«Представьте, что обнаружили, как ваш ключевой сотрудник, пользующийся полным доверием, методично сливает проектные чертежи или клиентскую базу прямо в руки конкурента. У вас нет ни плана, ни инструментов, ни моральной готовности действовать жестко и по закону. Эта статья — карта прохождения по минному полю. Здесь нет места панике и расправам, только последовательность юридически значимых шагов: … Читать далее
Что скрывается за формальным термином Под «утечкой базы» подразумевается не просто случайная публикация файла. Это системный инцидент, при котором защищённые массивы с персональными данными становятся доступны третьим лицам за пределами контролируемой инфраструктуры компании. В ритейле это чаще всего электронные таблицы и отчёты с ФИО, телефонами, email, адресами доставки и данными о покупках. Утечка происходит либо … Читать далее
«Хранение данных в облаке кажется простым — создал бакет, закинул файлы, всё. Но именно эта кажущаяся простота и создаёт иллюзию безопасности. Разрешения, политики, списки управления доступом — всё это сложные, многоуровневые системы, ошибки в которых остаются невидимыми до момента, пока данные уже не окажутся в публичном доступе. И дело не в злом умысле, а в … Читать далее
«Многие думают, что задача защитить персональные данные ложится на плечи айтишника. Но когда регулятор стучится в дверь, одних технических аргументов недостаточно. Вам придётся доказывать свою правоту языком, который понимают юристы, — языком документов. Расскажу, как это сделать.» Кто виноват? Главный вопрос регулятора и как на него ответить Любое расследование начинается с вопроса: кто является оператором … Читать далее
«Корпоративные системы ИИ, это не просто инструмент, это новый канал утечек. Когда сотрудники используют личные почты для доступа к GenAI, они не нарушают правила, они создают слепую зону для ИБ. Риск не в том, что кто-то украдёт пароль, а в том, что данные компании становятся частью обучающей выборки стороннего сервиса, и это уже не исправить.» … Читать далее
«Изучать утечки по абстрактным примерам бесполезно. Настоящее понимание приходит, когда видишь конкретный инцидент, его цепочку событий и последствия. Вот один из таких случаев.» Что произошло и почему это важно Рассматриваемый инцидент случился в небольшой, но технологичной компании, для которой внутренний портал на 1С-Битрикс был центром работы: задачи, документооборот, кадровые вопросы. Однажды в сети появилась часть … Читать далее
“Узнать, не продаётся ли ваш пароль на чёрном рынке,, это только начало. Настоящие утечки, это когда сливаются не хеши паролей, а целые базы данных сотрудников, внутренняя переписка и истории болезни. В этом смысле проверять ‘Have I Been Pwned’ — как искать потерянные ключи под фонарём: там светло, но это не там, где реальная угроза.” Что … Читать далее
«За пределами хакерских атак лежит другая угроза — та, где утечка начинается не со взлома сервера, а с простого предложения. Сотрудник, который передаёт данные по своей воле, обходит все системы защиты, потому что изначально он не считается угрозой. Это меняет всю парадигму информационной безопасности.» Почему добровольная передача данных обходит любую защиту Когда говорят об утечке … Читать далее
Многие считают ущерб от утечки суммой штрафов по 152-ФЗ. Реальная стоимость для бизнеса оказывается не в финансовых выплатах регулятору, а в параличе операционных процессов: внутренняя расследовательская работа в 10 раз дороже внешних санкций, а стоимость киберстраховки после инцидента вырастает до бесконечности — тебе просто откажут в покрытии. Вместо единой формулы ущерба есть несколько контуров оценки: … Читать далее
«Декларировать соответствие требованиям 152-ФЗ — не то же самое, что их реально выполнять. Когда приходит штраф на 500 миллионов, эта разница становится материальной.» Что такое «утечка» для ФСТЭК, Роскомнадзора и суда? Понятие «утечка» в законодательстве чётко не закреплено. На практике под ним понимается любое неправомерное или случайное распространение персональных данных (ПДн), к которому получили доступ … Читать далее