Наталья
Иванова

младший консультант по информационной безопасности Cross Technologies
© ComNews
06.09.2021

Любая компания обладает большим количеством конфиденциальной информации: персональные данные сотрудников, коммерческая тайна, результаты аудиторских проверок и т.д. Такие сведения очень привлекательны для злоумышленников, так как на них есть большой спрос, а значит в даркнете их можно быстро продать.

Утечка конфиденциальных данных происходит регулярно. В качестве основных причин хочу выделить недостаточно высокий уровень информационной безопасности, а также отсутствие обучения персонала компании.

Нередко утечкой данных занимаются сами сотрудники. Например, по незнанию работник может откликнуться на фишинговое сообщение и передать злоумышленнику доступ к конфиденциальной информации компании. Также специалисты могут осознанно приводить к утечке сведений. Например, в случае увольнения обиженный сотрудник захочет отомстить и нанести ущерб компании. Тогда он воспользуется своим доступом к данным и похитит их, а потом продаст в даркнете и придаст огласке в СМИ. Компании, в свою очередь, это может нанести финансовый и репутационный ущерб. Поэтому очень важно проводить обучение сотрудников и держать информационную безопасность компании на высоком уровне.

Для бизнеса утечка конфиденциальных данных может иметь различные последствия. Например, подорвёт доверие со стороны потребителей и партнёров, что в дальнейшем плохо скажется на положении компании на рынке. Конкуренты могут увести клиентов, что приведет к потере прибыли. А также утечка конфиденциальных данных может привести к повышенному вниманию со стороны регулирующих органов, которые устроят внеплановые проверки. И самый негативный исход этой ситуации – штрафы, удар по репутации, лишение лицензий, частичное или полное прекращение деятельности компании.

Например, в 2020 году в Германии сервисный центр фэшн-ритейлера H&M собирал личную информацию о сотрудниках (условия проживания и др.). Вскоре персонал узнал об этой базе данных из-за внутреннего инцидента. Произошедшее быстро распространилось в СМИ, что навредило репутации компании. Это также привлекло регулирующий орган, проверяющий компании на защиту персональных данных и соответствие GDPR. В результате чего H&M выплатила штраф размером 35 млн евро за несанкционированный сбор, хранение и обработку личной информации о сотрудниках и нарушение их частной жизни.

Купленные на "чёрном рынке" конфиденциальные данные может ждать различная судьба. Некоторые из них используются для мошеннических операций. Например, обзвон под видом службы безопасности банка с целью узнать пароль от личного кабинета и заполучить деньги жертвы. Другие данные необходимы, чтобы составить полный портрет жертвы. Опираясь на полученные сведения, злоумышленникам проще подобрать пароль, например, от рабочего устройства (ноутбук/телефон) сотрудника. А затем завладеть более серьёзной и критичной информацией, которая может стоить компании миллионы.

Ponemon Institute и IBM Security проводили исследование. В нём приняло участие 3200 ИБ-специалиста из 500 различных компаний, которые пострадали от утечек данных. В ходе исследования выяснили, что в среднем каждая утечка данных обходится компаниям в $3,86 млн, а самые высокие расходы связаны с компрометацией учетных записей сотрудников.

В отчёте исследования имеется следующая интересная статистика:


В среднем, за последние четыре года, стоимость одной записи ровняется 146 $.

Чаще всего злоумышленников интересуют следующие данные:


Сейчас большинство компаний перешли в режим удалённой работы, а это означает, что происходит обмен большим количеством данных по сети. В такое время нужно быть особенно внимательным к безопасности данных как клиентов, так и сотрудников.

Конфиденциальность для бизнеса очень важна, и не только потому, что утечка может стоить компании миллионы. Высокий уровень информационной безопасности в компании повышает доверие со стороны клиентов и благоприятно сказывается на репутации.