- БАНКОВСКО-
ФИНАНСОВОМУ СЕКТОРУ-
-
- ЗАЩИТА ИНФОРМАЦИИ
- Защищенная инфраструктура “ИС ЗИ БФТ”
- Сервис КриптоХаб
- Аудит информационных систем
- Защищенные каналы связи
- Стационарные узлы шифрования
- Стационарное защищенное рабочее место
- Программные узлы шифрования
- Удаленное защищенное рабочее место
- SIEM
- DLP
- Межсетевой экран
- Регистрационный центр ГосСУОК
- Удостоверяющий центр
- Автоматизация внесения персональных данных в информационную систему
- Проектирование, создание и аттестация информационной системы компании
- ЗАЩИТА ИНФОРМАЦИИ
-
- ГОСУДАРСТВЕННОМУ СЕКТОРУ
И ЧАСТНОМУ БИЗНЕСУ-
-
- Защита информации
- Защищенная инфраструктура “ИС ЗИ БФТ”
- Сервис КриптоХаб
- Аудит информационных систем
- Защищенные каналы связи
- Регистрационный центр ГосСУОК
- Удостоверяющий центр
- Техподдержка и консультации пользователей СОК
- Программно-аппаратные узлы шифрования
- Программные узлы шифрования
- Стационарное защищенное рабочее место
- Удаленное защищенное рабочее место
- SIEM
- DLP
- Межсетевой экран
- Автоматизация внесения персональных данных в информационную систему
- Проектирование, создание и аттестация информационной системы компании
- Защита информации
-
- ПРОИЗВОДИТЕЛЯМ
УСЛУГ ЕРИП -
Содержание
Предприниматели должны заботиться о сохранности и конфиденциальности персональной информации, получаемой от своих клиентов. Для этого существует множество способов, которые помогут обеспечить безопасность данных. Ниже собрали советы от специалистов, которые имеют большой опыт работы в сфере защиты информации.
Почему бизнес должен заботиться о защите информации?
Приводим главные причины, которые необходимо учитывать при организации мер по обеспечению безопасности. Наиболее весомые причины это:
- Высокий уровень ответственности. По причине возникновения серьезных инцидентов Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД)имеет полное право приостанавливать процесс последующей обработки персональных данных для конкретной организации. Все инциденты фиксируются в отдельном информационном ресурсе. Такое решение принимается НЦЗПД на основании проведенных плановых и внеплановых проверок. Если произойдет приостановление процесса обработки персданных, бизнес не сможет осуществлять свою деятельность.
- Серьезные финансовые риски и потери. Когда происходит утечка данных, документации по финансам, используемых технологий, предприятие понесет достаточно ощутимые издержки.
- Потеря репутации на рынке. Предприятия, которые сталкиваются с потерей информации, становятся менее привлекательными для клиентов, потенциальных заказчиков.
Именно по этим причинам необходимо защищать информацию, хранящуюся и обрабатываемую в информационной системе компании. Известно, что клиенты меньше доверяют организациям, которые не заботятся о вверенных им данных.
Реальные примеры утечек данных и последствия для предпринимательства
На рынке есть компании, которые занимаются оказанием услуг по сбору персональных данных для достаточно крупных медицинских центров. Можно привести следующий пример: человек зашел на сайт, чтобы записаться на прием к лечащему врачу. Для этого требуется внести свои персональные данные в поля формы онлайн-записи на интернет-ресурсе медицинского центра. По недосмотру и недостаточной степени обеспечения защиты вся важная персональная информация утекла к третьим лицам.
После проверки такому медицинскому центру выдвигаются обвинения. В результате этого удалось выяснить, что сервис не имел соответствующей аттестации, не предпринимал никаких законных мер, чтобы защитить данные своих клиентов. По результатам такой проверки Национальный центр по защите персональных данных приостановил обработку данных на информационном ресурсе. Этому сервису выписаны многочисленные штрафы, а в суде будет проводиться разбирательство.
Только за июль 2023 года было зафиксировано несколько случаев крупных потерь данных:
- Компания «ЗападХимТорг», которая известна многим людям под брендом «Остров чистоты», несколько раз сталкивалась с потерей базы данных. В июле произошел очередной инцидент, когда злоумышленники получили доступ к информационной системе. В результате этого все данные были выставлены на продажу. Всего в системе содержалась информация о 740 тыс. пользователей ресурса. В компании неоднократно проводились все необходимые проверки. Но компания не предприняла никаких действий, чтобы исправить ситуацию.
- Многие знают бренд под названием «Юркас». Компания занимается изготовлением дверей. Основатель фирмы столкнулся с глобальными проблемами по причине недостаточного уровня защиты информации. В результате утечки персональных данных, которые перешли в руки злоумышленников, пострадало больше 5 тысяч человек.
- На одном из официальных ресурсов была опубликована информация об известном бренде. Третьи лица завладели персональными данными пользователей, которые были клиентами интернет-магазина buslik.by и покупали детские товары. Всего на продажу было выставлено более 220 записей личной информации клиентов.
Это только часть всех известных ситуаций, когда в сеть и на продажу попадали данные клиентов.
Перечень основных рисков
Все персональные данные клиентов являются ценными. Злоумышленники, которые завладевают ими, могут осуществлять действия вместо владельцев данных. Нередко от имени определенного человека заключаются договоры, регистрируются страницы. Бывали случаи, когда с использованием личной информации оформлялись кредиты или поручительство.
На территории Беларуси для проведения финансовых операций требуется личное присутствие. Но, например, в Сербии или Албании ситуация обстоит иначе. Для получения кредита или оформления поручительства достаточно заполнить анкету, указав свои персональные данные.
Распространенные киберугрозы, представляющие опасность для предпринимателей
Сегодня наиболее опасной киберугрозой считается фишинг. Это распространенный вид интернет-мошенничества. Главной целью является получение доступа к конфиденциальной информации. Злоумышленники посредством фишинга могут завладеть логином или паролем любого человека.
Для получения таких данных мошенники делают массовые рассылки электронных писем. Они приходят от имени распространенных и известных брендов. Нередко бывают ситуации, когда пользователям приходят личные сообщения через сервисы. Это могут быть банковские организации или социальные сети. В письме прикрепляется ссылка, которая ведет на сайт мошенников. Внешне по оформлению она ничем не отличается от настоящего интернет-ресурса.
Главной целью фишинга является отправка работнику компании, который занимает должность бухгалтера, экономиста или юриста, письма с ссылкой. Люди, которые плохо разбираются в IT-сфере, часто открывают такие сообщения. Примером такого письма может быть название «Начисление премий за август». Сотрудник компании откроет такой Excel-файл и начнет изучать информацию. В документ заложен макрос, который является специально исполняемым кодом. Его прописывают злоумышленники. Когда сотрудник компании откроет такой файл, код начнет воровать трафик, копировать данные, открывать различные доступы.
Еще один распространенный вариант мошенничества в интернете – это cross site script. Главная суть заключается в том, что человек перенаправляется с правильного сайта на поддельный. Сегодня существуют различные вирусы, которые могут попасть сотрудникам компании по электронной почте с тестовой версией. Их могут доставить работники, которые пользуются сомнительными сайтами и скачивают информацию с них.
Также есть и хакерские атаки, которые работают через подбор цифрового пароля. Такой вид мошенничества не теряет своей актуальности на протяжении длительного времени. Многие люди, чтобы не забыть пароль, устанавливают легкие цифровые комбинации или дату своего рождения. Их легко подобрать, поэтому взламывать ничего не придется.
Многие предприниматели, когда замечают факт взлома данных, пытаются своими силами решить проблему. Но в результате этих действий они зачастую теряют конфиденциальную информацию своих клиентов. Сегодня не в каждой компании есть квалифицированный специалист, который имеет опыт и компетенцию, чтобы противостоять краже данных. Чтобы предотвратить взлом, необходимо также проводить работу с персоналом. Сотрудники должны обучаться и проходить необходимую аттестацию.
Некоторые предприниматели понимают ответственность и не открывают сомнительные письма. Они отправляют специалисту их на проверку. Но во многих компаниях случаются ситуации, когда кража данных происходит в результате отсутствия хороших и проверенных инструментов, которые смогли бы обеспечить высокий уровень защиты.
Как предотвратить кражу данных со стороны мошенников?
Мошенники в первую очередь обращают внимание на корпоративные порталы, базы данных, сайты, которые есть в интернете. Если информационные системы не опубликованы в сети Интернет, то не нужно думать, что они должным образом защищены. Для такого взлома часто применяют методику социальной инженерии.
Злоумышленники могут попытаться найти сотрудников внутри компании, которые смогут за определенное вознаграждение отправить базу данных. Целью мошенников становится финансовая отчетность, банковские реквизиты. Вся эта информация может помочь им завладеть деньгами предприятия. Причиной взлома может стать заказ со стороны конкурентов, которые хотят создать проблемы для бизнеса.
Не стоит забывать и про желания хакеров, которые часто хотят самоутвердиться за счет крупной организации. Бывшие сотрудники могут доставить проблемы, зная личные пароли от информационных систем. Чтобы защитить базу данных, необходимо использовать современную систему мониторинга. Ее необходимо правильно настроить, чтобы доступ к активам организации не смог попасть к третьим лицам. Логирование позволяет своевременно контролировать процесс запроса данных, выгрузки информации.
Рекомендации для компаний по защите персональной информации
Чтобы выстроить грамотную информационную безопасность системы, необходимо начинать с комплексного аудита. Для этого этапа потребуется выделить бюджет, обратиться за помощью к надежной экспертной компании. Сотрудники подрядчика по аудиту помогут провести анализ информационной системы, ее уязвимостей и определить проблемы, которые возникли и могут появиться в процессе деятельности предприятия.
После проведенной проверки составляется отчет. В нем отображается подробная «дорожная карта» последовательных действий. Специалисты также фиксируют все задачи, которые позволят обеспечить информационную безопасность, высокий уровень конфиденциальности, целостности и доступности данных. В законодательстве прописаны условия использования информационных систем. Их можно эксплуатировать только с подключением аттестованной системы защиты.
Преимущества использования сторонних услуг для обеспечения защиты персональных данных
Когда предприниматели пытаются своими силами организовать безопасность своего ресурса либо информационной системы компании, то сталкиваются с определенными проблемами. Весь процесс требует больших финансовых затрат и времени. Важно обратить внимание, что некоторые европейские и американские бренды больше не поставляют свои решения в Беларусь.
Для обеспечения необходимого уровня безопасности, поддержания работоспособности применяемых для защиты данных решений необходимы также и сотрудники с высоким уровнем квалификации. Предприниматели должны понимать этот момент и нанимать людей, которые смогут выполнить соответствующие настройки, сделать конфигурацию, отслеживать все показатели. Но не нужно забывать, что найти хороших специалистов сейчас на рынке не так просто.
Также немаловажным преимуществом прибегнуть к услугам сторонней организации в сфере защиты персональных данных является возможность трансформации капитальных затрат в операционные, что позволит сэкономить средства компании-заказчика.
