Базы данных у компаний крадут собственные сотрудники

Материальный ущерб от мошеннических действий с данными в российских компаниях весной вырос на 20%, превысив 100 млн руб., подсчитали в «Ростелеком-Солар». На этот показатель значительнее всего влияют действия сотрудников, такие как кража баз данных и продажа информации о конкурентных преимуществах. Затраты на ликвидацию последствий утечек будут только расти и уже к концу года могут достичь нескольких сотен миллионов рублей на одну компанию, полагают эксперты.

“Ъ” ознакомился с отчетом «Ростелеком-Солар», посвященным кибермошенничеству сотрудников компаний и утечкам данных в российских организациях за апрель—май, а также ущербу, который они наносят. В первую очередь компании сталкиваются с материальным ущербом, весной он превысил 100 млн руб. на одну компанию. В сравнении с аналогичным периодом 2021 года показатель увеличился на 20%. В целом от недобросовестных действий сотрудников материальный ущерб понесли 87% из опрошенных 120 компаний в 11 отраслях.

Среди инцидентов, от которых в первую очередь пострадали организации,— кража информации сотрудниками, например, с целью продажи, хищение средств, увод клиентской базы, объясняет старший бизнес-аналитик центра продуктов Dozor «Ростелеком-Солар» Елена Черникова. Также распространены кражи и предоставление необоснованных преимуществ подрядчикам при закупках, каждое из этих двух видов нарушений составляет 14% от общего числа инцидентов, отметил эксперт. В материальный ущерб входят также репутационные потери компаний, например, при утечке базы данных, потере конкурентного преимущества и клиентской базы, говорят в «Ростелеком-Солар».

Материальный ущерб от утечки складывается из регуляторных штрафов и возможных издержек на реагирование, расследование и устранение ее причин, уточняет эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель. Но гораздо более существенными оказываются репутационные риски, считает он, «подобные инциденты могут привести к оттоку клиентов, снижению доверия к компании и ее сервисам».

В 2022 году с такими рисками стали чаще сталкиваться крупные компании. Так, в начале июня в открытом доступе оказалась база сотрудников «Ростелекома», содержащая 109,3 тыс. строк, в том числе ФИО, должности сотрудников, адреса корпоративной почты, логины и номера телефонов. В самой компании сообщали, что инцидент произошел по вине бывшего сотрудника, который «в декабре 2021 года скопировал часть внутреннего телефонного справочника» (cм. “Ъ” от 6 июня). В мае в сети оказалась база данных сотрудников Delivery Club, она содержала 521,5 тыс. строк: ФИО, адреса электронной почты и номера телефонов. База данных сотрудников «Яндекс.Еды», опубликованная тогда же, содержала 700 тыс. строк и появилась в сети «в результате недобросовестных действий одного из сотрудников» (см. “Ъ” от 30 мая).

При этом Минцифры предлагает ужесточить наказание компаний за недобросовестную работу с персональными данными: согласно последним изменениям в законопроекте об оборотных штрафах за утечку персональных данных, за первый выявленный случай утечки штраф компании будет определен ее объемом. Во второй раз уже будет назначен оборотный штраф от процента выручки организации (см. “Ъ” от 12 июля).

Подобные инциденты могут привести к потере денег также из-за полной остановки деятельности организации, как, например, в случае с атакой на RuTube, считает руководитель направлений комплаенса и аудита УИБ Softline Илья Тихонов. «В дальнейшем утеря конфиденциальных данных ведет к расходам на защиту инфраструктуры»,— говорит он.

Объем ущерба от инцидентов будет только расти, как и серьезность их последствий, считают в «Информзащите», «в первую очередь на это повлияют ужесточение законодательства и рост объема штрафных санкций». Суммы издержек бизнеса уже в этом году могут подняться до 500–700 млн руб. и в перспективе двух лет удвоиться, прогнозирует управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. «Учитывая, что информация является наиболее ценным активом, ее защита также требует роста затрат»,— говорит он.