– Как правило, в подобных ситуациях можно назвать не менее двух возможных причин. Из них можно выделять более частные причины, но наиболее общие – следующие.
Уровень информационной безопасности организации недостаточен для успешного противостояния распространенным угрозам безопасности информации. Персональные данные сотрудников, вероятно (подробности мне неизвестны), хранились (в базе данных или как-либо иначе), обрабатывались, пересылались некоторым кругом сотрудников и попадали на некоторый круг устройств.
Уязвимость, через которую осуществлена утечка, потенциально может оказаться в любом месте этой цепочки обработки данных. Кто-то из сотрудников халатно отнесся к обязанностям и допустил компрометацию данных учетной записи для доступа к базе данных, на каком-то из рабочих компьютеров оказалась вредоносная программа, нарушителем оказался один из сотрудников, действующий сознательно в собственных интересах либо что-то иное. Сказать, что конкретно сделало утечку возможной, можно только в результате подробного исследования системы и расследования инцидента.
Мировая практика кибератак убеждает в том, что злоумышленник, обладающий возможностью изучить интересующую его систему, в состоянии преодолеть любую защиту. Сдерживающим фактором является затратность реализации атаки с точки зрения времени, усилий, денежных средств, которые потребуется потратить на получение желаемого результата. Если потенциальный доход от успешной реализации атаки превышает издержки на ее осуществление, нарушитель будет искать пути достижения своей цели. При этом представляется ошибочным называть существовавший на момент инцидента уровень безопасности недостаточным – если инцидент произошел по нетипичному, специально разработанному сценарию, спрогнозировать его крайне сложно.
По сути, это два различных случая: либо из-за недостаточного уровня безопасности стало возможным получить доступ к информации сравнительно обычным способом, либо система подверглась целенаправленной атаке со стороны высококвалифицированного противника.
– Чем может грозить такая утечка?
– Прежде всего, утечка подобного рода, как представляется, может свидетельствовать о нарушении законодательства в области персональных данных. В частности, если будет подтверждено наличие грубых нарушений требований безопасности информации со стороны организации, возможно, будет поднят вопрос как минимум об административной ответственности. Не берусь углубляться в юридические вопросы, оставляя их профессионалам в соответствующей сфере.
– Можно ли говорить о репутационных потерях?
– Да, поскольку случилась утечка данных сотрудников, может снизиться именно их доверие к собственному работодателю в вопросе безопасности их данных и, как следствие, безопасности в целом. Вероятно, будут публикации в СМИ, предполагающие с той или иной степенью уверенности, что у пострадавшей компании проблемы с информационной безопасностью, снижающие доверие аудитории к организации.
Для объективности следует отметить, что в случае если все-таки имела место именно подготовленная целенаправленная атака, обвинять организацию в этом представляется необоснованным. Сами персональные данные могут быть использованы в самых различных схемах мошенничества, направленного как на самих сотрудников, так и иных лиц.
- А как вообще можно использовать персональные данные?
- В первом случае, владея персональными данными сотрудников, можно побуждать их совершать нужные мошенникам действия, чаще всего направленные на причинение материального ущерба. Допустим, звонок с требованием в течение нескольких часов осуществить некоторую оплату во избежание санкций. («У Вас не оплачен налог/штраф – если не оплатите его до 18.00, будет взыскание в судебном порядке» или что-то подобное). Может быть обращение по фамилии, имени и отчеству, назван номер паспорта, дата рождения, ИНН, адрес прописки, чтобы убедить потенциальную жертву мошенничества в том, что звонок от легального абонента.
Во втором случае аналогичные действия осуществляются в отношении лиц, с которыми субъекты похищенных персональных данных имеют какие-либо связи – личные или деловые. Цели, вероятно, аналогичные: причинение материального ущерба путем убеждения жертвы в том, что с ней общается конкретное лицо или общение происходит от его имени. Совершенно не обязательно, что факт работы в конкретной организации будет использоваться – можно предположить даже совсем простые и распространенные схемы. Что-то вроде звонка коллеге или близкому родственнику от имени представителя органов власти («Ваш коллега сбил человека, нужно ему помочь»). Называются конкретные паспортные данные, место прописки, дата рождения. Если среди похищенных персональных данных есть фото, может подробно описываться внешность. Вероятно, может быть реализован и более сложный сценарий: предположить все возможности злоумышленного использования персональных данных не представляется возможным.
Беседовала Наталья Гусаченко