Эксперт Кузнецова: скрывать утечки данных — стратегически проигрышный путь
Изображение: recraft
Ксения Кузнецова, заместитель руководителя направления аудитов и соответствия требованиям информационной безопасности ИТ-компании УЦСБ, прокомментировала для CISOCLUB влияние роста штрафов за утечки персональных данных на поведение бизнеса и злоумышленников. По её словам, ужесточение санкций действительно меняет ландшафт угроз, поскольку атакующие быстро адаптируются к новому регулированию и используют страх перед крупными штрафами как инструмент давления.
«Рост штрафов за утечки персональных данных действительно меняет ландшафт угроз. Хакеры чутко реагируют на повестку: чем громче новости об оборотных штрафах, тем активнее они используют этот страх как рычаг давления на бизнес», — отметила Ксения Кузнецова.
Эксперт подчеркнула, что финансовый сектор традиционно остается в фокусе атак из-за концентрации чувствительной информации. По её оценке, злоумышленников интересуют не столько номера карт, сколько массивы персональных данных, пригодные для социальной инженерии. При этом банки и крупные финансовые организации чаще подвергаются атакам, но в то же время обладают более зрелыми процессами управления рисками, что делает их сложной мишенью.
«Финансовый сектор всегда привлекал злоумышленников — в силу концентрации ценной информации. Атакующим нужны не столько номера карт, сколько максимум данных о человеке для последующей социальной инженерии. Финансовые организации подвергаются атакам чаще других, но и подготовлены они лучше.», — заявила она.
Основной удар, по словам Ксении Кузнецовой, сегодня принимают компании с менее развитой системой информационной безопасности. Малый и средний бизнес часто выстраивает защиту точечно и фрагментарно, исходя из ограниченных ресурсов, что делает такие организации более уязвимыми для шантажа.
«Малый и средний бизнес, где безопасность зачастую носит фрагментарный характер и реализуется точечно, в силу ограниченности ресурсов, тем самым становится идеальной мишенью для шантажа. Именно там страх перед многомиллионным штрафом перевешивает способность рационально оценить последствия и альтернативы», — подчеркнула эксперт.
Отдельно она остановилась на юридической стороне вопроса. При повторных утечках законодательство предусматривает смягчающие обстоятельства — инвестиции в безопасность, подтверждение соответствия требованиям и отсутствие отягчающих факторов. Добровольное уведомление регулятора прямо не указано в перечне, но может продемонстрировать добросовестность компании и зафиксировать факт принятия мер.
«Скрывать утечку, соглашаясь на условия хакеров, — стратегически проигрышный путь. Уплата выкупа злоумышленникам не освобождает от ответственности и не отменяет обязанности уведомлять об утечке. Более того, она не гарантирует, что данные не всплывут снова — известны случаи повторной продажи одной базы разным группировкам», — заявила Ксения Кузнецова.
По её словам, выстроенный алгоритм реагирования на инциденты и прозрачная стратегия защиты персональных данных дают компании больше преимуществ, чем попытка договориться с атакующими неофициально. Фиксация инвестиций в информационную безопасность и своевременное уведомление регулятора могут повлиять на итоговый размер санкций.
«Сообщить об утечке, зафиксировать инвестиции в ИБ и получить понижающий коэффициент при расчете штрафа — самый верный сценарий», — заключила эксперт.
