на которые следует обратить внимание компаниям, оказывающим профессиональные услуги.
Компании, занимающиеся оказанием профессиональных услуг, уязвимы перед атаками злоумышленников, поскольку зачастую обладают менее сложной системой безопасности данных, чем их клиенты2. Особые опасения в связи с этим вызывает безопасность финансовых данных: исследователи сообщают, что подобные сведения представляют наибольший интерес для хакеров. По оценкам, количество инцидентов с информационной безопасностью в бухгалтерском учёте увеличилось почти в 10 раз в период с 2007 по 2017 год, а средний убыток составил более €700 000.2
Так что же относится к рискам, из-за которых организации могут потерять данные?
5 рисков, которые приводят к потере данных
Большинство нарушений безопасности финансовых данных обусловлены одним или несколькими общими факторами:
1. Слабые или украденные пароли
Надёжность используемых систем напрямую зависит от сложности вашего пароля. Протоколы со слабыми паролями ― открытая дверь для злоумышленников. Слабые пароли, такие как «Password1» (Пароль1), практически бесполезны, однако даже самые надёжные пароли могут быть взломаны сложными программами, которые автоматически подбирают миллионы перестановок.
2. Пользователи-злоумышленники
Пользователи, обладающие доступом к конфиденциальной информации, испытывают искушение злоупотреблять своими привилегиями с целью получения прибыли или из мести. Эффективная политика контроля доступа помогает противодействовать этой угрозе. Регулярные проверки протоколов аутентификации и авторизации ограничивают доступ пользователей и сводят к минимуму любые риски безопасности финансовых данных.
3. Ошибки пользователей
Утечка данных не обязательно вызвана намеренными действиями сотрудников. Зачастую они по ошибке ставят в копию не тех людей, прикрепляют ненужный документ или печатают конфиденциальные документы на общедоступном принтере, где их может увидеть или забрать случайный человек. Ключевую роль здесь играет постоянно информирование сотрудников и обучение базовым алгоритмам обеспечения безопасности данных. Чтобы не стать жертвами злоумышленников, необходимо обмениваться передовым опытом, начиная с советов о безопасности и заканчивая подсказками по распознаванию фишинговых сообщений.
4. Уязвимости программного обеспечения
Хакеры всегда ищут уязвимости в приложениях, а поставщики программного обеспечения постоянно работают над их исправлением с помощью обновлений систем безопасности. Компании должны производить обновление ПО при выходе новых версий как можно скорее, так как преступники обращают своё внимание на медленно реагирующие организации, которые остаются уязвимыми для атак.
5. Вредоносные программы
В среднем организация подвергается атакам 22 вредоносных программ в год3. Это вредоносное программное обеспечение использует уязвимости и проникает в систему, чтобы подорвать ваш бизнес или украсть персональные данные. Для предотвращения подобных действий требуется опережающая стратегия, направленная на обучение пользователей, чтобы они избегали всех подозрительных ссылок, электронных писем и веб-сайтов, а также задумывались, прежде чем загружать какое-либо программное обеспечение. Для защиты от вредоносных программ компаниям нужно инвестировать в программное обеспечение, устанавливать все обновления для систем безопасности и исправления, а также постоянно следить за тем, чтобы брандмауэр был включен и правильно настроен.
Подсчёт расходов, вызванных потерей данных
Принятие Общего регламента ЕС по защите данных (GDPR) в 2018 году означает, что неспособность управлять рисками данных может дорого стоить компаниям, так как они понесут репутационный ущерб или будут вынуждены заплатить серьёзный штраф.
Протокол GDPR принуждает компании защищать свои данные. Штрафы для нарушителей доходят до 20 миллионов евро или 4% от глобального оборота (в зависимости от того, что больше), при этом статистика выглядит ужасающе: в первые восемь месяцев после вступления GDPR в силу в мае 2018 года в Европейской экономической зоне было совершено 160 000 нарушений4.
Каковы 10 самых больших штрафов по GDPR?
Штрафы за утечку данных в 2019 году указывают на то, что регулирующие органы стали более сурово наказывать предприятия, не защищающие информацию о своих клиентах. Десять крупнейших нарушений GDPR в 2019 году повлекли за собой штрафы в размере 402,6 млн евро5.
Самые высокие взыскания за утечку данных в 2019 году (в миллионах евро):
1. British Airways
Штраф: €204 600 000
2. Marriott International, Inc
Штраф: €110 390 200
3. Google Inc
Штраф: €50 000 000
4. Austrian Post
Штраф: €18 000 000
5. Deutsche Wohnen SE
Штраф: €14 500 000
6. Национальное налоговое агентство Болгарии
Штраф: €2 600 000
7. UWV (голландский поставщик страховых услуг для сотрудников)
Штраф: €900 000
8. Morele.net
Штраф: €644 780
9. Банк DSK
Штраф: €511 000
10. Гаагский госпиталь (Haga Hospital)
Штраф: €460 000
Но несмотря на принятия Общего регламента по защите данных, количество утечек данных увеличилось на 33% в 2018/19 годах6. И источником угрозы может стать такая часть инфраструктуры компании, от которой этого меньше всего можно было бы ожидать.
Принтеры: слепое пятно безопасности
Согласно недавнему отчёту, количество уязвимостей растёт в результате неэффективной защиты сетевых устройств7. 11% всех инцидентов безопасности связаны с печатью, при этом 59% компаний за последний год столкнулись как минимум с одной потерей данных, связанной с безопасностью принтеров8.
Сотрудники компаний, оказывающих профессиональные услуги, принимают свои устройства как должное, поэтому наиболее вероятной причиной нарушения безопасности данных принтера являются случайные действия внутренних пользователей8.
Безопасность данных печатающих устройств остаётся настоящей слепой зоной, поскольку лишь четверть IT-департаментов компаний инвестируют в безопасность принтеров, более половины вообще не используют аутентификацию пользователей, а три четверти заявляют, что никогда не инвестировали в шифрование документов9.
Количество утечек данных растёт, поэтому компаниям как никогда важно оценивать безопасность своих финансовых данных. Для предотвращения угроз безопасности и соблюдения требований законодательства организациям необходимо обращать внимание на профессиональные устройства, которые защищают их функции печати и данные.
Компания Brother рекомендует компаниям, предоставляющим профессиональные услуги, изучить модели принтеров, которые:
- Используют шифрование SSL для защиты соединений в IP-сетях;
- Оснащены функцией печати с авторизацией по NFC или с помощью PIN-кода.
Узнайте, как Brother может сделать вашу печать безопаснее: ознакомьтесь с информацией о безопасности наших принтеров или прочитайте статьи по безопасности в нашем блоге
Источники:
1https://gdpr.report/news/2017/06/30/cyber-threat-professionals-time-high/
2Clyde & Co: «Cyber and privacy risks for professional firms» (Киберугрозы и риски конфиденциальности для компаний, оказывающих профессиональные услуги), 2017 г.
3Отчёт от компании Verizon о расследовании утечек информации, 2018 год
4statista.com/chart/20566/personal-data-breaches-notified-per-eea-jurisdiction/, 21 января, 2020 г.
5https://www.precisesecurity.com/articles/top-10-gdpr-breaches-in-2019-cause-e402-6-million-fines/
6Исследование Ponemon Institute/IBM Security: «Cost of a Data Breach Report» (Стоимость утечки данных), 2019 г.
7Национальный центр кибербезопасности/Национальное криминальное агентство «The cyber threat to UKbusiness» (Киберугроза для британского бизнеса), 2016/2017 г.
8Отчёт исследовательской группы Quocirca: «Global Print Security Landscape», 2019 г.
9Brother: «Слепое пятно безопасности печати»
