Одна из популярных тем последнего времени на форумах, каналах и чатах по ИБ — это 60 тысяч рублей за утечку ПДн десятков тысяч человек, которые были назначены в качестве штрафа ряду российских компаний. И многие специалисты по ИБ начинают чуть ли не с пеной у рта доказывать, что при таком отношении к ИБ, она никогда не поднимется с колен и топ-менеджмент никогда не начнет ценить своих специалистов по ИБ должным образом. И вот в предверии принятия закона об оборотных штрафах за утечку ПДн мне хотелось бы посмотреть «А как там у них?» Ведь идею с оборотными штрафами наши законодатели подсмотрели с европейского GDPR и поэтому было бы интересно оценить, насколько это влияет на рост уровня ИБ в Евросоюзе.
В качестве примера давайте возьмем ситуацию с отельной сетью Marriott, которая в 2018-м году объявила о взломе купленной ею сети отелей Starwood, который произошел еще в 2014-м году, до момента поглощения, и утечке данных 500 миллионов гостей, включая их паспортные данные, номера кредитных карт, а также ФИО, email и т.п. Большинство паспортных данных хранилось в открытом виде, а вот данные платежных карт были зашифрованы… но ключи шифрования хранились на том же сервере с данными и злоумышленники также получили к ним доступ.
Что произошло?
Результаты расследования так и не были раскрыты в деталях, но известно, что в сентябре 2018-го года средство мониторинга обнаружило необычный запрос к базе данных от пользователя с административными привилегиями, который, как оказалось, такого запроса в реальности не делал. Средство мониторинга управлялось не самой Marriott Starwood, а Accenture, которая управляла ИБ в Starwood до поглощения и после него (оставим в стороне вопрос, почему Accenture 4 года не замечала злоумышленника в инфраструктуре). По результатам расследования выяснилось, что доступ к административной учетной записи был получен с помощью RAT и Mimikatz. Как RAT попал на сервера Starwood так и осталось невыясненным, но предполагается, что все началось с фишинга (я, кстати, для УЦ Информзащита разработал курс по борьбе с фишингом).
Решения класса NDR (Network Detection & Response) вместе с SIEM могли бы помочь провести ретроспективный анализ данных. Но, видимо, их не было и вся внутренняя ИБ концентрировалась вокруг DAM (Database Activity Monitoring).
Интересно, что необнаружение злоумышленника — это стало нехорошей практикой в Starwood; в 2015-м они в течение 8 месяцев не замечали взлома своей инфраструктуры. После поглощения в 2016-м году Marriott сократил весь ИТ и ИБ-персонал Starwood, но оставил в купленных отелях старое ПО для резервирования номеров и обслуживания гостей, за которым «присматривал» Accenture.
Кстати, Marriott был одним из основных гостиничных провайдеров для государственных и военных структур США, что позволило экспертам связать взлом с китайскими государственными хакерами, заинтересованными в данных о американских официальных лицах.
Что касается ущерба для постояльцев Marriott, то он оказался не так велик, так как, если предположить, что версия с китайскими хакерами » в погонах» была верна, эти данные не использовались в мошеннических целях.
Какой же ущерб был нанесен Marriott в результате этой утечки?
Во-первых, Marriott согласилась компенсировать всем пострадавшим стоимость замены паспортов и платежных карт, но количество обратившихся в компанию неизвестно и поэтому мы не можем оценить затраты компании на эту статью затрат. Во-вторых, против Marriott было подано несколько коллективных исков от пострадавших, но перспектива их не так радужна и в пересчете на каждого пострадавшего сумма компенсации может быть не очень большой (хотя для Marriott она может быть значимой по совокупности). В СМИ проскакивала информация, что сумма может равняться 25 долларам на каждого из 500 миллионов пострадавших, что в совокупности составляет 12,5 миллиардов долларов.
В-третьих, компания в своем финансовом отчете в 2019-м году озвучила стоимость атаки для себя в 72 миллиона долларов, из которых 44 должны были прийти в первом квартале 2019-го года. Но… у Marriott была страховка от такого рода инцидентов (она упоминается в годовом отчете компании, но ее стоимость неизвестна) и они получили возмещение в размере 71 миллиона долларов, 46 из которых они получили в первом квартале. Иными словами, Marriott даже заработала на этом взломе, получив доход в 2 миллиона долларов! К маю Marriott сократила свои убытки до 1 миллиона долларов.
Также пострадала и Accenture, которую привлекли в качестве соответчика по делу Marriott за ненадлежащую ИБ.
Но это еще не все. Помимо коллективных исков и затрат самой Marriott, на факт столь крупной утечки «возбудились» и регуляторы. «Английский Роскомнадзор» (ICO) решил оштрафовать Marriott на 99 миллионов фунтов стерлингов или 123 миллиона долларов за нарушение прав граждан Великобритании как субъектов ПДн согласно GDPR (Великобритания уже запустила к тому моменту Brexit, но еще не вышла из состава Евросоюза). ICO специально указали, что они наказывают именно Marriott, а не Starwood, у которого и произошла утечка, по причине ненадлежащего отношения к процессу аудита и оценки защищенности поглощаемого актива в процессе сделки слияния Marriott и Starwood.
Вообще тема аудита и анализа защищенности в M&A-сделках (поглощение и слияние) у нас не получила должного развития, а зря. Как мы видим, это может дорого обойтись компании-покупателю.
Согласно GDPR штраф может достигать 4% от оборота компании-нарушителя. Однако ICO в итоге снизили сумму штрафа с 123 (это было около 3% от годового оборота Marriott) до 23,8 миллионов долларов (18,4 миллиона фунтов стерлингов), аргументировав это тем, что сеть отелей все-таки предприняла определенные меры ИБ после утечки ПДн, своевременно связалась с клиентами и ICO и вообще во время COVID-19 неправильно назначать такие большие штрафы.
Но и это еще не все потери компании. После анонса Marriott курс акций компании упал на 8,7%, а потом чуть приподнялся, но остался на 5% ниже показателей, предшествующих объявлению о взломе. Но тут сложно оценивать потери компании, не видя перед глазами количества проданных и купленных во время падения курса акций.
Если попробовать подытожить, то тут стоит обратить внимание на интересное исследование IBM и Ponemon Institute, которые смоделировали стоимость мегаутечек персональных данных на основе 11 реальных примеров.
Получилось, что для утечки на 50 миллионов записей ПДн средняя стоимость может обойтись в 350 миллионов долларов, а если аппроксимировать эти цифры до утечки Marriott, то в худшем случае потери сети отелей могут составить до 3,5 миллиардов долларов, а в «лучшем» — до 2,1 миллиарда.
В стоимость потерь для компании необходимо включать стоимость обнаружения и эскалации, уведомления пострадавших, реагирование на утечку, а также прямые и косвенные потери бизнеса.
В целом, можно признать, что Marriott пережила эту утечку, хотя ее прямые потери и составили около 100 миллионов долларов (хотя часть из них и вернулась через страховку). Хуже, что уровень удовлетворенности клиентов сети отелей упал ниже ее конкурента, Hilton, что может/могло повлиять (но в условиях COVID-19 это уже не поддается измерению) на снижение лояльности постояльцев. По проведенным в США исследованиям, четверть американцев не будет вести никаких дел с компанией, допустившей утечку данных. Так что можно утверждать, что утечка ПДн, если подходить к ней не только с точки зрения оценки текущего штрафа Роскомнадзора, — это достаточно серьезное, я бы даже сказал, недопустимое событие для большинства крупных компаний. А с введением оборотных штрафов, а то и уголовной ответственности за утечку (это тоже сейчас обсуждается), ситуация может еще больше поменяться в худшую сторону.
И вот впору спросить:
А вы реально уверены, что вы способны защитить ваши ПДн так, что любая их утечка будет исключена?
Ведь если наказание за утечку ПДн возрастет, а бизнес начнет действительно считать все последствия от утечки, а не только прямые потери в виде штрафов, внимание к ИБшникам усилится и спросить могут гораздо более серьезно, чем это происходит сейчас.
Вы проводили в своей организации верификацию невозможности утечки ПДн в виде киберучений или пентеста? И они действительно показали, что вас нельзя взломать?
Тогда снимаю шляпу 🙂 Если же вы не уверены в своей системе защиты (не важно, построена она в соответствие с 21-м приказом ФСТЭК, стандартом CNIL или вашим собственным видением), то может стоит уже сейчас задуматься о том, что вы будете делать, если ваш генеральный директор или заместитель генерального директора по ИБ, назначенный по 250-му Указу Президента, спросит завтра в лифте: «А вы готовы выложить свои фаберже на стол и гарантировать, что нас не взломают?»
лет 25 назад я пришел устраиваться на работу электриком и меня спросили-боишся электричества? я ответил-нет. Ну и дурак-сказали мне. Так и тут. Так что дурак тот ИБешник готовый фаберже на стол…Я например готов поставить фаберже на стол только в случае если я буду принимать решения без возможности отказа от них, и даже директор будет им подчинятся , но это будет круче зоны….бизнес так работать не сможет….иначе утечки возможны и фаберже поэтому оставлю себе…
Ну когда на работу берут коммерческого директора он комитится под планы продаж. Почему ИБшник не должен?
потому что риски коммерческого это максимум увольнение….а по 250 10 лет….разные уровни риска и отвественности, соответственно там и оплата и годовой фонд работы другие, но кто их даст? Фаберже на стол за 150 т.р. в лучшем случае и дай бог пару миллионов в год на ИБ -ну нет….
По 250-му вообще никакого наказания не предусмотрено
КИИ, ГТ ….остальные без этого и не рыпнутся пока штрафов не будет поголовных т.е. 250 даже читать там некому…
Ну это странный, но понятный, подход — рассматривать ИБ только в контексте «бумажной» ИБ выполнения требований кучи бумажек
80 процентов ИБ можно закрыть штатными средствами, достаточно грамотного сисадмина и штат сотрудников скажем знающих информатику, Эт вы сами писали. т.е. остается 20 процентов-бумага и «железо»…про бумагу вопросов нет, про железо сейчас куча вопросов, отсюда вывод, 80 процентов это чисто ИТ, по железу сейчас опа, остается бумага….
ИБ — это культура (люди) и процессы, а не только технологии
Недавно был случай, попалась на глаза коробка с документами, в коридоре, а на ней большими буквами-копии паспортов….и я подумал…вообщем много чего я подумал)))))))))
Пусть вначале установят нормы штрафа, потом появится пару прецедентов, а потом замы по ИБ пусть начинают думать о выкладывании чего-то на чей-то стол.
А до этого не? ИБшник делает что-то, но ни за что не хочет отвечать? Не странно ли?
написал и все стер….
Интернет все помнит 🙂
Непонятно, почему безопасник должен что-то гарантировать?
Он может помочь бизнесу снизить риски до приемлемого уровня, при условии выделения необходимых ресурсов и полномочий
Так а в чем противоречие? Бизнес не хочет недопустимых событий. ИБшник говорит, что для этого нужны такие-то ресурсы и полномочия. Ему их дают и… ИБшник готов в этом случае отвечать за свои слова?
Бизнес чаще всего вообще не знает, что он хочет….надо — приняли…я уж не говорю что когда подходишь и говоришь дай денег- а тебе зачем? отдачи то нет…и не надо про то, что не обоснуешь, в россии не иб, а выполнение законодательства главное… и какие гарантии может дать ибешник? что решение принятое им 100 процентов защитит? я вот знаю пример когда десятки лямов потратили на длп, а решили проблему с помощью оперативников, а длп работает…только толку то…
Да ладно, не знает. Не потерять бабки, не быть уволенным, не быть отрицательным героем в СМИ, не пролететь с бонусом, не нарушить контрактные обязательств…
Каким образом это относится к ИБ….А ВОТ ЕСЛИ….?….бизнесу из 90х это вообще пофиг
И примеры когда за утечку дают штрафы в 60 тыс. говорят о том, что иб не нужен от слова совсем, найми лучше грамотного сисадмина и всЁ.
Пока 60 тысяч, потом оборотка. И ПДн — это не все, чем должна заниматься ИБ
за все остальное вообще штрафов нет…КТ умерла на взлете…врачебные нотариальные итд…и всем остальным чаще всего занимаются
А штрафы-то тут причем? Или ИБ рассматривается как инструмент предотвращения крупных штрафов?
И как мне сказал недавно очень серьезный бизнесмен(оборот бизнеса в районе …… лярдов)…..- а нет сейчас тайн, все что мне скажем надо я или из аналитики вытащу или из открытых источников(государство очень этому способствует)или если попрошу скажут, поэтому и у меня нет тайн….как то так…
А простоев у него тоже нет?
чот пропали кнопочки «ответить». Про штрафы. Штрафы это стимулирование бизнеса за ИБ, ваша статья выше о чем? И вы задаете вопрос ИБ это не штрафы? Смешно….только в европах штрафы получает субъект ПД, а у нас государство….субъект может через суд обосновать миллионные штрафы(эт про европу, у нас 5 тыс.руб моралка дайбох), а у нас штраф-60 тыс….
ИБ — это вообще не про штрафы. Это тупиковая ветвь развития
Простоев нет….
иб это ветвь экономической безопасности, и речь не о штрафах как развития)))))))бизнес не будет вкладыватся в то что ему не наносит ущерба, раз нет ущерба или он незначителен, проще платить штрафы откаты и тд…
А нормального регулирования не будет потому, что система правовая совсем неуравновешенна….
вы смотрите очень узко именно сферу ИБ, не рассматривая систему снаружи не относящуюся к ИБ, у меня сейчас два судебных процесса и я прекрасно понимаю что хорошо что они гражданские, потому что если это такое в гражданском, страшно представить что там в уголовном….поэтому ИБ и остается заниматся культурой, бумагой, людьми….только нормативки нет по культуре и людям…
Да, но нет. ИБ не только про предотвращение ущерба, но и про развитие бизнеса, сокращение/оптимизацию затрат и т.п.
В Ирландии оштрафовали Instagram на 405 миллионов евро. Эта страна регулирует деятельность Meta, Apple, Google и других технологических гигантов, поскольку там расположены их европейские штаб-квартиры.
Ирландский регулятор конфиденциальности данных наложил рекордный штраф после расследования об обращении с данными детей. Оно шло с 2020 года и касалось несовершеннолетних пользователей в возрасте от 13 до 17 лет, которым было разрешено управлять бизнес-аккаунтами. Проблема связана с тем, что Instagram до 2019 года часто публиковал номера телефонов и е-мейлы бизнес-аккаунтов по умолчанию. Дети меняли настройки, чтобы получить возможность следить за количеством просмотров своих постов, но они могли не знать, что вместе с этим публикуют свои данные.
Это неприятная ситуация для Meta, которая как и другие западные гиганты сильно беспокоятся о детях и тратит много ресурсов на превращение соцсетей в детские, блокируя разный «небезопасный» контент. Как раз Instagram около года назад обновил настройки конфиденциальности для несовершеннолетних, но штраф всё равно прилетел за прошлые заслуги. В отличие от России, где соцсети прижимают за узкую тематику неправильного контента для детей ― ЛГБТ, суициды, оппозиционная политика ― на Западе стараются обрезать все углы. Такие решения судов означают, что для взрослых пользоваться соцсетями будет ещё сложнее ― есть повод ввести дополнительные проверки. Если юзер, например, захочет опубликовать свой е-мейл, то пусть доказывает, что он не ребёнок.
Это к чему?
к тому что не все риски можно предугадать….и у тебя все правильно, а твои фаберже уже на суку…притом тут это не гипотетически, а практически, с нашим законодательством и правоприменением…
Так в том и смысл, что защищаться не от всего возможного и невероятного, а от недопустимого для бизнеса. Таких событий будет от силы 3-5
так выше и есть недопустимый для бизнеса сценарий…у нас бы еще и посадили бы пол руководства по уголовке, а не просто штрафы…могут и бизнес отжать
Могут и отжать 🙂
Да, интересно рассматривать примеры утечки данных не в РФ. В РФ видимо из-за менталитета персональные данные не так сильно ценятся, главное чтобы кредит не оформили «в умах многих сограждан».
Я по умолчанию считаю что мои данные слиты везде где только можно. Потому со своей стороны вопрос пользоваться или не пользоваться услугами компании допустившей утечку данных вообще не стоит. Мне кажется я не один такой.
Так поэтому и стоит рассматривать примеры утечек зарубежных, чтобы
а) у нас такого же не произошло, так как мы копируем зарубежную ответственность в свое право
б) смотреть на утечки можно было с разных сторон, а не только «кому интересен мой домашний адрес?»