В 2023 году ритейл оказался среди трех ведущих отраслей по количеству случаев утечки персональных данных, с увеличением доли инцидентов до 74% на мировом уровне. В результате кибератак, компании сталкивались с нарушениями в своей деятельности (30%) и финансовыми потерями (7%). Основной интерес злоумышленников вызывали персональные данные клиентов, составляющие 46% всех утечек, а также коммерческая информация, учетные данные и данные о платежах.

Среди причин таких массовых утечек эксперты по безопасности выделяют устаревшие базы данных и развитие теневого рынка, привлекающего новых участников. Хакеры используют различные методы для атак, включая вредоносное ПО (58%), эксплуатацию уязвимостей (42%) и социальную инженерию (39%). Основными целями являются системы управления контентом интернет-магазинов, откуда похищают платежные данные и проникают в корпоративную инфраструктуру, нанося ущерб доверию клиентов и репутации компаний.

Однако еще одним фактором, напрямую влияющим на такое количество утечек, является слабо выстроенные процессы защиты данных внутри компаний: часто компании сами не знают какие данные они обрабатывают, собирают избыточные данные, не соблюдают сроки хранения данных и т.д. И если на развитие теневого рынка (точнее, на сдерживание такого развития) бизнес самостоятельно повлиять не в силах, то инвестировать в безопасность обработки данных внутри своей компании не только может, но и должен, так как такие инвестиции приносят выгоду в виде роста доверия со стороны клиентов и, как следствие, повышения лояльности к компании в целом.

Потребность бизнеса в разработке и реализации эффективных процессов защиты личной информации клиентов возрастает также в связи с акцентированным вниманием со стороны государственных органов, в частности РКН, к вопросам конфиденциальности данных в ритейле. С учетом стремления РКН к обеспечению безопасности данных, ритейлеры столкнулись с необходимостью адаптации своих систем защиты к ужесточающимся нормам законодательства: многомиллионным штрафам за утечки (до 500 млн согласно готовящемуся законопроекту) и блокировке сайтов.

Отдельно стоит проговорить важность адекватной реакции компании, у которой украли данные клиентов: в таком случае ей необходимо провести тщательную проверку уязвимостей, установить и оценить ущерб, грамотно уведомить РКН и финансовые учреждения о возможной утечке банковских данных, а также предупредить своих клиентов о необходимости смены паролей. Такие меры позволят компании не только «сохранить лицо» перед клиента, но и значительно снизить (а иногда и избежать вовсе) штрафы от РКН.

Утечки данных – часть новой реальности. Ни один специалист не предложит бизнесу «волшебную таблетку» от такого риска. Однако провести аудит процессов обработки данных, составить актуальный реестр таких процессов, оформить все необходимые документы (в том числе те, которые размещаются на сайте), обучить персонал работе с данными – это та база, которая обеспечит любой компании высокий уровень надежности и устойчивости в темном мире кибератак.

Но построить крепкий фундамент, не обладая специальными знаниями – невозможно (даже если в компании работает штатный юрист – его знаний в такой специфической отрасли может оказаться недостаточно). Наши специалисты прошли профильное обучение в сфере защиты персональных данных и обладают обширным опытом, в том числе - взаимодействия с РКН при расследовании утечек данных. Вы можете оставить заявку на встречу, в ходе которой обсудите с юристами запрос бизнеса и выберете оптимальный конкретно для вашей компании план работы (от базового до продвинутого).