Это может случиться с каждым: что делать в первые часы после утечки данных
Утечка информации — серьезная проблема, от которой не застрахована ни одна компания. В последнее время появляется все больше резонансных случаев со взломом баз данных. Например, недавно в сеть слили файлы из внутреннего репозитория «Яндекса». Это архивы общим объемом 44.7 гигабайт, которые содержат исходные коды и другие данные поисковика компании, а также 79 сервисов и проектов, включая «Яндекс.Маркет», «Яндекс.Такси» и «Яндекс.Метрику».
Этот и другие громкие случаи привлекли внимание представителей бизнеса, общественности и власти. Минцифры создало законопроект, согласно которому утечка данных более 10 тысяч субъектов будет наказываться оборотным штрафом.
Мы составили перечень действий, которые необходимо предпринять сразу при обнаружении «слива» данных.
Создать рабочую группу
Как только стало известно об утечке, нужно оперативно собрать рабочую группу для быстрого решения проблемы. В нее входят специалисты, которые помогут минимизировать потери:
-
Сотрудники отдела информационных технологий и безопасности. Их первоочередная задача — остановить утечку и уведомить регулирующую организацию о происшествии. Далее проводится оценка масштабов и расследование причин происшествия.
-
Руководство фирмы, главы PR и бизнес-отделов. В их функционал входит информирование владельцев данных о ЧП и работа с реакцией общественности.
-
Руководитель юридического отдела. Он оперативно оценит юридические риски и урегулирует последствия.
Разберем первые действия участников рабочей группы подробно.
Ликвидировать последствия
Как только стало известно об утечке данных, руководитель должен распределить следующие задачи между сотрудниками:
-
Купировать утечку
Убедиться, покинул ли хакер ИТ-инфраструктуру компании и закрыт ли доступ через точку проникновения. Параллельно проверить интернет на обнародование сведений. Оценить, действительно ли была кража данных или информация о ней — клевета и способ дискредитации компании.
-
Проверить данные
Выяснить, какие еще сведения могли «утечь»: финансовые показатели и планы, коммерческие предложения и условия, персональные данные сотрудников и клиентов, документы для служебного пользования и специфическая информация.
-
Отчитаться регуляторам
Проинформировать контролирующие органы: Роскомнадзор, ФСБ, ФСТЭК, ЦБ, — если это предусмотрено законом. Сообщать об утечке данных обязаны лишь предприятия и объекты критической инфраструктуры. Но сейчас на законодательном уровне ведется работа по ужесточению требований. Например, Минцифры предлагает ввести оборотные штрафы за неуведомление о происшествии и применять их к любым учреждениям, которые владеют персональными данными.
-
Провести разбор
Расследовать инцидент сразу после принятия экстренных мер и проверки информационного периметра. Согласно той же инициативе Минцифры, пострадавшая компания должна в первые 24 часа после утечки предоставить предварительный отчет. Он формируется на основе внешних признаков «слитой» информации.
Оперативность обнаружения утечки, ее причин и точки входа зависит от наличия специализированных ИТ-решений и организации хранения данных. Порядок и многоуровневая защита от хакеров — основа информационной безопасности.
Отработать имиджевые потери
Скорость распространения информации и бизнес-этика обязывают компанию грамотно реагировать на утечку данных. Заявление об инциденте делают два подразделения: отдел маркетинга или PR и отдел продаж. И тем, и другим лучше сделать заготовку релиза и информационного письма. Что должно быть в сообщениях:
- правдивая информация об утечке и данных, которые попали в открытый доступ;
- риски для потерпевших и способ их минимизации;
- предпринятые шаги со стороны компании;
- указание злоумышленника или обязательство назвать его по окончании расследования;
- меры по исключению утечек в будущем.
Минимизировать юридические последствия
Утечка персональных данных сегодня быстро становится достоянием общественности и поводом для проверки со стороны Роскомнадзора. Пока действуют незначительные штрафы. Для сравнения: «Яндекс.Еда» выплатила 60 тысяч рублей.
В профильных ведомствах обсуждают наказание в размере 1% от годового оборота компании, однако сумма должна быть не менее трех миллионов рублей.
Помимо санкций со стороны государства, нужно быть готовым к работе с претензиями пострадавших. Вероятность гражданских исков возросла после нашумевшей ситуации с «Яндекс.Едой». Юристы должны быть готовы к подобным искам.
По оценкам специалистов, две трети инцидентов происходят в результате человеческих ошибок, некомпетентности и халатности. Информационная безопасность складывается из критического отношения сотрудников к данным и разумного использования технических инструментов.
Одним из таких является программа мониторинга сотрудников ИНСАЙДЕР. Он помогает не только отслеживать деятельность работников за компьютером, но и проверить возможные причины утечки данных.
Программа фиксирует все нажатия клавиш с помощью кейлоггера, распознает слова и выделяет те, которые вы задали в параметрах. Также ИНСАЙДЕР делает скриншоты. Всегда можно посмотреть, чем именно занимался сотрудник в течение дня, и не является ли он причиной «слива» информации.