Утечки конфиденциальной информации: почему их все больше и как с ними бороться
Наталья Касперская — о том, как происходят утечки данных в России и мире
За первое полугодие 2019 года в мире число утечек конфиденциальных данных выросло на 22% по сравнению с аналогичным периодом 2018 года. В России — на 61%. При этом аналитики, работающие в сфере информационной безопасности и собирающие эти данные, изучают только публичные случаи таких происшествий, которые нашли отражение в СМИ. По их оценкам, в публичное поле попадает не более 1% происходящих в мире утечек.
Но даже по этому проценту, по мнению Натальи Касперской, можно делать далеко идущие выводы — о сущности утечек, их динамике, каналах, о том, как меняются их характер и частота.
Слишком быстрая цифровизация — как причина роста утечек
Мы собираем информацию о таких происшествиях с 2004 года. И все 15 лет видим, что их количество только растет. Причина роста — слишком быстрая цифровизация. Государственные услуги, финансы, медицина, добыча и переработка полезных ископаемых — все это быстро становится цифровым и вместе с новыми возможностями порождает новые угрозы, новые "дыры" в защите корпораций. После этого происходят масштабные "сливы" оцифрованной информации.
Рост их числа хорошо ощутим, если посмотреть на количество утекших записей пользовательских данных (это персональные данные и записи платежной информации). За 2018 год, по данным нашего аналитического центра, в мире утекло 7,28 млрд записей. А за первое полугодие 2019-го уже 8,74 млрд. То есть за половину нынешнего года мы перекрыли показатель всего предыдущего. В процентных показателях это значит, что за первую половину 2019 года утекло на 266% больше записей, чем за первую половину 2018-го. Таким образом, растет не только количество утечек, но и сами они становятся масштабнее, чем раньше.
Ситуация в России
В России в последние три-четыре года динамика таких происшествий выше, чем была раньше. Думаю, это связано с повышенным вниманием СМИ и общества к этой теме. Важность защиты информации становится все более очевидной для различного рода организаций, а не только для банков и спецслужб.
Но вообще, в разных странах разная корреляция предполагаемой картины утечек с набором инцидентов, попадающим на страницы прессы. Например, в англосаксонских странах существуют законы, согласно которым компании обязаны оперативно уведомлять органы о допущенных утечках. Именно поэтому США занимают в мировом распределении утечек львиную долю. Российское законодательство не требует раскрытия этих данных, так что у нас в публичное поле попадает намного меньший процент таких происшествий, чем в США.
По нашему опыту, "призма прессы" может преломлять картину утечек по-разному. Например, находясь в России, мы будем получать более полную картину сообщений о них на русском языке по сравнению с сообщениями из немецких или китайских источников. В результате Россия в отчетах отечественных аналитиков будет стабильно занимать второе место. Если бы мы работали в Германии и внимательно изучали немецкие источники на предмет "слива" информации, то на втором месте вполне могла быть Германия. Таким образом, статистика регионального распределения несколько искажена. Но зато в каждом отдельном регионе мира картина будет довольно точной для данного региона.
Мы делали детальные отчеты для разных регионов мира и выяснили, что динамика утечек конфиденциальной информации в разных странах отличается не слишком сильно. Потому что ключевые бизнес-процессы в корпоративном мире похожи (производство, маркетинг, продажи, работа с клиентами), набор основных угроз информационной безопасности тоже различается не очень существенно, а возможности систем защиты информации в разных регионах мира, по сути, почти на одном уровне.
Преднамеренно или нет
По нашим данным, виновниками 39,3% утечек в мире в 2018 году стали внешние злоумышленники. В первой половине 2019 года число случаев компрометации данных по их вине выросло уже до 46,3%. В этом смысле картина в России резко отличается. Так, за прошлый год в нашей стране по вине внешних злоумышленников произошло всего около 10% утечек, а в первом полугодии 2019 года эта цифра выросла до 14%. Получается, что в России по вине хакеров и взломщиков компрометируется намного меньше чувствительных данных, чем в мире. Это означает, что большая часть таких происшествий в нашей стране идет через внутренних сотрудников.
При этом аналитика, отображающая типы намерений злоумышленников, несет в себе определенное лукавство. Потому что каждая утечка там относится лишь к одной категории — "внутренней" или "внешней". На практике же все сложнее: часто внешний злоумышленник, которому нужна конфиденциальная информация, вступает в сговор с внутренним "сотрудником-мерзавцем", и они вместе ее воруют.
Однако в аналитических отчетах эта утечка, как правило, попадает лишь в одну категорию — "внешнюю" или "внутреннюю". В зависимости от того, куда ее отнесет конкретный аналитик или конкретное СМИ. Поскольку на Западе (в США и Великобритании) законы предписывают публиковать факт утечки, то компании, потерявшие информацию, всячески стремятся изобразить это как акт внешних "злых хакеров". В России такого требования нет, поэтому и статистика более релевантна.
Защита от утечек
От непреднамеренных утечек организации хорошо защищают DLP-системы (Data Leakage Prevention — с англ. "предотвращение утечки данных"). Например, от действий человека, который, не задумываясь, отправляет куда-то конфиденциальные документы или печатает их на общем принтере. Система перехватывает такие документы и просто не дает их отправить или напечатать. Но если речь идет о преднамеренной утечке, тут одного средства DLP недостаточно. Потому что злоумышленник, прежде чем совершить кражу данных, внимательно изучает систему защиты. И в итоге хорошо понимает не только то, как она работает, но и как ее обойти. Например, использует канал, который многим даже в голову бы не пришел, — копирует чувствительную информацию и оставляет ее в буфере обмена на рабочем ноутбуке, а дома вытаскивает.
В принципе, DLP отслеживает "копи-паст", но заблокировать прерванную на работе и возобновленную дома транзакцию, конечно, не может. Данный сценарий мы недавно включили в свою систему. Но в целом это всегда непростая борьба щита и меча. Ведь в следующий раз злоумышленники придумают другой способ атаки, который система не знает. И нам опять придется "докручивать" систему защиты. По этой причине вместе с системами DLP надо обязательно использовать организационные меры, которые мы рекомендуем всем пользователям.
Борьба с преднамеренными утечками так сложна еще и потому, что конфиденциальную информацию в основном воруют люди, легально имеющие к ней доступ. Те, кто может на законных основаниях посмотреть, как устроена система, взять информацию и унести ее домой. Поэтому "безопасникам", планирующим в очередной раз улучшать свои DLP-решения, нужно обратить особое внимание именно на эту категорию сотрудников.
Последние громкие случаи
И в России, и в мире заметнее всего утечки данных платежных карт и персональных данных клиентов крупных банков. Так, в последних числах октября на специализированном форуме обнаружились выставленные на продажу данные 3,5 тыс. клиентов "Альфа-Банка". Мошенники продавали ФИО, номера телефонов, паспортные данные, адреса регистрации клиентов по месту жительства, суммы кредитных лимитов или оформленных страховок, предметы страхования и даты договоров.
Также в открытый доступ попали данные держателей кредитных карт Сбербанка. Итогом оперативно проведенного расследования в Сбербанке стало задержание сотрудника — руководителя одного из подразделений.
Если говорить об утечках в промышленном секторе, то в июле 2019 года в открытом доступе оказался сервер компании Honda Motor с миллионами записей, связанных с внутренней сетью и компьютерами сотрудников. В найденном хранилище оказалось около 134 млн строк компьютерных данных общим объемом порядка 40 ГБ (имена хостов, MAC-адреса, внутренние IP-адреса, сведения о версиях операционных систем, установленных обновлениях и статусах систем защиты конечных точек). Если бы база данных попала в руки злоумышленников, это могло бы закончиться взломом сети Honda.
Кроме того, все чаще обнаруживаются случаи происшествий, связанные с работой "умных" устройств. Так, летом этого года в интернете нашли незащищенную базу китайского IoT-провайдера Orvibo. Было скомпрометировано порядка 2 млрд записей из журналов устройств категории "умный дом". Причиной утечки стал неправильно настроенный облачный сервер Elasticsearch, доступный в Сети без пароля. В хранилище находились записи логов IoT-устройств, включая такие данные, как имена пользователей, адреса электронной почты, пользовательские пароли, коды сброса настроек, сведения геолокации, IP-адреса, семейные ID, записи "умных" камер.
Репутационные потери
По моему мнению, громкие банковские утечки последних лет — это в основном атаки, нацеленные на репутацию банков. Сначала в том или ином банке происходит крупная утечка, потом публикуются новости об утекших данных держателей кредитных карт, история обрастает подробностями, раскручивается в медийном пространстве, вкладчики читают, волнуются, идут массово закрывать счета — и все это в нервной обстановке, в очередях, при нехватке операторов в отделениях.
Потом бывшие клиенты банка возмущенно пишут об "этом безобразии" в соцсетях, что вызывает новый приток нервничающих вкладчиков в отделения. И новый виток кризиса в банке — ведь там идет массовый отток клиентов. В конечном итоге все это плохо сказывается и на работе, и на репутации кредитных организаций.
К сожалению, количество таких атак, направленных на репутацию банков, в ближайшие годы будет только расти. Их цели могут быть разными — "запятнать" руководство банка, добиться оттока клиентов у более удачливого конкурента, отомстить работодателю. Но вне зависимости от цели такие атаки всегда больно бьют по репутации компании.
Противостоять этому можно. Прежде всего, грамотно работая в информационном пространстве — открыто и честно рассказывая СМИ о том, что произошло, подробно разбирая кейс, оперативно расследуя преступление и наказывая виновных, желательно публично. Нельзя "посыпать голову пеплом", не надо жестко отрицать утечку, если она уже произошла, — такие меры будут производить обратный эффект.
Способы борьбы
Говоря о том, как нужно бороться с утечками, нужно, во-первых, сказать, что современным организациям все же не нужно пренебрегать традиционными инструментами, обеспечивающими безопасность. Без антивируса можно точно подвергнуться заражению. А без системы защиты от утечек — гарантированно потерять конфиденциальную информацию, причем не раз. Поэтому несмотря на то, что ни антивирус, ни DLP не дают 100-процентной гарантии, совсем без них обойтись нельзя.
Во-вторых, организациям нужно обучать сотрудников элементарной цифровой гигиене.
В-третьих, важно правильно проводить организационные мероприятия по недопущению утечек. В число этих мероприятий входит: ограничение доступа посторонних лиц в помещение, подписание сотрудниками соответствующих письменных обязательств, разграничение доступа к информации и так далее. Это целый комплекс действий, без которого никакая автоматическая система не будет эффективной.