Как защитить персональные данные клиентов
01.08.2023Сообщения о том, что очередная компания потеряла персональные данные клиентов, появляются с пугающей регулярностью. Только за неполный июль стало известно о трех крупных «сливах» — злоумышленники украли и выставили на продажу данные клиентов «Острова чистоты», «Буслика» и «Юркас». Что делать, чтобы ваша компания не стала жертвой злоумышленников? Как защитить персональные данные ваших клиентов? «Про бизнес» узнал об этом у директора по информационной безопасности ActiveCloud Антона Грецкого.
— Компания оказывала услуги по сбору персональных данных для крупных медцентров. Допустим, вам нужно было записать к врачу, и вы заходили на сайт медцентра, выбирали врача, вносили свои данные через этот сервис. Полгода назад у них произошла утечка персональных данных клиентов. Началась проверка, им выдвинули n-е количество обвинений. Оказалось, что у сервиса не было ни аттестации, ни каких-либо законных мер по защите данных. В итоге НЦЗПД приостановил обработку персональных данных в информационном ресурсе (системе) inmed.by, ей выписаны штрафы, и ее ждут суды.
У ЧТУП «ЗападХимТорг» (бренд «Остров чистоты») база данных «утекла» не в первый раз. В июле 2023 года стало известно , что в результате несанкционированного доступа к информационной системе произошла очередная утечка информации и злоумышленники выставили на продажу базу данных, в которой содержатся персональные данные более 730 тысяч пользователей ресурса. Национальный центр защиты персональных данных уже проводил внеплановую проверку ЧТУП «ЗападХимТорг» в связи с предыдущей утечкой данных. Однако, похоже, выводов компания не сделала, что привело к повторному инциденту.
Фишинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.
Конечно, и для удаленной работы компания может сделать безопасное соединение. Но это стоит денег. Вот и получается, что покупаются 1−2 лицензии или несколько каналов, на которых «сидят» 20 человек. Это медленно и неудобно, в итоге люди начинают подключаться по незащищенным каналам — и результат предсказуем. По большому счету, утеря данных в этом случае происходит из-за желания компании сэкономить. Конечно, разумный баланс должен быть. Но нужно осознавать, что будет, если вопросам безопасности не будут уделяться особое внимание.