Как защитить данные при работе с подрядчиками
Роскомнадзор не смог привлечь к ответственности «Ростелеком» после крупной утечки персональных данных, произошедшей через атаку на одного из подрядчиков компании. По данным TAdviser, убытки провайдера «Орион телеком» превысили 66 млн рублей, а количество пострадавших абонентов исчисляется десятками тысяч. Это событие поднимает вопрос об уязвимости цепочек поставок и необходимости усиления мер защиты информации у крупных игроков рынка телекоммуникаций и ритейла.
Что произошло
Утечка данных стала результатом успешной кибератаки на компанию-подрядчика, работающего с инфраструктурой «Ростелеком». Несмотря на то, что сам оператор утверждает, что внутренние системы были защищены должным образом, атака привела к компрометации большого объема конфиденциальных сведений, включая личные данные абонентов.
Подобная ситуация подчеркивает важность контроля над безопасностью внешних поставщиков услуг и необходимость внедрения строгих политик управления рисками в рамках всей экосистемы бизнеса. Важно отметить, что ответственность за защиту данных лежит как на операторе, так и на его партнерах, особенно когда речь идет о критически важных системах обработки персональной информации.
> «Мы должны признать, что безопасность наших данных зависит не только от внутренних процессов, но и от надежности всех звеньев нашей технологической цепи», — комментирует инцидент один из экспертов отрасли.
Почему это важно
Для российских ритейлеров и других организаций, использующих аутсорсинг ключевых IT-процессов, этот случай служит напоминанием о том, насколько важна комплексная защита инфраструктуры. Даже самые современные меры внутренней безопасности могут оказаться бесполезными, если партнеры не соблюдают такие же высокие стандарты информационной безопасности.
Особенно актуальна эта проблема становится в свете требований Федерального закона №152-ФЗ («О персональных данных»), который обязывает организации обеспечивать сохранность личной информации граждан. Нарушение этого законодательства может привести к значительным штрафам и репутационным потерям.
Кроме того, подобные инциденты подчеркивают необходимость регулярного аудита подрядчиков и мониторинга их соответствия требованиям информационной безопасности. Для предприятий розничной торговли, где сбор и обработка больших объемов клиентских данных является частью повседневной деятельности, контроль за внешними поставщиками приобретает особое значение.
Что делать
Чтобы минимизировать риски подобных инцидентов, организациям следует предпринять следующие шаги:
- Регулярный аудит подрядчиков: Проверяйте соответствие партнеров стандартам информационной безопасности, таким как ISO 27001, PCI DSS и другим отраслевым нормам.
- Контроль доступа: Ограничивайте права доступа подрядчиков к внутренним системам и регулярно пересматривайте выданные разрешения.
- Использование решений класса MDM: Управление мобильными устройствами позволяет контролировать использование корпоративных приложений и данных даже на устройствах сторонних исполнителей. Например, решение типа Komendant MDM помогает централизованно управлять политиками безопасности мобильных устройств сотрудников и подрядчиков. См. подробнее в документации:
/docs/policies.
- Шифрование данных: Применяйте шифрование для передачи и хранения чувствительной информации, чтобы снизить вероятность ее компрометации в случае взлома.
- Обучение персонала: Регулярно проводите тренинги по вопросам информационной безопасности среди сотрудников и подрядчиков, повышая осведомленность о возможных угрозах и способах их предотвращения.
Эти меры помогут компаниям избежать серьезных последствий, связанных с нарушением конфиденциальности данных, и обеспечить надежную защиту своей цифровой инфраструктуры.
---
Источник: [TAdviser](https://www.tadviser.ru/a/679387)