Это может случиться с каждым. Что делать в первые часы после утечки?

24.06.2022

Вернуться к списку статей

Каждая компания может столкнуться с утечкой информации. Раньше эти факты мало кого интересовали, кроме специалистов. Последние кейсы, а особенно утечка из «Яндекс.Еды», показали, что степень внимания к этому вопросу СМИ, чиновников и самих пострадавших больше нельзя игнорировать. Как минимум потому что в обозримой перспективе утечки грозят суровыми, а не игрушечными, как раньше, штрафами.  

Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд подготовил программу минимум действий при утечке данных и рассказывает, кто должен срочно подключиться к вопросу.

Кто должен быть в рабочей группе

Начнем с того, что хорошо бы знать состав этой рабочей группы заранее. Тогда в экстренной ситуации каждый будет знать свой фронт работ.

А это как минимум:

  • быстрое купирование утечки, оценка ее масштабов, расследование (отдел ИТ и ИБ)
  • уведомление регулятора (отдел ИТ и ИБ)
  • сообщение клиентам (бизнес-подразделение + руководство + PR-отдел)
  • отработка негатива в СМИ и соцсетях (PR-отдел)
  • оценка юридических рисков и, если они наступают, их нивелирование (юристы).

Теперь пройдемся по этим задачам подробнее.

Определяем масштаб трагедии и ликвидируем последствия

Обнаружить утечку данных бывает иногда не проще, чем предотвратить ее. Если в компании нет автоматизированных программ для выявления инцидента, то узнать о нем ИБ-отдел может и вместе со всеми – из ТГ-каналов или из прессы.

Как бы то ни было, у ИБ-отдела в этой ситуации несколько экстренных задач:

Сплошь и рядом встречаются ситуации, когда даже после обнародования инцидента ИБ-службы игнорируют факт, что база продолжает «выглядывать» в интернет или не проверяют, покинул ли хакер периметр, закрыт ли доступ инсайдеру-нарушителю и т.д. Возможно также, что инцидента и не было, а злоумышленники дискредитируют вашу компанию, представляя как утечку образец базы данных, который они придумали или спарсили. Такую вероятность тоже нужно учитывать.

Необходимо разобраться, какая информация еще могла быть скомпрометирована, кроме той, что и так оказалась в общем доступе. Среди слитых могли оказаться коммерческие предложения, финансовый план, персональные данные клиентов или файлы с пометкой «для служебного пользования».

Это Роскомнадзор, ФСБ, ФСТЭК, ЦБ. Пока закон предъявляет требование сообщать об инциденте только к т.н. субъектам критической инфраструктуры. Но следите за новостями – все, что касается утечек ПДн, сейчас под пристальным вниманием государства, Минцифры обсуждает введение требования уведомлять об инциденте для любых операторов ПДн под риском оборотного штрафа.

Это нужно делать, чтобы не допустить инцидент в будущем. Кроме того, если инициатива про необходимость уведомления госорганов превратится в закон, компаниям нужно будет уже в первые сутки располагать хотя бы базовой информацией об инциденте.

1. Определить и перекрыть канал утечки данных.

Сплошь и рядом встречаются ситуации, когда даже после обнародования инцидента ИБ-службы игнорируют факт, что база продолжает «выглядывать» в интернет или не проверяют, покинул ли хакер периметр, закрыт ли доступ инсайдеру-нарушителю и т.д. Возможно также, что инцидента и не было, а злоумышленники дискредитируют вашу компанию, представляя как утечку образец базы данных, который они придумали или спарсили. Такую вероятность тоже нужно учитывать.

2. Оценить масштаб утечки.

Необходимо разобраться, какая информация еще могла быть скомпрометирована, кроме той, что и так оказалась в общем доступе. Среди слитых могли оказаться коммерческие предложения, финансовый план, персональные данные клиентов или файлы с пометкой «для служебного пользования».

3. Уведомить регуляторов.

Это Роскомнадзор, ФСБ, ФСТЭК, ЦБ. Пока закон предъявляет требование сообщать об инциденте только к т.н. субъектам критической инфраструктуры. Но следите за новостями – все, что касается утечек ПДн, сейчас под пристальным вниманием государства, Минцифры обсуждает введение требования уведомлять об инциденте для любых операторов ПДн под риском оборотного штрафа.

4. Расследовать утечку.

Первичный анализ можно сделать и по внешним признакам попавших в общий доступ данных. Например, иногда компаниям приписывают утечку из сторонних организаций, а по характерному набору строк можно сделать вывод, что данные утекли от контрагента или госведомства. Но так бывает не всегда.

Выявить реальную причину без специализированного программного обеспечения часто бывает невозможно. Ситуация сложнее, если в компании в принципе беспорядок с данными, если действия с ними не логируются, если доступы в хаосе. Поэтому от хаоса лучше начинать избавляться уже сейчас, тестировать защитный софт и быть готовым, что к расследованию, возможно, придется привлечь сторонних экспертов.

Смягчаем имиджевый удар

У пиарщиков и бизнес-подразделения сразу после утечки тоже будет много работы. Современная этика требует от компаний реагировать, а не хранить гордое молчание. Поэтому будьте готовы, что придется сделать рассылку пострадавшим. У PR-отдела наготове должна быть заготовка сообщения для СМИ, у сейлз-подразделения – для клиентов.

Что сказать клиентам:

  • Объяснить, что случилось, как произошла утечка и какая информация оказалась в открытом доступе.
  • Рассказать, какой риск есть у пострадавших и что им сделать, чтобы его снизить (не сообщать данные по телефону, сменить пароли, настороженно отнестись к спам-рассылкам и т.д).
  • Сказать, что компания предпринимает все необходимые шаги, чтобы минимизировать последствия.
  • Представить виновника или объяснить, что его ищут и после проведения расследования накажут.
  • Рассказать, каким образом компания планирует ужесточить подход к защите чувствительной информации, чтобы не допустить слив впредь. Например, после нашумевшей утечки у «Яндекс.Еды» компания объявила, что пересмотрела подход к защите ПДн, запретила обрабатывать данные вручную и сократила штат сотрудников, у которых есть доступы к чувствительной информации.

Риск юридических последствий

Все утечки сейчас вызывают пристальное внимание не только общественности, но и Роскомнадзора. Штрафы пока небольшие (Яндекс.Еде пришлось заплатить в казну государства всего 60 тысяч рублей), но так точно не будет всегда. Обсуждаются самые жесткие варианты, что штраф должен быть не менее 1% от годового оборота, но не меньше 3 млн рублей.

Еще один юридический риск, который появился недавно, – вероятность гражданского иска от пострадавших. Раньше представить себе такой исход было почти невозможно, граждане особо не тревожились за данные и не боролись за свои права. Сейчас, после утечки из «Яндекс.Еды», появился первый прецедент, пострадавшим защитить свои права помогает общественная организация. Ваши юристы теперь должны учитывать подобные последствия.

И напоследок – когда пыль уляжется и будет подсчитано, сколько сил, денег и времени вы потратили на нейтрализацию последствий, нужно сделать выводы. В каждой утечке есть доля человеческого фактора. В большинстве случаев (по нашим данным в 66% ситуаций) утечка – результат ошибок, халатности, незнания. Поэтому чтобы не повторять марафон реагирования на утечку нужно обучать коллектив критически относиться к информации вокруг. А факты злонамеренных взломов и сливов – закрывать техническими инструментами.

 

Источник: РБК Pro

 


Алексей Дрозд Утечка данных ИБ-практика


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними