех основных типов угроз: внешних атак, корпоративного шпионажа и невнимательности сотрудников. Все это позволяет минимизировать финансовые потери от возможных штрафов или простоя и сохранить непрерывность бизнес-процессов, а также повысить эффективность работы ИТ- и ИБ-служб организации за счет автоматизации процессов контроля доступа и аудита и снизить зависимость от дорогостоящих кадров для эксплуатации платформы.
Очевидно, что ритейлерам уже сейчас приходится пересматривать подходы к сохранности данных, чтобы совершить переход от «бумажной» к «реальной» безопасности, и в этом могут помочь такие решения как DSP. Однако для полноценной минимизации рисков важно не только внедрять передовые технологии, но и регулярно обучать сотрудников правилам информационной- и кибербезопасности.
Работа ритейлеров связана с обработкой большого количества конфиденциальной информации, и именно это превращает компании в привлекательную мишень для киберпреступников. В свете грядущего ужесточения ответственности за утечку персональных данных возникает вопрос, существуют ли технологии, которые могут гарантировать защиту чувствительной информации?
Об этом в материале расскажет Сергей Тимошенко, совладелец и генеральный директор компании-разработчика в сфере информационной безопасности «ЭВРИТЕГ».
Потеря актуальности «бумажной безопасности»
В ноябре 2024 года были приняты законы, ужесточающие ответственность за утечки данных и их незаконный оборот. Их основная цель – стимулировать компании вкладывать средства в обеспечение безопасности и повысить их ИБ-ответственность.
Новая система штрафов:
● За утечку 1 000-10 000 субъектов персональных данных для юридических лиц предусмотрены штрафы в размере 3-5 млн рублей.
● За компрометацию данных 10 000-100 000 субъектов – 5-10 млн рублей.
● За массовые утечки (более 100 000 субъектов ПДн) – 10-15 млн рублей.
Если утечка данных повторится, штрафы для юридических лиц увеличатся до 3% от годовой выручки компании за предшествующий год, но не менее 20 миллионов рублей и не более 500 миллионов рублей.
До недавнего времени многие компании ограничивались так называемой «бумажной» безопасностью, то есть формальным выполнением требований регуляторов. Фактически под этим термином подразумевается набор документов, которые нужно показать контролирующим органам при очередной проверке. Ведь поскольку регуляторы не могут оценить реальную защищенность бизнеса, они проверяют его на соответствие требованиям по наличию ряда регламентов и политик.
Однако законодательные изменения, вступающие в силу с мая 2025 года, требуют перехода на «реальную» безопасность – защиту данных на практике. Особенно это касается ритейлеров, которые являются одной из главных мишеней для хакеров.
Популярная цель для злоумышленников
Сектор ритейла – одна из наиболее уязвимых отраслей с точки зрения информационной безопасности. Так, согласно данным Роскомнадзора, с января по сентябрь 2024 года в России было зафиксировано более 100 случаев утечек ПДн. Причем чаще всего они происходили в компаниях в сфере торговли. Причины подобных инцидентов могут быть разными, и условно их можно разделить на три категории:
● Внешние атаки. Например, в октябре прошлого года сеть магазинов «Детский мир» подверглась атаке, в результате которой в сеть утекли данные более 1,2 млн клиентов. Хакеры смогли заполучить доступ к фамилиям, телефонам, имейлам и номерам бонусных карт.
● Инсайдерские угрозы. Наиболее яркий пример – утечка данных «Яндекс Еды» в 2022 году. Тогда в результате действий инсайдеров в сеть утекла информации о более чем 6,8 млн клиентах компании. Этот тип угроз особенно актуален для ритейла. Так, по данным «СёрчИнформ», в 2023 году 83% ритейлеров столкнулись с внутренними инцидентами по вине персонала, при этом 67% из них зафиксировали утечки данных.
● Невнимательность сотрудников. Помимо угрозы, исходящей от корпоративных шпионов, утечки могут происходить в связи с банальным пренебрежением сотрудниками мерами предосторожности. Например, в случаях, когда они переходят по фишинговым ссылкам.
Так, в июне 2024 года был обнаружен новый сценарий фишинговых атак: злоумышленники представлялись сотрудниками технической поддержки компаний, а затем отправляли сообщения о смене доменного адреса внутренних рабочих систем, прося сотрудников перейти по ссылке и ввести корпоративные пароли.
Помимо этого, некоторый процент утечек объясняется тем, что с каждым годом данных становится все больше и порой их объем фактически становится неконтролируемым. В итоге распределенные системы, многочисленные облачные решения и файловые хранилища, используемые бизнесом, усложняют инвентаризацию и классификацию данных, а также управление к ним доступом, что облегчает работу злоумышленникам.
@Freepic
Новый класс решений и гарантированная защита
Логичный вопрос: как ритейлу решить проблему с сохранностью ПДн? Есть ли на рынке технологии, способные закрыть эту боль, а вместе с ней и доступ злоумышленникам к чувствительной информации? И будет ли это решение удобным?
Сегодня для ритейла, как и для любого бизнеса, работающего с большим объемом чувствительной информации, оптимальным решением могут стать платформы безопасности данных (Data Security Platform, DSP). Это продукты, которые позволяют обеспечить многоуровневую защиту и управлять всеми типами данных из единого интерфейса, что облегчает администрирование и минимизирует вероятность ошибок.
В основе DSP лежит концепция «нулевого доверия» (Zero Trust). Подобный подход предполагает, что любое действие или любой пользователь не являются доверенными, до тех пор, пока не будет доказано обратное. Причем подтверждение требуется, каждый раз, когда система распознает, что пользователь совершает какие-либо действия. В результате DSP-решения одновременно решают целый ряд задач:
● Осуществление гибкой политики управления доступом. Механизмы подобных платформ сводят на нет возможность получения доступа к информации вне рабочего места юзера.
● Отслеживание трафика и мониторинг инфраструктуры. Абсолютно все действия с системой, в том числе вносимые изменения, проверяются и логируются, а подозрительная сетевая активность – например, частое обращение к различным категориям данных – вызывает автоматическую блокировку запросов или учетной записи пользователя.
● Осуществление принципа минимальных привилегий. Механизмы DSP-решений нацелены на то, чтобы предотвращать доступ к данным, даже если запрос исходит от привилегированных пользователей, например, в случае если они утратили контроль над своим рабочим местом или совершают умышленные действия.
● Инвентаризация и классификация данных. Система разделяет информацию по степени важности и ее критичности для компании.
● Шифрование данных на всех уровнях. Даже если предположить, что данные будут украдены, они останутся недоступными для прочтения без предъявления специальных ключей. Иными словами, такой подход гарантирует защиту данных от публичного распространения.
Читайте также: Самые громкие кибератаки и утечки данных в ритейле в 2024
DSP-системы также масштабируемы, что позволяет адаптировать их к изменяющимся нагрузкам и размерам бизнеса. И хотя это относительно новый тренд на глобальном рынке, уже сейчас разработчики предлагают подобные платформы. Тем не менее они и могут отличаться по функционалу, так как единого стандарта нет.
Например, сейчас на рынке есть новое решение DSP-класса от отечественного разработчика с дополнительной возможностью развертывания БД в безопасной среде, к которой де-факто нельзя получить несанкционированный доступ.
Однако какими бы опциями не был дополнен функционал подобных решений, все системы класса DSP в любом случае защищают бизнес от трех основных типов угроз: внешних атак, корпоративного шпионажа и невнимательности сотрудников. Все это позволяет минимизировать финансовые потери от возможных штрафов или простоя и сохранить непрерывность бизнес-процессов, а также повысить эффективность работы ИТ- и ИБ-служб организации за счет автоматизации процессов контроля доступа и аудита и снизить зависимость от дорогостоящих кадров для эксплуатации платформы.
Очевидно, что ритейлерам уже сейчас приходится пересматривать подходы к сохранности данных, чтобы совершить переход от «бумажной» к «реальной» безопасности, и в этом могут помочь такие решения как DSP. Однако для полноценной минимизации рисков важно не только внедрять передовые технологии, но и регулярно обучать сотрудников правилам информационной- и кибербезопасности.
Сергей Тимошенко,
совладелец и генеральный директор компании-разработчика в сфере информационной безопасности «ЭВРИТЕГ».
Для NEW RETAIL
0
Читайте также
Последние новости
Самое популярное
-
И оптом, и в розницу: как PIM Brandquad ускорил работу четырех отделов AMAZING R...
-
Какие тренды ждут рынок e-commerce в 2025?
-
Онбординг в аутсорсинге: какие форматы позволяют адаптировать до 95% новых сотру...
-
Умное ценообразование для бизнеса: определяем стоимость товаров с помощью ML-алг...
-
Как поднять продажи после Нового года: маркетинговые активности в январе
