Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
70

Уязвимы все: про опыт больших компаний, пострадавших от кибератак и методы защиты

Перевизник Марина Получите надежную защиту информации в ИСПДн согласно 152-ФЗ о персональных данных. Расскажем, как предотвратить утечки данных в 2025 году, обеспечив соответствие компании законодательным требованиям.

Содержание

Кибератаки на крупные компании становятся все более частыми. По данным отчета компании IBM за 2024 год, общий ущерб от утечек данных вырос на 15% по сравнению с прошлым годом. Такие инциденты, как утечка персональных данных, ставят под угрозу не только безопасность компании, но и доверие клиентов.

И если крупные организации бывают не в состоянии справиться с такими угрозами, то малым и средним предприятиям обязательно нужно уделить внимание безопасности данных, чтобы минимизировать возможные потери.

В этой статье мы рассмотрим несколько недавних случаев утечек данных и расскажем про решения, которые помогут избежать подобных инцидентов.

Утечка данных в World Class

Недавняя утечка данных в сети фитнес-клубов World Class стала громким событием в мире информационной безопасности. По сообщениям источника, хакеры выложили в открытый доступ резервную копию базы данных 1C, содержащую персональные данные 2,2 млн клиентов и сотрудников, включая их ФИО, адреса, телефонные номера, адреса электронной почты, данные банковских карт и другие важные сведения.

Этот случай привлек внимание к проблемам безопасности в крупных организациях. На момент утечки, база данных была актуальна на 16 октября 2023 года, что подтверждает высокую степень опасности и актуальности угроз. В первом полугодии 2024 года в России произошло уже беспрецедентное количество утечек данных — около 986 миллионов записей с личной информацией, что на 33,8% больше по сравнению с аналогичным периодом 2023 года.

Это яркий пример того, как компаниям необходимо уделять повышенное внимание вопросам защиты персональных данных и безопасности. Утечка затронула не только частные данные клиентов, но и информацию о сотрудниках, что существенно увеличивает риски для бизнеса.

pic1.jpg

Масштабная утечка данных в Бургер Кинг

Аналогичная утечка произошла в сети ресторанов быстрого питания Бургер Кинг. По данным СМИ, в открытый доступ были выложены данные клиентов, включая имена, номера телефонов, адреса электронной почты, даты рождения и даже информацию о заказах. Атака, предположительно, произошла через мобильное приложение компании, использующее платформу Mindbox, обрабатывающую данные для нескольких компаний.

Интересно, что утечка не затронула платежные реквизиты, которые, как утверждает компания, не передаются третьим лицам и не хранятся на сторонних платформах. Однако, согласно данным Роскомнадзора, на 10 октября 2024 года компания не уведомила органы о произошедшем инциденте, что является нарушением закона.

Такой случай наглядно демонстрирует важность доступа к данным, а также необходимость своевременной отчетности в случае возникновения инцидентов в сфере защиты персональных данных. Безопасность данных клиентов должна стать приоритетом для любой компании, работающей с персональной информацией

pic2.jpg

Утечка данных в сети «Магнолия»

Инцидент с утечкой данных в сети супермаркетов Магнолия также привлекает внимание. По данным СМИ, за короткий период произошло две утечки данных клиентов, которые включали ФИО, номера телефонов, адреса электронной почты, а также пароли и купоны на скидки. Эти данные были размещены в открытых источниках. В результате проверки обнаружили две партии уникальных записей - одну объемом 252 тысяч, и вторую – объемом 256 тысяч.

Важным моментом в этом инциденте является не только сама утечка данных, но и то, что компания не уведомила регуляторы о произошедшем инциденте в установленный срок — 24 часа. Такое нарушение может привести к штрафам и репутационным потерям.

В этом случае система информационной безопасности компании явно не справилась с угрозами, что еще раз подчеркивает необходимость организации надежной защиты и соблюдения требований законодательства в области ПДн.

pic3.jpg

ВинЛаб: утечка данных с базы пользователей

По информации источника, в сети магазинов алкогольных напитков ВинЛаб также произошла утечка данных, которая затронула более 408 тыс. пользователей. В открытом доступе оказались такие данные, как ФИО, номера телефонов, адреса электронной почты и другие персональные данные, включая платежные реквизиты и коды скидочных купонов. Хакеры выложили эти данные на открытые ресурсы, что представляет собой серьезную угрозу для репутации и безопасности компании.

Этот случай еще раз напоминает о необходимости защищать информацию о клиентах и соблюдать высокие стандарты безопасности персональных данных. ВинЛаб также столкнулась с рисками утраты доверия со стороны клиентов, что могло повлиять на их дальнейшие продажи и конкурентоспособность.

pic4.jpg

Как уберечь свою компанию от утечек данных

Безопасность персональных данных и защита информации — это обязательные элементы стратегического планирования для любой компании, работающей с ПДн. Однако, чтобы не столкнуться с последствиями утечек, важно заранее внедрить соответствующие меры. Основные угрозы для компании могут быть разнообразными: от хакерских атак до утечек через недобросовестных сотрудников.

Компаниям нужно не только укрепить свои технические средства защиты, но и обучить сотрудников основам безопасности, чтобы они понимали, как обращаться с конфиденциальной информацией, а также как защищать пароли, адреса и другие данные.

Средства защиты данных: ваш первый шаг к безопасности

В условиях постоянного роста киберугроз, важно внедрить комплексную систему защиты персональных данных. Современные средства защиты позволяют обезопасить вашу компанию от большинства типов атак, включая утечку данных, фишинг и взломы.

Для обеспечения безопасности персональных данных и защиты информации от угроз, важно внедрять комплексный подход, который включает различные средства защиты. Только в сочетании с многоуровневыми методами можно добиться полной защиты и контроля за конфиденциальной информацией.

Организационные средства защиты информации

Организационные меры защиты заключаются в создании внутренней политики безопасности, которая регулирует процесс работы с персональными данными. Основной задачей таких мер является формирование четких стандартов по защите информации и обеспечение выполнения этих стандартов на всех уровнях компании.

  • Документирование политики безопасности. Разработка и внедрение регламентов, инструкций и процедур по защите данных.
  • Обучение сотрудников. Регулярные тренинги и курсы по вопросам безопасности персональных данных и соблюдения корпоративных стандартов.

Правильно выстроенная организационная структура безопасности создает основу для правильной работы с конфиденциальной информацией и минимизирует риски человеческого фактора.

Аппаратные средства защиты информации

Аппаратные средства защиты являются важной частью системы безопасности и помогают контролировать доступ к данным.

  • Идентификация и аутентификация. Обеспечивает доступ только уполномоченным лицам через системы проверки личности.
  • Регистрация полномочий. Ограничение прав доступа к данным в зависимости от роли пользователя в компании.

Такие меры дают возможность эффективно контролировать доступ к информации, защищая ее от несанкционированного использования или утечек.

Программные методы защиты информации

Программные средства защиты помогают эффективно противостоять вирусным атакам и хакерским угрозам. Некоторые из ключевых методов – ниже.

  • Защитное ПО. Антивирусные программы, которые сканируют систему и обнаруживают вирусные атаки, предотвращая заражение.
  • Межсетевые экраны (брандмауэры). Это инструменты, которые фильтруют входящий и исходящий трафик в сети, блокируя потенциально опасные соединения. Они могут работать как прокси-серверы или фильтры. Примеры решений. Traffic Inspector, 5nine Web Application Firewall, 5nine Cloud Security v7.1.
  • Средства выявления атак. Программное обеспечение, предназначенное для мониторинга сетевого трафика и обнаружения аномальных действий, связанных с потенциальными кибератаками. Лидеры в этой области — Symantec и Entercept Security Technology.

Эти методы позволяют не только выявить угрозы на ранних стадиях, но и блокировать попытки вторжения в систему, обеспечивая сохранность данных.

Криптографические методы защиты информации

Криптография значительно усиливает защиту информации. Шифрование данных помогает обеспечить конфиденциальность и целостность данных, даже если злоумышленник получит к ним доступ.

Однако криптографические методы имеют свои ограничения.

  • Временные затраты на шифрование и расшифровку данных.
  • Затраты мощности процессора на выполнение операций шифрования.
  • Высокие требования к секретности ключей: если ключи будут скомпрометированы, шифрованные данные могут оказаться под угрозой.

Тем не менее, при грамотной организации процесса криптографическая защита остается одним из самых эффективных инструментов для защиты персональных данных.

Какие средства защиты нужно внедрить?

Выбор средств защиты информации зависит от множества факторов, включая специфику деятельности компании, ее размер, техническую оснащенность и уровень подготовки сотрудников. 

  • Для крупных организаций с большим объемом персональных данных потребуется комплексная система защиты с использованием как программных, так и аппаратных средств.
  • Малые и средние предприятия могут начать с внедрения программных решений, таких как антивирусы и брандмауэры, и постепенно расширять систему защиты по мере роста.

Наши специалисты помогут подобрать наиболее подходящее решение для вашей компании, учитывая все ее особенности и потребности в защите информации. Мы готовы предоставить вам полную консультацию по выбору и внедрению нужных средств защиты, чтобы ваша организация была защищена от любых угроз.

Не знаете, какие методы подойдут вашей компании?

Мы предложим решение, соответствующее особенностям вашего бизнеса и уровням безопасности информации.

Подробнее

Аттестация и соответствие требованиям ФСТЭК и ФСБ

Аттестация информационной системы — это комплекс мероприятий, направленных на проверку того, насколько эффективно система защиты информации соответствует установленным законодательным и техническим стандартам. Такой процесс необходим для подтверждения того, что принятые меры по обеспечению безопасности данных соответствуют нормам, и что система готова к работе в условиях повышенных требований безопасности.

Что требует закон

В России существует ряд обязательных законодательных актов и стандартов, регулирующих защиту персональных данных и информационной безопасности. Ключевыми документами в этой области являются:

  • 152-ФЗ «О персональных данных» — закон, регулирующий обработку персональных данных в любых информационных системах.
  • Приказы ФСТЭК России (21, 17) — устанавливают требования к защите данных и аттестации систем, обеспечивающих безопасность информации.
  • 77-ФСТЭК — регламентирует требования по аттестации и сертификации систем защиты информации.

Аттестация необходима для организаций, которые обрабатывают персональные данные и обязаны соблюдать требования законодательства. Проверку соответствия этим стандартам проводят ФСТЭК и Роскомнадзор.

Как проходит процесс аттестации информационной системы?

Процесс аттестации состоит из нескольких ключевых этапов, которые помогают подтвердить безопасность данных и соответствие стандартам.

  1. Поставка средств защиты. На этом этапе устанавливаются и настраиваются средства защиты информации, такие как системы контроля доступа, антивирусные и DLP-системы.
  2. Аттестационные испытания. Специалисты проводят тестирование системы, оценивая ее способность защитить данные от несанкционированного доступа, утечек и других угроз.
  3. Обследование и заключение. После испытаний составляется отчет, в котором подтверждается, что система соответствует установленным стандартам безопасности.
  4. Аттестат соответствия. По результатам аттестации выдается официальный аттестат соответствия, который подтверждает, что система прошла проверку и отвечает требованиям безопасности.

Техническое и документальное сопровождение

Процесс обеспечения информационной безопасности включает два основных этапа.

  • Техническое оснащение. Установка и настройка всех необходимых средств защиты, которые могут включать системы антивирусной защиты, шифрования и контроля доступа.
  • Документальное сопровождение. Подготовка всех необходимых документов, подтверждающих соответствие системы установленным стандартам безопасности. Важно, чтобы документация соответствовала требованиям законодательства и могла быть использована для проверки контролирующими органами.

Кому необходима аттестация?

Аттестация обязательна для всех организаций, которые обрабатывают персональные данные и хранят конфиденциальную информацию, особенно для:

  • Госучреждений, которым необходимо соблюдать особые требования безопасности.
  • Крупных коммерческих организаций, работающих с большими объемами персональных данных и чьи системы должны соответствовать строгим стандартам безопасности.

Особое внимание стоит уделить индивидуальным предпринимателям, а также компаниям с наемными сотрудниками, которым необходимо обеспечить безопасность данных и защиту от возможных утечек.

Стоимость аттестации

Стоимость аттестационных работ может варьироваться в зависимости от типа информационной системы, сложности системы защиты и размера организации. В среднем стоимость услуги начинается от 75 000 рублей и включает:

  • Завершение подготовки объекта информатизации к аттестационным испытаниям.
  • Отбор и проведение аттестационных испытаний.
  • Оформление отчетности по результатам аттестационных испытаний.

Расскажем все об аттестации и проведем ее

Наши специалисты помогут вам пройти все этапы аттестации, гарантируя защиту персональных данных.

Подробнее

Как повысить осведомленность сотрудников по вопросам безопасности персональных данных?

Кроме использования технологий для защиты информации, важную роль в безопасности играют сотрудники. Недавние инциденты с утечками данных показали, что частое звено в цепочке утечек — это человеческий фактор. Важно проводить регулярные тренинги для сотрудников, объясняя им, как правильно работать с конфиденциальными данными, как не поддаваться фишинг-атакам и что делать в случае обнаружения подозрительных действий.

Простой шаг в этом направлении — обучение сотрудников правильному поведению с паролями и учетными записями. Составьте четкие инструкции, как создавать надежные пароли, а также внедрите многофакторную аутентификацию для всех пользователей, работающих с важной информацией.

Почему важно регулярно обновлять защиту?

В мире, где угроза кибератак постоянно растет, старые системы защиты могут оказаться недостаточными. Хакеры становятся все более изощренными, и защита, которая была эффективной вчера, может не сработать завтра. Регулярные обновления программного обеспечения и инструментов защиты данных помогут оперативно реагировать на новые угрозы и значительно снизить риск утечек.

Совместно с этим важно вести мониторинг и анализ всех инцидентов безопасности, чтобы иметь возможность быстро реагировать на попытки вторжения в вашу систему.

Почему вам стоит выбрать нас для защиты своей организации?

ГЭНДАЛЬФ предоставляет полный спектр услуг по аттестации информационных систем на соответствие стандартам безопасности. Мы обладаем лицензиями ФСТЭК России и ФСБ России, а также 9-летним опытом в сфере защиты информационной безопасности. Наши достижения включают:

  • Аттестацию более 300 объектов.
  • Полное соответствие стандартам 152-ФЗ.
  • Индивидуальный подход и выполнение заказа «под ключ».
  • Оперативную реакцию на запросы клиентов.
  • Выезд специалистов в любой регион России.

Не стоит ждать того часа, когда хакеры сами постучатся в вашу дверь

Если ваша организация еще не прошла аттестацию или требуется консультация по вопросам информационной безопасности, мы готовы помочь вам обеспечить полное соответствие всем необходимым стандартам.

Нужна консультация

Перевизник Марина

Автор: Перевизник Марина

эксперт ГЭНДАЛЬФ

Все статьи автора
Персональные данные Защита персональных данных Аттестация ФСТЭК Кибератаки
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Как защититься от хакеров – план выживания для бизнеса

Защита персональных данных в 2025: для операторов ПД и владельцев сайтов

Как подключение к ГИС может повлиять на безопасность данных

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 524 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ