Под утечкой данных понимается несанкционированное раскрытие чувствительной, конфиденциальной или личной информации из систем или сетей организации внешней стороне. Это серьезная угроза для малого бизнеса. Утечки могут привести к финансовым потерям, штрафам и репутационному ущербу. Так, с 30 мая 2025 года операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений.
Утечка информации может произойти по разным причинам. Среди них — организованные кибератаки, сбои в компьютерных системах, утрата незашифрованных устройств и человеческий фактор.
Актуальные методы защиты:
Регулярное обновление ПО и систем. Уязвимости в устаревших программах представляет основную лазейку для кибермошенников. Автоматическая установка обновлений помогает заблокировать большинство угроз. Важно планировать проверки уровней безопасности и убедиться, что ПО обновляется без сбоев и не нарушает работу систем.
Надежная политика паролей и многофакторная аутентификация. Слабые или типичные пароли легко взломать. Специалисты советуют работать с менеджерами паролей для уникальных, комплексных комбинаций. А во всех ключевых сервисах, таких как почта, CRM, соцсети, облако и т.д. включать двухфакторную аутентификацию.
Резервное копирование. Надежные резервные копии позволяют восстановить данные после атак, сбоев или человеческих ошибок. Они должны храниться отдельно от основной сети, регулярно обновляться и тестироваться.
Обучение сотрудников. Человеческий фактор — самая уязвимая часть системы безопасности. Ведь многие утечки происходят из-за действий сотрудников (умышленных или нет). По данным исследований, более 50% утечек данных у российских компаний происходит по вине действующих сотрудников. Примерно в 15% случаев в утечках данных виноваты бывшие сотрудники компаний и только в 10% — злоумышленники.
Причем не всегда сотрудники передают данные по злому умыслу. Кибермошенники могут применять приемы социальной инженерии. Поэтому важно проводить регулярные тренинги, рассылать напоминания о том, что нельзя передавать пароли по чатам, открывать вложения, если их не ожидали, и т.п.
Внедрение системы предотвращения утечек (DLP-системы) помогает обнаружить и предотвратить инсайдерские угрозы.
Мониторинг активности и аудит. Системы мониторинга (UEBA, SIEM) помогают обнаруживать подозрительное поведение, например, массовый экспорт файлов или кто-то скачивает необычно много данных ночью. Аудиты систем безопасности позволяют выявить слабые места до инцидента.
Ограничение доступа к информации, т.е. когда сотрудники имеют доступ только к необходимым им данным. Расширенные права должны иметь только ключевые сотрудники. Такой подход снижает риск внутреннего и внешнего вмешательства.
План реагирования на инциденты. Даже при соблюдении всех мер могут случаться нештатные ситуации. Очень важно заранее описать, кто что делает, как изолировать систему, как информировать клиентов и восстановить работу. Это позволит сэкономить время и снизить ущерб от возможного ЧП.
Стоит учесть, что в течение 24 часов с момента выявления утечки персональных данных предприниматель должен оповестить о ней Роскомнадзор (первичное уведомление). Сделать это можно на бумаге или в электронном виде. Далее в течение 72 часов необходимо установить причины утечки, причиненный вред, выявить нарушителей и усилить меры безопасности и уведомить РКН о принятых мерах.
Утечки информации могут стоить малому бизнесу гораздо больше, чем любые вложения в защиту. В первую очередь, стоит начать с оценки текущего состояния и формирования политики безопасности.