Союз строительных компаний Урала и Сибири (ССК УрСиб) совместно с АО «ЭР-Телеком холдинг» провели вебинар на тему «Информационная безопасность для строительной отрасли». Были затронуты такие темы, как растущая цифровая преступность, актуальные риски, которым подвергаются строительные компании и их саморегулируемые организации, а также новые проблемы, с которыми участники рынка могут столкнуться уже в ближайшее время.
Как рассказали в своём докладе эксперты айти-компании, каждые 10 секунд в мире происходят атаки программ-вымогателей.
При этом 71% всех кибератак имеют финансовую мотивацию, то есть за ними следует кража интеллектуальной собственности, а затем шпионаж. Проблемы растут, как снежный ком. Например, только за один раз в 2024 году в сеть были слиты 500.000.000 строк с данными россиян. Это больше, чем за весь 2023-й. Самая сильная DDoS-атака в 2024 году достигла мощности 207 Гб/с.
В 2023-ем количество атак программ-вымогателей с целью получения выкупа выросло на 160%. Жертвами чаще всего становились ретейлеры, производственные, туристические и страховые компании. Не гарантирована спокойная жизнь и строителям. Так, в сеть были слиты данные крупной российской компании-застройщика (на вебинаре не озвучивалось название фирмы, но, судя по подробностям, речь идёт о девелопере «Самолёт», базы данных которого были обнаружены в даркнете в январе 2023 года – ред.)
Утечка содержит 20.500 уникальных строк, причём, основной массив данных составляют контрагенты застройщика, а также сведения о более, чем 4.000 сотрудниках компании. По мнению ряда экспертов, попавшие в сеть данные могут в дальнейшем стать большой проблемой и быть использованы злоумышленниками. В слитой базе содержится информация о статусе партнёров, сотрудников компании, ФИО менеджеров, телефоны, должности… Опубликованные сведения относятся к периоду с февраля 2021-го по апрель 2022-го.
И если сейчас компании отделываются за сливы данных чисто симоволическими штрафами или вообще не несут никакой ответственности, то вскоре ситуация может измениться. Государственная Дума поддержала в первом чтении законопроекты № 502104-8 и № 502113-8 об оборотных штрафах и уголовной ответственности за утечку данных. Заведено первое уголовное дело на топ-менеджеров компании за допущенную утечку данных.
По мнению экспертов «ЭР-Телеком», это может привести к появлению новых схем киберпреступности. Не обо всех утечках данных становится сразу известно. Есть вероятность, что злоумышленники затаились в ожидании принятия нового законопроекта об оборотных штрафах и уголовной ответственности за утечку данных. Поэтому после принятия законопроекта возможен новый всплеск шантажа клиентов публикацией уже похищенных данных, а с увеличением штрафа вырастет и сумма выкупа за них.
Основной организацией, которая регулирует охрану персональных данных, является Роскомнадзор. Он может проверить у компании документацию в части модели угроз и ОРД. Соответственно, проверка будет состоять в том, что надзорное ведомство запросит документы, проверит, выдаст замечания, которые нужно устранить, а затем проверит устранение замечаний.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) проверяет средства защиты за исключением криптографии, а Федеральная служба безопасности проконтролирует уже криптографические системы. При этом ФСТЭК И ФСБ проверкой в части соблюдения информационной безопасности занимаются только в исключительных случаях, когда необходимо выполнить в первую очередь требования РКН.
Для компании выполнение требований Федерального закона № 152-ФЗ происходит в два этапа. Во-первых, необходимо выявить и описать процессы обработки персональных данных и информационные системы, в которых они обрабатываются, определить актуальные угрозы, составить модель угроз, после чего определить ответственных и разработать правила работы с данными. Это сугубо документальная работа и именно её результаты будет проверять РКН. Во-вторых, необходимо спроектировать, внедрить и настроить систему защиты, а заодно разработать документацию по её эксплуатации.
Защищать придётся всю цифровую инфраструктуру компании – сайты, почту, видеонаблюдение, телефонию, корпоративные порталы, банкинг, CRM-системы и специализированный прикладной софт. С этой задачей в настоящее время строители предпочитают справляться самостоятельно, но рост онлайн-преступности и повышение уровня угроз всё чаще заставляют прибегать к услугам специализированных компаний в сфере информационной безопасности.
При полном и/или частичном копировании данного материала, для последующего размещения его на стороннем ресурсе, обратная, индексируемая ссылка на источник обязательна!
08.10.24 в 15:04
Пора все персональные данные хранить только на бумаге! Лучшая защита! И то без предоставления откровенно ненужных данных!
Так можно и огонь начать разжигать палочками
Проблема очень серьезная. Плохо, что до сих пор кто-то относится к сливу данных спустя рукава. Никакие проверки документов Роскомнадзором не помогут. Комплект документов готовится за энную сумму и вопрос решен. По факту профанация.