Всего один пиксель может стоить вашему бизнесу миллионов

Одна из крупнейших европейских клиник едва избежала многомиллионного штрафа из-за одного маленького пикселя и невнимательности IT-специалистов.

Несколько лет назад крупная международная сеть медицинских клиник проводила рекламную кампанию и для отслеживания ее эффективности установила на сайт специальный трекинговый пиксель. Это довольно распространенная практика среди маркетологов и рекламщиков. Пиксель фиксирует активность потенциальных клиентов на сайте и передает данные специалистам по продвижению для анализа и разработки новых стратегий.

После завершения кампании о пикселе забыли и не удалили его. А он продолжал незаметно перехватывать личную информацию посетителей сайта: имена, номера телефонов, даже конфиденциальные данные о состоянии здоровья из записей на прием к врачам.

Это было грубейшим нарушением GDPR (Общий регламент по защите данных — постановление Европейского Союза) и других норм конфиденциальности. Согласно европейским законам, организации грозил штраф до 4% годовой выручки. А по законам некоторых американских штатов, например Калифорнии, до $7500 за каждую утекшую медицинскую карту

Учитывая тот факт, что организация очень крупная, речь могла идти о десятках миллионов долларов. К тому же репутация клиники пострадала бы непоправимо.

Благодаря случайности, финансовой катастрофы удалось избежать. Компания Reflectiz, разработчик решений для защиты веб-ресурсов, обнаружил ошибку во время плановой проверки сайта клиники.

Инструмент Reflectiz, ScannAR сканирует веб-ресурсы на предмет аномалий. В этом случае он сработал как надо — распознал угрозу и отправил оповещение администраторам. Пиксель вовремя удалили.

Недавно специалисты Reflectiz выпустили исследование с описанием проблемы. Одно из основных явлений, которые затрагивает работа — это «дрейф конфигурации».

Дрейф конфигурации возникает, когда текущее состояние сайта со временем все сильнее отклоняется от изначального. Это происходит по многим причинам: из-за ручных изменений кода, обновлений ПО, человеческого фактора.

Дрейф вносит несоответствия и уязвимости в работу веб-ресурсов. Обеспечивать надежную защиту данных в таких условиях довольно трудно.

Чтобы бороться с этой проблемой, компании внедряют специальные инструменты для мониторинга систем, которые помогают своевременно находить ошибки и отклонения от безопасных настроек.

В исследовании упоминаются еще два важных момента.

Первый — это несоблюдение требований PCI DSS v4.0 (Payment Card Industry Data Security Standard), регулирующих защиту платежных данных на сайтах интернет-магазинов.

Второй — нарушения нормативов HIPAA в сфере здравоохранения, защищающих конфиденциальные медицинские сведения. Здесь еще раз подчеркивается серьезность ошибки сотрудников вышеупомянутой клиники, которые игнорировали проблему целых 4 года.

Ошибки конфигурации влекут за собой не только утечки, но и серьезные финансовые риски для всех компаний из-за несоблюдения отраслевых норм.