28 января 2020, 09:30
Интервью

Наталья Касперская: утечки данных все чаще используют, чтобы навредить репутации компаний

Наталья Касперская. Пресс-служба InfoWatch
Наталья Касперская
Президент группы компаний InfoWatch — о том, как и почему ситуация с утечками данных в России отличается от мировой

Утечки данных в 2019 году неоднократно становились крайне резонансными информационными поводами для россиян. По данным группы компаний InfoWatch, за прошлый год число утечек в России увеличилось более чем на 40%, в то время как в мире подобных случаев стало больше примерно на 10%. Количество скомпрометированных записей персональных данных и платежной информации в нашей стране выросло примерно в шесть раз — до 170 млн, тогда как в мире этот показатель увеличился в два раза — до 14 млрд записей. В интервью ТАСС президент группы компаний InfoWatch, руководитель рабочей группы по информационной безопасности в рамках нацпроекта "Цифровая экономика" Наталья Касперская рассказала, почему происходят такие инциденты, какие ошибки допускают компании при выстраивании систем информационной безопасности и как с этим бороться.

— Наталья Ивановна, в прошлом году мы постоянно сталкивались с новостями об утечках данных из разных компаний. Утечек в мире и России стало больше или просто о них начали говорить с высокой трибуны, привлекая к этой теме больше внимания СМИ и общественности?

— Верно и то и другое. И говорят об утечках больше, и их физически становится больше. Основные каналы утечек — цифровые. Сейчас информация во всем мире становится цифровой, появляется все больше хранилищ цифровых данных. При этом оцифровка данных порождает новые угрозы — в защите корпораций возникают новые "дыры", злоумышленники совершенствуют методы и инструменты, появляются дополнительные каналы утечки конфиденциальной информации (мгновенные голосовые и видеосообщения). Мы ведем статистику утечек с 2004 года и каждый год фиксируем рост их числа.

Важно, что постоянно растет и объем утечек. Подавляющее число утечек — это базы данных, состоящие из записей о конкретных людях (пользователях, клиентах, сотрудниках). Если в начале века воровались или терялись сотни или тысячи записей, то в последние годы было много утечек, где речь шла уже о миллионах записей, было даже несколько миллиардных утечек. Так, осенью 2019 года с незащищенных серверов облачного хранилища утекли персональные данные пользователей Facebook, Twitter, LinkedIn и GitHub. Была скомпрометирована информация 1,2 млрд пользователей этих платформ. Слово "скомпрометирована" означает, что личная информация пользователей стала известна неопределенному кругу лиц.

В России тоже есть проблемы. Только за второе полугодие прошлого года произошел ряд крупных утечек из РЖД, Сбербанка, Альфа-банка, "АльфаСтрахования". Самой масштабной в отечественном банковском секторе стала утечка персональных данных клиентов трех российских банков: ОТП-банка, Альфа-банка и ХКФ-банка (ООО "Хоум Кредит энд Финанс Банк"), данных, которые некий злоумышленник бережно собрал в одну базу и выложил в публичный доступ. По данным СМИ, суммарно были затронуты интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспортные данные и места работы попали в эту базу. После этого Генпрокуратура совместно с Роскомнадзором в ходе проверки не выявили утечек персональных данных клиентов трех крупных банков в России. Ведомства отметили, что указанная публикация содержала базу данных, которая по содержанию сильно отличалась от тех баз данных, которые формировали банки. При этом в отдельных случаях компании отрицают факты нарушений, хотя, по информации аналитиков, данные их клиентов "гуляли" по Сети.

— С чем связан такой сильный рост утечек именно в России?

— Хочу отметить, что отчет аналитиков InfoWatch показывает не все утечки мира, а только те, которые стали публичными. Получается, что мы имеем дело не с ростом самих утечек, а с ростом сообщений об утечках. Увеличению количества сообщений об утечках в России по сравнению с остальным миром способствует сразу несколько причин.

Во-первых, в США и других странах сложилась довольно жесткая практика наказания за утечки данных. Например, в июле Федеральная комиссия по торговле (ФКТ) США оштрафовала американскую компанию Facebook на $5 млрд в рамках расследования в связи с передачей корпорацией личных данных пользователей сторонней компании для использования в маркетинговых целях. У нас же пока наказаний крайне мало. Ситуация начала меняться совсем недавно.

Так, в июне 2019 года Госдума рассмотрела инициативу по ужесточению контроля над хранением информации в государственных системах. Возможно, из-за отсутствия наказаний наши компании пока не очень боятся сообщать об утечках. Кроме того, думаю, что иностранные компании просто скрывают информацию об утечке либо договариваются со злоумышленником, так как проще заплатить небольшую сумму шантажисту, чем платить гигантские штрафы регулятору. Вторая возможная причина роста утечек в России — ускоренные темпы цифровизации страны. Внедрение правил безопасности просто не успевает за скоростью цифровизации данных, не хватает квалификации, кадров. При этом вполне возможно, что пока у нас не хватает кадров, опыта, наработанных методик защиты информации, вводить такие же драконовские штрафы, как на Западе, неправильно.

И в-третьих, резкий рост числа утечек в России в 2019 году связан со слабой защищенностью сетевых облачных хранилищ, при том что в стране идет мощный процесс переноса данных в облачные хранилища. Администраторы подключенных к Сети баз забывают защитить их паролем или ставят недостаточно сильный пароль, в результате хранилища становятся находками для хакеров. Заметный пример — утечка из хранилища оператора фискальных данных онлайн-касс "Дримкас", когда в открытом доступе оказалось в общей сложности 90 млн записей. Вообще утечек из "облаков" в стране стало больше в 20 раз (зафиксировано порядка 60 инцидентов с утечкой данных из "облаков" — прим. ТАСС).

— Какие еще особенности утечек данных есть в России?

— Интересная картина складывается при анализе причин утечек. За 2019 год в мире выросла доля умышленных нарушений — согласно собранной нашими аналитиками статистике, примерно две трети утечек были преднамеренными. При этом большинство утечек в 2019 году, более 50%, произошло по вине внешних злоумышленников или так называемых хакеров. В России иная история — доля утечек по вине хакеров хотя и выросла, но по-прежнему составляет менее 20%, основным типом нарушителей выступают рядовые сотрудники (порядка 70% — прим. ТАСС).

При этом определить тип виновника утечки становится все сложнее. Как правило, осознанные утечки включают и внешних деятелей, и внутренних помощников. Например, кража из базы данных — это точно не дело одного человека, потому что "вытащить" большое хранилище, скажем, на флешку довольно сложно. Нужно незаметно делать периодические выгрузки из базы данных, а они могут быть заметны — системным администраторам и безопасникам. Вариантов несколько: либо кто-то должен закрывать глаза на сделанные выгрузки, либо должен быть сговор внутреннего сотрудника и внешнего злоумышленника. Наиболее распространен вариант сговора — в России почти 70% утечек происходит при участии инсайдеров, как, например, в случае со Сбербанком, где был и внешний сообщник, который публиковал данные для продажи на хакерских сайтах, и внутренний, который их похищал. В нашей статистике мы сейчас относим утечки только к одной категории — те, что произошли "по вине внутреннего нарушителя" или "по вине внешнего". В 2020 году мы планируем провести уточнение методики по этому параметру.

— Почему картина утечек в России так серьезно отличается от мировой?

— Глядя на статистику утечек за прошедший год, можно подумать, что Россия — особая страна, коль скоро ее картина утечек столь резко отличается от мировой. Но в реальности все намного проще. Основная доля мировых утечек обнародуется в англосаксонских странах. В США, Великобритании, Канаде есть специальные законы, которые обязывают компании в случае утечки публиковать факт свершившейся утечки. Утечка — само по себе неприятное событие, а необходимость публикации его усугубляет. Понятно, что никто не хочет во всеуслышание заявлять: "Мы не уделяли внимание информационной безопасности", поэтому допустившие утечку компании придумывают внешние угрозы в качестве причины утечки. Вследствие этого внешние злоумышленники занимают в западных публикациях большую долю, чем у нас. На российские компании не давит необходимость публикации, поэтому статистика публикаций российских утечек серьезно отличается от мировой.

— Давайте поговорим о банковской сфере. Большинство утечек в РФ, о которых писали СМИ, касалось именно банков. Это самый интересный сектор для злоумышленников? С чем это связано?

— Рост числа утечек в банках, финансовых и страховых компаниях за 2019 год в мире — примерно 5%, тогда как в России опубликованных утечек в этой сфере стало больше почти на 60%. У меня по этому поводу два предположения: свою роль играют усилия регулятора, который обращает пристальное внимание на банковскую сферу, и скорость цифровизации. А цифровизация, как я говорила выше, к сожалению, повышает риск утечек данных.

И в России, и в мире из банков в основном утекают персональные данные. В РФ примерно втрое выше уровень сообщений о мошеннических действиях, когда персональные данные клиентов банков используются для оформления кредитов на других людей.

— Какие решения есть у банков для предотвращения таких проблем? Если у крупных банков есть дорогие комплексные решения и средства на закупку оборудования, то какой бы совет вы могли дать средним и маленьким банкам, которым не по карману дорогие, сложные и хорошо защищенные финтех-решения "гигантов"?

— Чтобы минимизировать риски утечек конфиденциальных данных, банкам нужно сделать несколько шагов. Первое — максимально четко сформулировать регламенты по работе с информацией для сотрудников: что можно делать, а что — нет, чтобы избежать непреднамеренных утечек данных. Второе — максимально полно использовать традиционные средства информационной безопасности: инструменты контроля данных, системы шифрования, межсетевые экраны, антивирусы. Третье — системно планировать и последовательно выстраивать специализированную защиту, а именно — системы защиты от утечек (DLP) и системы анализа бизнес-процессов, позволяющие вычислять сговоры, мошенничество и пр. Четвертое — оказывать услуги клиентам (например, вести удаленное банковское обслуживание B2B-клиентов) в защищенной среде.

Вы правы в том, что защищенные сервисы, помогающие банкам, например, определить степень благонадежности потенциальных клиентов или обнаружить аномалии в бизнес-процессах, указывающие на превышение полномочий сотрудниками, — дорогие решения, которые еще несколько лет назад разрабатывались внутри банков-"гигантов" и не были доступны на рынке. Но сейчас уже начали появляться решения для небольших банков. В конце 2017 года мы в InfoWatch тоже создали специальное подразделение и начали заниматься разработкой таких технологий.

К настоящему моменту мы разработали "аналитическую машину" для анализа юридических лиц, которая по "большим данным" из разных открытых источников и — по разрешению клиента — из приватных бухгалтерских систем автоматически создает финансово-цифровой профиль каждого потенциального клиента, определяя степень его благонадежности. На основе такого профиля банк может принять объективное решение о предоставлении ему финансовых (и сопутствующих нефинансовых) услуг практически в режиме реального времени (гарантия, кредит, факторинг — прим. ТАСС). Мы назвали эту "машину" InfoBank и в 2020 году планируем начать ее продвижение как отдельного продукта. Надеюсь, банковский сектор оценит его положительно.

— Возвращаясь к истории с утечками данных из банков: это действительно опасно или все-таки здесь больше шума, который провоцируют громкие заголовки?

— Утечки все чаще становятся удобным предлогом для информационных атак на крупные банки и их топ-менеджмент. Например, в Сбербанке утечка была не настолько большой, чтобы так кричать об этом. Но бренд Сбербанка велик, и недоброжелателей у него хватает, поэтому этот небольшой инцидент был использован для информационной атаки. Я также не исключаю, что утечка была произведена специально — с целью информационной атаки на крупнейший банк страны. Это плохо, потому что появился наглядный пример того, как можно раздувать истерию, генерировать фиктивные утечки и наносить реальные удары по репутации крупных корпораций. Поэтому, как я говорила выше, корпорации должны уделять серьезнейшее внимание защите данных. Это должно стать одним из их приоритетов. Потому что на текущий момент, к сожалению, уровень защиты данных даже в большинстве крупных компаний оставляет желать лучшего, так что реально украсть данные или сфабриковать утечку довольно легко.

— А какие-то другие отрасли экономики уже бьют тревогу? Например, в июне 2019 года The New York Times сообщала, что спецслужбы США в течение последнего года стали значительно активнее, чем ранее, пытаться внедрить вредоносное программное обеспечение в энергосистему России. Насколько мы готовы к угрозам, которые возникают на объектах промышленности?

— Кибератаки — другая область, они далеко не всегда нацелены на кражу информации. Вообще, когда мы говорим про утечки информации, то в первую очередь подразумеваем банки, телеком-операторов, ретейл и другие отрасли, где у крупных компаний есть большое количество клиентов, а значит, огромные массивы персональных данных.

Когда мы говорим про промышленность и энергетику, там другая история. В этих компаниях мало персональных данных, но много производственных секретов, а главное — у промышленных и энергетических компаний есть объекты критической инфраструктуры и автоматизированные операции, которые необходимо защищать. Это передовые отрасли, которые сейчас массово вовлекаются в "интернет вещей". С одной стороны, "индустриализация 4.0" несет в себе плюсы — ускорение получения информации, оперативный мониторинг ситуации на разных объектах, быстрое обновление данных. С другой стороны, она несет все те же риски, которые несет ускоренная цифровизация: вирусы, троянские программы, атаки, взломы и утечки данных. Для промышленных предприятий эти угрозы — новый феномен, с которым они раньше практически не сталкивались.

— С какими проблемами они имеют дело?

— Ключевая проблема в том, что промышленностью в РФ по-прежнему занимаются технологи — люди, далекие от IT и информационной безопасности. Соответственно, они слабо ориентируются в современных процессах информатизации и не видят многих угроз. У промышленных компаний традиционно есть очень жесткие критерии обеспечения физической безопасности, но когда в промышленность проникает интернет, то уровень защищенности сразу падает на несколько порядков. Это происходит потому, что уровень защищенности любой системы равен защищенности ее самого слабого звена. Если привычный для инженеров уровень надежности физических систем (например, электростанций) составляет 99,9999%, то число отказов компьютерных систем на пару порядков выше, что инженерам трудно представить. Борьба с этим разрывом в надежности между физическими и киберфизическими системами требует специальных средств безопасности.

Три года назад мы начали развивать направление, связанное с безопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). В 2019 году команда наших специалистов выпустила новый комплекс программных и технических решений — InfoWatch ARMA, предназначенный для создания систем защиты промышленного интернета в разных областях. Наиболее востребованы такие решения в энергетике, так как эта отрасль лучше других чувствует существующие сегодня риски и угрозы. Но пока это — совершенно новый рынок, где есть всего два-три игрока, и их решениям еще предстоит пройти серьезную апробацию на предприятиях.

— Как вы оцениваете российский рынок систем безопасности для промышленных объектов?

— Компании только начинают присматриваться к таким решениям. Но у меня есть ощущение, что это очень перспективный и большой рынок. Объяснение простое: всем, кто внедряет "интернет вещей", защита необходима из-за растущего числа угроз, которые он несет. Сейчас у нас 99% промышленных систем управления импортные, быстро заменить их на отечественные невозможно, что создает серьезную потребность в наложенных средствах безопасности.

Беседовала Ольга Шнайдер