Продажа и покупка личных данных граждан – механизм, поставленный «на поток». Участников нелегального оборота персональной информации уголовная ответственность не пугает. Предложения о продаже паспортных данных и не только без труда можно найти в социальных сетях и в поисковых системах. Сами же сделки совершаются не через веб-ресурсы, а мессенджеры. Привлечь за намерение купить или продать персональные данные Роскомнадзор не может, а для дальнейших действий со стороны МВД нужны основания и доказательства, что сделка была совершена.

Сегодня мы постараемся понять, кто крадет и продает персональные данные и как организациям защититься от «слива».

Какие персональные данные можно купить в интернете?

Плохие новости – в интернете можно купить полное досье на вас и ваших близких. Продажа паспортных данных – только верхушка айсберга.

Самое популярное предложение – собрать и предоставить информацию о банковских счетах. В рамках услуги предложат выписки по счетам, текущий баланс карты, несколько последних операций, адреса банкоматов, где вы снимаете деньги. Единственное, что действительно защищено – пин-код от вашей карты.

Информация по номеру телефона. Сотовые операторы – кладезь информации для мошенников. Детализация телефонных звонков и распечатка смс – самое невинное предложение на «черном рынке». Сейчас мобильные операторы хранят огромный пласт данных об абонентах – геолокация в определенный момент времени, маршруты передвижения по городу, любимые онлайн сервисы и сайты, магазины. И всю эту информацию может получить мошенник.

Этим возможности преступников не ограничиваются. Многие из них имеют доступ к федеральным и региональным базам госучреждений – Роспаспорт, база ФМС, база ГИБДД, база судебных приставов, система «Розыск-Магистраль» – что угодно. Ваши передвижения по стране и миру, браки и разводы, информацию о детях и имуществе продадут, если договорятся о цене.

Кто крадет персональные данные?

Если Вы представляете себе хитроумного хакера в маске Гая Фокса – спешим Вас разочаровать. Самый распространенный канал продажи персональных данных – инсайдеры. Специалисты банков, сотовых операторов, даже сотрудники правоохранительных служб и других государственных и муниципальных ведомств могут стать источником утечки. В конце концов, это просто люди, которые ищут наживы.

Для того, чтобы скопировать на флеш-носитель или отправить по почте базу данных клиентов, не нужно никаких сложных технологических приемов. Да, службы безопасности крупных компаний отслеживают входящие и исходящие информационные потоки, но хитрость и изобретательность нечистых на руку работников не имеет границ. Одно из последних ухищрений – просто сфотографировать монитор с карточкой клиента на личный смартфон.

Как организациям обезопасить себя от инсайдеров?

Именно на организациях – операторах персональных данных – лежит самая большая ответственность за сохранность информации о своих сотрудниках и клиентах. Именно они могут и обязаны приложить все усилия для обеспечения безопасности конфиденциальной информации.

Компаниям в свою очередь давно пора понять – каким бы количеством технических средств защиты не были оснащены информационные системы, проблема обеспечения их безопасности лежит в организационной плоскости. Именно пересмотрев подход к менеджменту информационной безопасности, можно снизить риски появления инсайдеров и утечек конфиденциальной информации.

Что включает в себя менеджмент информационной безопасности?

Прежде всего, строгое и четкое регламентирование любой деятельности, связанной со сбором, хранением, передачей и уничтожением конфиденциальной информацией, и контроль исполнения регламентов. Полный пакет организационно-распорядительной документации, во-первых, избавит компанию от проблем при проверках Роскомнадзора, во-вторых, юридически установит ответственность каждого сотрудника за неправомерные действия. Чек-лист документов, необходимых организации для обработки персональных данных можно посмотреть в нашей предыдущей статье.

Помимо этого, специалисты по безопасности должны регулярно проводить обучение и аттестацию каждого сотрудника компании. Повышение уровня компетенции в области информационной безопасности позволит рядовым сотрудникам понять всю сложность и ответственность этих механизмов, а также сведет к «нулю» допущение примитивных ошибок вроде добровольной передачи своего пароля от информсистем.

Мероприятия по обеспечению информационной безопасности и профилактике киберинцидентов должны быть не разовыми событиями, а системным, регулярно отрабатываемым алгоритмом.

Еще один немаловажный элемент качественного менеджмента – своевременная модернизация инфраструктуры. Обновление сертификатов безопасности, антивирусов, необходимость покупки дополнительных лицензий на средства защиты информации должны планироваться заблаговременно и отрабатываться в срок.

Как упростить управление информационной безопасностью?

Организовать эффективную систему управления информационной безопасностью в компании вы можете с помощью всего лишь одного сервиса. Система комплексного управления кибербезопасностью DocShell позволяет автоматизировать все основные функции менеджмента ИБ. Наш программный комплекс позволяет управлять активами информационной безопасности, мероприятиями, инцидентами, документами и компетенциями сотрудников. Для всех перечисленных объектов DocShell реализует основные управленческие функции: планирование, организация, контроль и отчётность. Структура управления в DocShell легко настраивается в соответствии с иерархической структурой организации, обеспечивая централизацию управления и координацию действий в отношении информационной безопасности. С системой Docshell все регламенты будут соблюдены, инфраструктура — вовремя обновлена, а сотрудники — максимально осведомлены о защите данных, правилах эксплуатации средств защиты информации, и организации системы информационной безопасности.