На основании кражи данных беспрецедентного масштаба, о которой стало известно на прошлой неделе, можно сделать несколько неприятных наблюдений. Надеюсь, этот случай станет полезным уроком для всех, кто имеет отношение к обработке персональных данных.

Один урок – это сообщение о случившемся. Мне кажется, что компания Allium UPI, а также расследующая кражу данных прокуратура забыли одну сторону - владельцев данных. Похищение данных началось в середине января, владелец базы данных узнал об этом почти месяц спустя, тогда и сообщил в полицию, а общественности стало известно только в начале апреля.

Конечно, существуют важные причины для задержки раскрытия информации. Вероятно, похитители данных предъявили предприятию Маргуса Линнамяэ финансовое требование, после выполнения которого обещалось, что данные будут возвращены. Пока такая возможность висела в воздухе, с точки зрения компании было неразумно обнародовать этот случай.

Когда на прошлой неделе об утечке данных стало известно общественности, журналистам посоветовали сохранить некоторую важную информацию при себе и не разглашать ее. На мой взгляд, в случае такой кражи данных информация должна быть максимально открытой, чтобы являющиеся владельцами данных люди получили максимально точную информацию о том, какие данные могли быть похищены и какие риски с этим связаны.

Аргумент, что обнародование информации о краже данных могло дать похитителям идеи о том, как использовать эти данные для вымогательства, или что люди могут запаниковать, не является убедительным. Скорее стоит предполагать, что у воров идей хватает, и людей необходимо как можно скорее предупреждать об опасности.

Еще один урок для всех предпринимателей – будьте готовы к подобным утечкам. Конечно, важно уделять внимание профилактике, т.е. следить за тем, чтобы подобных случаев воровства не возникало. Но даже защита, установленная с использованием лучших знаний, не гарантирует, что ее невозможно взломать.

Поэтому важно разработать план взаимодействия и кодекс поведения на случай кражи данных ваших клиентов или другой критически важной для бизнеса информации. Также можно определить политику компании в отношении обещания хакеров вернуть украденных данные за деньги.

Третий урок — как работать с собираемыми данными. Например, теперь возникает закономерный вопрос, почему данные клиентов аптечной сети Apothekа и других компаний принадлежали или использовались такой компанией, как Allium UPI? Почему собранные данные хранились так долго и был ли собран минимальный объем данных, необходимый для предоставления услуги? 

Четвертый урок касается защиты данных, поскольку утечка показывает, что фирма Allium UPI не обеспечила защиту данных. Я слышал, что этот инцидент образно сравнивают с ограблением банка, когда сотрудники банка оставили чемодан с деньгами за дверью на улице.

Очень важно, чтобы надзорный орган или инспекция по защите данных поделились информацией о том, как такая утечка стала возможной, что не сделала компания Allium UPI или какая инвестиция бы потребовалось, чтобы исключить такой случай. Предыстория утечки данных клиентов и бездействия компании не могут быть коммерческой тайной.

Похищенные данные невозможно собрать, как картошку, выпавшая из корзины. Однако для того, чтобы в будущем подобных утечек данных было меньше, надо открыто говорить о том, что произошло, ведь киберпреступники уже ищут очередную эстонскую компанию, равнодушно относящуюся к кибербезопасности.

Как сообщал ранее rus.err.ee, из системы клиентских карт, администрируемой компанией Allium UPI, которая оказывает данную услугу для Apotheka, Apotheka Beauty и Pet City, были украдены данные клиентов. Сообщение о несанкционированном проникновении в систему поступило в правоохранительные органы в феврале.

Установлено, что из базы данных Allium UPI были загружены личные коды около 700 000 владельцев клиентских карт Apotheka, Apotheka Beauty и PetCity, более 400 000 адресов электронной почты, около 60 000 домашних адресов и около 30 000 телефонных номеров.

Кроме того, данные позволяют установить, какие безрецептурные лекарства и прочие аптечные товары были куплены в период с 2014 по 2020 год. В общей сложности утечка касается данных о 43 млн покупок. Утечки данных о рецептурных лекарствах и паролях не было.