Использовали уязвимость информационной системы. Как допускают сливы данных крупные торговые сети
Читая очередной заголовок о том, что какая-то крупная торговая сеть допустила распространение персональных данных своих покупателей в интернете, порой уже даже не удивляешься, а просто пожимаешь плечами. Вот только проблема никуда не уходит, и решать ее как-то надо. Именно в связи с такой необходимостью в прошлом году открылся Национальный центр защиты персональных данных. Как здесь решаются вопросы с незаконным распространением личной информации? Об этом рассказал директор Центра Андрей Гаев.
— Государство создает условия для защиты персональных данных, безопасности личности. Почему условия? То, что происходит с нашей личной информацией, зависит не столько от государства, сколько от действий организаций, которые собирают персональные данные, и каждого человека в отдельности, — сказал Андрей Гаев. — Хочу привести пример. Недавно озвучивали случаи достаточно крупных утечек персональных данных в отношении сетей «Остров чистоты и вкуса», «Буслік», салонов связи «Алло» и некоторых других организаций. Практически одномоментно произошла большая утечка, и ее можно считать единой. Злоумышленники воспользовались уязвимостью информационной системы, смогли внедриться в информационные ресурсы организаций и выкачали информацию о клиентах и работниках.
После этого случая Центром был проведен анализ ситуации, чтобы выяснить, что же способствовало утечкам информации.
— В основном к несанкционированным действиям привело непринятие мер по защите информации организаций. То есть вовремя не обновлялись программные продукты со стороны лиц, которые должны были осуществлять контроль за безопасность информации. Меры, четко прописанные в правилах, не были выполнены. И соответствующие информационные системы не были защищены должным образом с технической стороны, — подчеркнул директор Национального центра защиты персональных данных.
Но это уже последствия. Какие же меры предпринимаются Центром для того, чтобы подобные ситуации впредь не имели место быть?
— Бизнес должен заботиться о тех, кто приносит им прибыль. Наш Центр создан для того, чтобы обеспечивать в стране надлежащее исполнение правовых норм и помогать в соблюдении прав граждан, — отметил Андрей Гаев.
За текущий год Центром был проведен мониторинг сайтов самых различных организаций. Если в прошлом году делался упор на работу с крупными субъектами бизнеса, то в этом работа строится с конкретными ресурсами и организациями. Прежде всего теми, которые оказывают услуги и продают товары через интернет. К сожалению, в каждом случае по результату мониторинга выявлялись нарушения, по каждому проводится работа.
— Буквально недавно был проанализирован крупный информационный ресурс, и оказалось, что даже на защищенный хостинг информация о нескольких сотнях тысяч наших граждан не была перенесена, никакие меры, связанные с технической защитой информации, не были предприняты. кто и что делает с персональной информацией, — делает акцент директор Центра. — Поэтому по каждой такой ситуации проводится индивидуальная работа, устанавливаются графики с указанием сроков тех мероприятий, которые организации обязаны проводить по закону.