Утечка данных: кого уволят первым?

Обычно в случае серьезной утечки первыми страдают ТОП-менеджеры. Лидирующие позиции среди сокращенных из-за ЧП занимают начальники ИТ-отделов и службы безопасности. Например, согласно отчету Radware State of Web Application Security за 2018 год, 23% компаний увольняли руководителей из-за утечки данных. Как утверждает статистика, наиболее жесткие меры по отношению к менеджерам среднего и высшего звена принимают представители ИТ-индустрии и финансового сектора.

Согласно различным опросам, около 10% руководителей службы информационной безопасности предприятий, расположенных в США и Великобритании, понимают риски и считают, что в случае ЧП окажутся в «расстрельном списке». 30% респондентов уверены: первый информационный инцидент владельцы бизнеса смогут «понять и простить», ограничившись предупреждением.

Громкие утечки и кадровые перестановки последовавшие за ними — наглядное предупреждение для представителей СБ и ИТ департаментов: пренебрежительное отношение к защите данных может закончиться потерей должности.

В июле 2019 года банк Capital One объявил, что злоумышленник получил доступ к персональной информации примерно 100 миллионов клиентов. Прискорбный факт был обнаружен только через несколько месяцев после кражи данных. Примерный ущерб составил около 100-150 миллионов долларов, потраченных на уведомления клиентов, мониторинг кредитных операций и юридическую поддержку. Цифра не окончательна и учитывает расходы за 2019 год. На какую сумму придется раскошелиться банку для ликвидации пролонгированного урона – неизвестно. В ноябрьском выпуске Wall Street Journal сообщил, что Capital One уволил Майкла Джонсона – директора по информационной безопасности.

В 2017 году кредитная организация Equifax была взломана через веб-портал жалоб и предложений. Злоумышленники похитили 143 миллиона записей о клиентах, включая имена, адреса, даты рождения, номера социального страхования и данные водительских прав.

Утечка оставалась незамеченной в течение нескольких месяцев. А после обнаружения кражи, ТОП-менеджмент принял решение скрыть информацию от общественности.

Контролирующие органы США назвали инцидент «полностью предотвратимым», а компанию обвинили в «пренебрежении кибербезопасностью». Директор по безопасности Сьюзан Молдин, и ИТ-директор Дэвид Уэбб были уволены, а генеральный директор Ричард Смит незапланированно вышел на пенсию вскоре после произошедших событий.

В конце 2017 года Uber сообщила о краже записей 57 миллионов водителей, включая имена, адреса электронной почты, телефоны и данных водительских прав. Предполагается, что злоумышленники получили доступ хранилищу кода компании на GitHub.

Информация всплыла только спустя 12 месяцев, а в сокрытии инцидента принимал непосредственное активное участие директор по безопасности Джо Салливан. Он передал злоумышленникам более 100 000 долларов под видом оплаты за исправления ошибок в программном обеспечении.

Салливан, до этого 5 лет управлявший безопасностью в Facebook, был уволен из Uber.

Утечка информации – фактор риска, от которого не застрахован никто. Однако, как демонстрирует международная практика, внутрикорпоративные наказания и внешние санкции наступают только в случае попытки сокрытия инцидента или безалаберного отношения должностных лиц к своим обязанностям.

Избежать последствий поможет своевременное обновление систем защиты и укрепление периметра безопасности. Кроме защиты от внешних факторов риска, таких как хакерские или фишинговые атаки, руководителям всех рангов стоит обратить пристальное внимание и на внутренние процессы в организации. Ведь большинство утечек спровоцированы необдуманными действиями персонала компании и активностью инсайдеров. Утечки данных, связанные с «человеческим фактором» — работниками компании, наносят максимально высокий финансовый и имиджевый урон бизнесу.

Особое внимание в 2020 году стоит уделить системам управления информацией о пользователях корпоративных сетей – так называемому «identity management». А также не стоит забывать о внедрении многофакторной аутентификации с использованием биометрических параметров. Это не только повысит надежность защиты данных, но и позволит выполнить федеральный закон РФ № 152-ФЗ «О персональных данных», который регламентирует наличие систем класса IDM в корпоративном сегменте.