Group IB

Опрос HFLabs: половина российских компаний не способна защитить персональные данные клиентов

05.09.2022
Опрос HFLabs: половина российских компаний не способна защитить персональные данные клиентов

Несмотря на громкие утечки персональных данных, только 50% российских компаний планируют увеличить бюджет на их защиту. Это следует из опроса, который провела отечественная IT-компания HFLabs. При этом больше половины респондентов не уверены в том, что личные сведения их клиентов находятся в безопасности.

HFLabs опросила представителей 172 российских компаний, чтобы понять, как бизнес реагирует на произошедшие громкие утечки и планирует ли менять подходы к работе с персональными данными.

53% опрошенных сказали, что в их компании «утечки вероятны», а еще 9% сообщили, что они уже происходили. И только 37% респондентов уверены, что в их организации утечки данных клиентов не произойдут.

Число таких инцидентов в России выросло в первом полугодии 2022 года в восемь раз, по сравнению с аналогичным периодом прошлого года. Так, по данным телеграм-канала «Утечки баз данных» в 2022 году в этот период произошли 33 «слива» персональных данных россиян – в открытом доступе оказались 167 млн строк с личными сведениями клиентов разных организаций. В 2021 году в период с января по июль – семь утечек на 21 млн строк.

Среди мер, которые компании предпринимают прямо сейчас для защиты сведений о клиентах, участники опроса чаще всего называли ограничение доступа сотрудников к персональным данным, внедрение IT-систем для защиты данных и ужесточение правил работы с данными. При этом почти 50% опрошенных сообщили, что их организации не планируют увеличивать бюджет на защиту персональных данных.

«Информация имеет свойство утекать. Любые переданные клиентом данные о себе тоже рано или поздно окажутся в открытом доступе. Это новая реальность. Поэтому у граждан должна быть возможность получать товары и услуги, оставаясь при этом полностью анонимными, – считает Дмитрий Журавлев, сооснователь и генеральный директор HFLabs. – К примеру, чтобы доставлять еду, компании не нужно знать имя и телефон человека – связаться с ним курьер может через колл-центр или любой другой суррогатный идентификатор. Фактически бизнес может существовать без сбора такого количества персональных данных. И, конечно, сами люди должны соблюдать цифровую гигиену и следить за тем, где и какую информацию о себе они оставляют».

Только 5,2% компаний из опрошенных HFLabs зафиксировали значительное количество обращений от клиентов после крупных утечек данных. Еще 15% респондентов сообщили о единичных потребителях, которые были обеспокоены сохранностью личных сведений.

План действий на случай утечек имеют 10% компаний. Еще 11% понимают его необходимость, но плана у них еще нет. Интересно, что в 2022 году значительно выросло количество утечек с ФИО, телефонами и адресами электронной почты россиян. А вот количество утечек с контактами из мессенджеров, хешами паролей, логинами и IP-адресами, напротив, сократилось.

О компании HFLabs

HFLabs – российская компания. С 2005 года создает программные продукты, с помощью которых бизнес получает точную информацию о своих клиентах. Продукты HFLabs обрабатывают и приводят в порядок базы людей, компаний и адресов с сотнями миллионов записей. Решения HFLabs используют российские банки, страховые компании, телеком-операторы, ритейл и др.    

HFLabs последовательно выступает за культуру обращения с персональными данными. В основе исследования -- опрос клиентов HFLabs и DaData, а также пользователей портала Habr.com. Всего мы получили 172 анкеты. Период проведения опроса – с 7 июня по 7 июля 2022 года. Полная версия опроса с графиками и расширенными комментариями доступна по ссылке.

Дополнительно: комментарии экспертов

Константин Степанов, исполнительный директор HFLabs

- Часто бизнес собирает больше персональных данных, чем ему требуется, а люди спокойно ему эти данные предоставляют. Поэтому для начала компаниям нужно разобраться, какие данные они собирают и действительно ли все они важны для бизнес-процессов. Ужесточение доступа к данным – палка о двух концах: если процедура будет слишком сложной, люди будут пытаться обходить ее.

Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры:

– Свести вероятность утечки практически к нулю возможно. Например, выстроить защиту таким образом, чтобы для успешной реализации атаки требовались ресурсы и умения спецслужб, а не хакеров-любителей. Защитой же от внутренних злоумышленников может быть ограничение доступа к данным. По сути, нужно сделать так, чтобы у сотрудника не было прямого доступа к базе данных. А все запросы к базе он мог бы делать только по одной строке и только с дополнительным подтверждением от третьих лиц.

Начиная с 24 февраля 2022 года в России радикально возросло число утечек из-за внешних атак. Особенно в тех отраслях, где раньше их не было. Это говорит о том, что организации просто не были к этому готовы.

Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI:

– Компания может гарантировать отсутствие утечек, только если она не работает с данными в принципе. В остальных случаях риск утечек можно снизить до более или менее приемлемого уровня.

Например, это удалось крупным российским банкам, которые внедрили DLP-системы и уменьшили объем инсайдерских хищений данных и связанных с ними кейсов мошенничества почти до нуля. Правда, на это потребовалось четыре года непрерывных медийных скандалов и огромное количество ограбленных вкладчиков.

Ответственность за утечки, если даже она наступает, оказывается на порядки меньше затрат на обеспечение необходимого уровня безопасности. Основной удар приходится по репутации, а на российском рынке она недорого стоит.

Алексей Мунтян, соучредитель Russian Privacy Professionals Association (RPPA):

– В этом году изменилось восприятие утечек со стороны общественности. Например, утечка из Яндекс.Еды вызвала широкий общественный резонанс, потому что была визуализирована. Любой человек теперь может зайти в базу и по номеру телефона получить ранее недоступные сведения. Кроме того, этот конкретный дата-сет был впоследствии обогащен данными из других утечек. И это уже двойной удар. Люди поняли, что утекающие данные накапливаются и создают солидную базу сведений о каждом из нас.

На уровне государства для защиты данных можно заимствовать опыт других стран. Например, в Южной Корее и Китае ответственность на себя берет не только компания целиком, но и конкретный сотрудник, например, IT Security Officer. В его обязанности входит своевременное принятие мер по предотвращению утечек и минимизации их последствий. В случае наступления ответственности его не просто штрафуют, но и могут уволить из компании с последующим запретом на работу на подобных должностях на определенный период.

Кроме того, государство может ограничивать деятельность предприятия, в котором произошла утечка. Один из недавних примеров: после утечки данных пользователей китайские власти ввели для компании DiDi (она предоставляет услуги такси и каршеринга) мораторий на регистрацию новых пользователей на целый год.