2019/04/02 00:15:08

Утечки данных

С развитием информационных систем угрозы, исходящие от сотрудников организаций (инсайдеров), давно стали очень серьезными, а ущерб от их действий исчисляется десятками миллиардов долларов. Постоянно растет поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра.

Содержание

Финансовые потери от утечек

Основная статья: Потери от утечек данных

Финансовые потери от утечки данных наносят существенный урон бизнесу компании, а иногда могут его разрушить. Если преступники не могут получить у компании выкуп, они выставляют данные на продажу. Подробнее в статье:

Утечки в России

Основная статья: Утечки информации в России

Громкие утечки

Ниже представлены данные статистики по утечкам информации. Громкие инциденты утечек информации описываются в статье:

Утечки данных в госсекторе

Основная статья: Утечки данных в госсекторе

Утечки данных в медицинских учреждениях

Основная статья: Утечки данных в медицинских учреждениях

Хроника инцидентов в мире

2019

Каждые два отеля из трех передают персональные данные постояльцев рекламодателям и аналитическим компаниям

В середине апреля 2019 года производитель антивирусов Symantec опубликовал результаты исследования, согласно которому каждые два из трех отелей непреднамеренно передают персональные данные постояльцев сторонним фирмам, в том числе рекламодателям и аналитическим компаниям. здесь.

Утечка 30 млрд записей персональных данных за последние 12 лет

28 января 2019 года аналитический центр InfoWatch подготовил специальный дайджест, посвященный Международному дню защиты персональных данных.

Событие берет начало 26 апреля 2006 года, когда Комитет министров Совета Европы учредил специальную дату в честь подписания 28 января 1981 г. Конвенции «О защите лиц в связи с автоматизированной обработкой данных».

Международный день защиты персональных данных призван обратить внимание общества на такие темы, как защита личной информации, неприкосновенность частной жизни, а также принципы хранения, обработки и передачи ПДн.

За 12 лет, прошедшие с первого дня защиты персональных данных, InfoWatch зарегистрировала 14,3 тыс. утечек конфиденциальной информации из коммерческих компаний и государственных организаций. Более 11 тыс. утечек (78% из всей базы) связаны со случаями компрометации персональных данных: ФИО, адреса, электронная почта, паспортные данные, сведения об образовании, информация о доходах, сведения о состоянии здоровья, политические и религиозные взгляды, национальная принадлежность, биометрические данные.

Несмотря на усилия, которые предпринимают государственные регуляторы, бизнес и общественные организации, остановить лавину утечек в условиях массовой цифровизации пока не удается. Всего с 2007 года на январь 2019 года утекло более 30 млрд записей персональных данных, в том числе более 20 млрд за последние два года.

Даже небольшая утечка данных может оказать серьезное влияние на организацию. Главные негативные последствия – падение курса акций, кризис доверия инвесторов и удар по репутации на рынке. Кроме того, компания может столкнуться с санкциями регуляторов (крупные денежные штрафы, прохождение обязательных аудитов, планы по модернизации инфраструктуры ИБ и т.д.) и коллективными исками со стороны людей, чьи данные ей не удалось уберечь от утечки.

Для самих субъектов персональных данных последствия утечек тоже могут оказаться довольно болезненными. Многое зависит от типа скомпрометированной информации и от ее объема. Например, если кто-то слил недобросовестным рекламодателям электронный адрес человека, то негативным последствием для пользователя, скорее всего, станет только получение спама. В том же случае, если в руках злоумышленников окажется большой спектр личной информации об отдельном субъекте, то велик риск мошенничества. Преступники могут совершать определенные действия от имени человека, чьей информацией они завладели, также вероятны подделка документов и кредитное мошенничество.

2018

Сокращение объема утечек пользовательских данных в 2 раза

2 апреля 2019 года компания InfoWatch сообщила, что по результатам глобального исследования Аналитического центра компании InfoWatch в мире в 2018 году было зарегистрировано 2263 публичных случаев утечки конфиденциальной информации. В 86% инцидентов были скомпрометированы персональные данные (ПДн) и платежная информация — всего около 7,3 млрд записей пользовательских данных против 13,3 млрд записей данных годом ранее. В 2018 году существенно сократился объем данных, скомпрометированных в результате утечек из организаций сферы высоких технологий, финансово-кредитного и страхового сектора, а также предприятий промышленности.

Количество утечек информации и объем скомпрометированных записей данных в мире

По информации компании, наиболее привлекательными для злоумышленников остаются данные из организаций финансово-кредитной и страховой сферы, где около 65% утечек были совершены умышленно. Зафиксирован высокий интерес нарушителей к информации из промышленных и транспортных систем, компаний сфер торговли и HoReCa, а также высокотехнологичного бизнеса — более половины утечек в этих отраслях носили умышленный характер.

Доля умышленных утечек записей данных от общего числа утечек по отраслям, 2018

«Лидерами» по объему утекающих пользовательских данных остаются высокотехнологичные компании, а также предприятия сферы торговли и HoReCa, медицинские и муниципальные учреждения — на них суммарно пришлось 70% годового объема утечек персональной информации в мире.

На компании сферы высоких технологий, как и в 2017 году, пришлось около 30% от мирового объема утечек информации о пользователях. Вместе с тем, средняя мощность инцидентов в высокотехнологичном секторе снизилась более чем в два раза — до 9 млн записей данных на одну утечку в 2018 году.

Сокращение объема утечек информации о пользователях также отмечено в финансово-кредитной и страховой сферах, предприятиях промышленности и транспорта. Объем утечек данных из финансовых и страховых компаний сократился в четыре раза, а средняя мощность утечек в этой сфере снизилась с 840 тыс. до 190 тыс. записей данных. В семь раз сократился объем записей данных, скомпрометированных в результате утечек из промышленных и транспортных предприятий, их мощность составила менее 100 тыс. записей.

Большие массивы данных — более 18% объема утекшей информации, теряли организации сферы торговли и HoReCa, средняя мощность утечек в ритейле составила 430 тыс. записей данных. До 12% и 9% в мировом трафике утечек ПДн и платежной информации выросли доли медицинских и муниципальных учреждений. В среднем каждая утечка из муниципалитетов приводила к компрометации 400 тыс. записей данных, в то время как для медицинской сферы характерна меньшая мощность инцидентов — около 60 тыс. записей.

Отраслевая карта утечек данных, 2018
«
Отраслевую картину утечек определяют два ключевых фактора — это ликвидность и защищенность информации. Там, где ценность данных наиболее очевидна и защите информации уделяется большее внимание, например, в банках, страховых компаниях и госсекторе, объем утечек значительно ниже. Такие структуры защищают корпоративные и пользовательские данные с помощью организационных и технических мер: используют DLP-, SIEM- и другие профильные ИБ-системы, заботятся о повышении уровня цифровой гигиены сотрудников. И если раньше бизнес охотнее инвестировал в защиту своей интеллектуальной собственности, коммерческих секретов и ноу-хау, а к безопасности клиентских данных относился с меньшим вниманием, то с введением огромных штрафов за утечки ПДн эта ситуация меняется.

Сергей Хайрук, аналитик ГК InfoWatch
»

Распределение утечек по типам данных

Наибольший заявленный ущерб для организаций из-за утечки данных в 2018 году составил $534 млн — такую сумму потеряла японская криптобиржа Coincheck в результате компрометации онлайн-кошельков ее клиентов.

Самый крупный штраф за утечку персональной информации был вынесен компании Uber — ее обязали выплатить $148 млн за утечку данных 57 млн своих клиентов и водителей, в том числе 25 млн резидентов США.

Распределение утечек по каналам передачи данных

Неправомерное использование данных пользователей Facebook обернулась санкциями со стороны британских властей в размере £500 тыс, компания также была оштрафована Антимонопольной службой Италии на €10 млн.

С введением регламента GDPR, увеличением штрафов за компрометацию ПДн и появлением судебных решений по делам о краже коммерческой тайны, проблема оценки «стоимости» информации теряет свою актуальность, отметили аналитики InfoWatch.

Распределение случайных и умышленных утечек по каналам передачи данных

В распределении инцидентов по типу данных по-прежнему преобладают ПДн и платежная информация: их доля, как и годом ранее, составляет 86%.

В 2018 году «внешние» утечки оставались более «мощным» типом инцидента по сравнению с внутренними — в среднем на одну «внешнюю» утечку приходилось 5,15 млн скомпрометированных записей данных, утечка по вине внутреннего нарушителя приводила к компрометации 2 млн записей.

«
Результативность хакерских атак упала более чем на треть, в среднем до пяти миллионов записей данных на каждый инцидент, однако говорить о коренном переломе в борьбе с внешними злоумышленниками пока не приходится: общее число таких инцидентов не снизилось, взломы хакерами огромных баз данных по-прежнему случаются регулярно. «Внутренние» утечки кажутся менее разрушительными из-за меньшего объема скомпрометированных записей данных, но инсайдеры, обладая практически неограниченным доступом к внутренним ресурсам организации, могут завладеть наиболее ценной информацией.

Сергей Хайрук, аналитик ГК InfoWatch
»

Инсайдер остается самым распространенным виновником утечек данных в организациях. Доля утечек по вине внутреннего нарушителя в 2018 году возросла на 3 п.п. до 63% от общего количества утечек за год. Каждый второй инцидент произошел по вине рядового специалиста, еще около 10% случаев пришлись на «привилегированных» пользователей (руководители и системные администраторы), подрядчиков и бывших сотрудников компаний.

Виновники утечек данных

29 из 47 мега-утечек 2 в 2018 году были спровоцированы действиями внутреннего нарушителя. За год число «мега-утечек» выросло на 20%.

Самая масштабная утечка информации произошла в Индии, где были скомпрометированы 1,2 млрд записей данных пользователей, включая ПДн и биометрическую информацию, из системы AADHAAR — крупнейшего государственного хранилища идентификационных данных в мире.

Также были зафиксированы крупные утечки информации из коммерческих компаний: разработчика ПО Veeam (440 млн записей), гостиничной сети Marriott (383 млн), маркетинговой фирмы Exactis (340 млн), логистической компании SF Express (300 млн), сервисного стартапа Apollo (200 млн), ИТ-компании VNG (около 163 млн) и приложения Under Armour (150 млн).

Наиболее популярным каналом утечки информации остается сетевой ресурс (72%). По сравнению с 2017 годом на пять процентных пунктов (п.п.) снизилась доля инцидентов, связанных с использованием электронной почты, также на 0,8 п.п. сократилась доля утечек в результате кражи или потери оборудования, на 0,2 п.п. — с помощью мобильных устройств.

«
Распределение утечек по каналам постепенно будет меняться. Появляются новые способы, например, впервые была зафиксирована компрометация данных по вине создателей мобильных приложений, которые получили доступ к данным в системах заказчика. Кроме того, пристальное внимание к вопросам защиты персональных данных ведет к распространению специализированных средств защиты информации и общему повышению уровня кибергигиены. Отдельные типы данных и каналы передачи требуют различных подходов к их защите. Например, то, что отлично работает на сетевом канале, будет практически неэффективно с точки зрения контроля мобильных устройств, мессенджеров. Организациям необходима комплексная защита, как на технологическом уровне, так и с точки зрения построения процессов и регламентов. Если для противодействия "внешним" утечкам в основном требуется техническое отражение атак и своевременные обновления, то борьба с утечками по вине внутренних нарушителей предполагает серьезные усилия в области управления информацией и персоналом, с использованием систем анализа и контроля поведения сотрудников, выявления аномалий в работе информационных систем.

Сергей Хайрук, аналитик ГК InfoWatch
»

В распределении каналов случайных и умышленных утечек данных в 2018 году почти в два раза — до 16% сократилась доля случаев, когда сведения были скомпрометированы из-за случайной отправки электронной почты.

В результате 6,5 тыс. утечек скомпрометировано 5 млрд конфиденциальных записей

20 февраля 2019 года стало известно, что по данным, опубликованным компанией Risk Based Security, в 2018 году произошло более 6500 утечек корпоративных данных, что лишь на 3,2% ниже показателя за 2017 год.

В результате 5 миллиардов конфиденциальных записей попали в публичный доступ. 66% утечек пришлось на организации финансового сектора, технологические компании, ритейлеров и сегмент HoReCa.

«
В современном мире нельзя легкомысленно относиться к защите данных, и результаты исследования Risk Based Security лишний раз это подтверждают. При этом эффективная защита невозможна без мониторинга и полноценной аналитики. В 2018 году только 30% организаций, конфиденциальные данные которых были скомпрометированы, смогли обнаружить проблему своими силами, в то время как остальные 70% узнали о ней из внешних источников постфактум.
Сергей Халяпин, главный инженер представительства Citrix в России и странах СНГ
»

Современные системы автоматической аналитики с использованием технологий ИИ и машинного обучения позволяют не только оперативно обнаружить «прорывы» в периметре безопасности, но также указывают на потенциальные угрозы.

Кроме того, в исследовании отмечено, что 57% скомпрометированных записей содержали данные о паролях пользователей. Чтобы вред от раскрытого пароля был минимальным, компаниям следует обратить внимание на системы с многофакторной аутентификацией, контекстным доступом к сети и поведенческим анализом. В этом случае, даже если киберпреступник получит пароль пользователя и узнает дополнительные данные для МФА, например, путем социальной инженерии, система ограничит его доступ к сети, как только его действия начнут отклоняться от определенного шаблона типичного поведения.

Три четверти утечек из транспортной сферы носят умышленный характер

11 февраля 2019 года аналитический центр компании InfoWatch сообщил основные данные об утечках из предприятий сферы транспорта: компании-перевозчики, аэропорты, вокзалы, морские и речные порты, каршеринговые компании.

Число утечек в данном отраслевом сегменте в 2018 году по сравнению с 2017 годом сократилось на 6%, при этом зарегистрировано на 75% больше скомпрометированных записей персональных данных. С 55% до 76% выросла доля умышленных утечек. В то же время почти втрое увеличилась доля умышленных утечек по вине руководителей и сотрудников: если в 2017 году умышленный характер имели только 18% внутренних утечек, то в 2018 году уже 50%. Существенно изменилась и структура скомпрометированных данных. Отметим, что в 2018 году доля персональных данных выросла с 71 до 79%, а доля ноу-хау и коммерческих секретов с 3,5% до 14%.

Большинство утечек в области транспорта пришлось на авиакомпании и аэропорты. В 2018 году самый крупный инцидент случился на азиатском континенте. Гонконгская авиакомпания Cathay Pacific (6-е место в мировом рейтинге воздушных перевозчиков) сообщила, что хакерам удалось похитить данные более 9 млн пассажиров: имена, даты рождения, номера телефонов, адреса электронной почты, паспортные данные. В частности, скомпрометировано более 860 тыс. паспортных данных.

Компания British Airways уведомила общественность, что украденными оказались платежные и персональные данные тех клиентов, которые заказывали билеты на официальном сайте и через приложение в период с 21 августа по 5 сентября 2018 года. Вначале авиакомпания объявила об утечке данных 380 тыс. пассажиров, но позже обнаружила, что инцидент затронул личную информацию еще 185 тыс. человек. Киберполиция Украины разоблачила хакера, на компьютере которого найдена полная база данных одной из международных транспортных компаний. Утверждается, что база содержит персональные данные более 120 тыс. человек. Индийская авиакомпания-лоукостер GoAir подала в суд на своего бывшего управляющего директора Вольфганга Прок-Шауэра (Wolfgang Prock-Schauer), обвинив его в хищении конфиденциальной информации. Прок-Шауэр в феврале 2018 году возглавил конкурента GoAir – индийскую авиакомпанию IndiGo. Юристы GoAir представили в суде ряд документов, утверждая, что бывший топ-менеджер похитил данные, представляющие коммерческую тайну, перед тем, как перейти на другую работу.

Зафиксировано более 5 тыс. утечек из-за действий инсайдеров

28 декабря 2018 года аналитический центр компании InfoWatch представил результаты глобального исследования утечек конфиденциальных данных, которые произошли из-за действий внутреннего нарушителя в организациях за последние пять лет. За это время в мире было зафиксировано более пяти тысяч утечек данных из-за действий инсайдеров: сотрудников организаций, топ-менеджеров, подрядчиков. Почти две трети таких «внутренних» утечек были случайными, в результате более 95% от всех пострадавших из-за действий сотрудников записей данных были скомпрометированы по неосторожности, незнанию правил обращения с информацией или из-за сбоя в системах обработки данных. С 2014 по 2018 год существенно изменилось в пользу «внутренних» по сравнению с «внешними» инцидентами ИБ соотношение мощности утечек — объема скомпрометированных записей данных в расчете на одну утечку.

Объем скомпрометированных записей данных в расчете на одну утечку
Непреднамеренные утечки

Рядовые сотрудники на протяжении всего исследуемого периода являлись наиболее «проблемным» звеном в системе информационной безопасности организаций — на долю непривилегированного пользователя ежегодно в среднем приходилось около 80% от общего числа «внутренних» утечек.

Распределение \"внутренних\" утечек по виновнику
Распределение "внутренних" утечек по виновнику
«
Картина современных `внутренних` утечек примерно такова: это компрометация огромных объемов данных из-за ошибок легитимного пользователя или сбоев автоматизированных систем обработки. Есть все основания полагать, что утечки, совершенные по вине инсайдеров, не менее опасны, чем хакерские атаки. Это связано с увеличением объемов данных, обрабатываемых в компаниях, ростом числа каналов передачи информации, а также повышением ликвидности самих данных. В ряду инцидентов информационной безопасности, влекущих компрометацию данных, внутренние утечки остаются наиболее сложными звеном и требуют особого внимания от специалистов по информационной безопасности. Наиболее эффективной для организаций становится гибридная модель защиты, когда внимание офицера безопасности будет сосредоточено и на безопасности данных, и на поведении пользователя, осуществляющего обработку данных. Последняя задача может быть решена, например, с помощью технологий предиктивной аналитики.
Сергей Хайрук, аналитик ГК InfoWatch
»

В пятилетнем распределении «внутренних» утечек по типам скомпрометированных данных большая часть инцидентов приходится на персональные данные (ПДн). Вместе с тем, в динамике за последние пять лет доля ПДн и финансовых данных в общей выборке снижается, при этом существенно растет доля утечек наиболее критичной информации — гостайны, коммерческой тайны, секретов производства и ноу-хау.

«Внутренние» утечек по типам скомпрометированных данных

С точки зрения умысла за исследуемый период также увеличилась доля совершенных умышленно утечек наиболее критичных типов данных — государственной и коммерческой тайны и ноу-хау, в то время как утечки превалирующего типа данных — ПДн и платежной информации — все чаще происходили в результате непреднамеренных действий персонала.

Распределение утечек по умыслу и типу данных
«
Случайная утечка — это прямая финансовая угроза бизнесу, поскольку утекает, как привило, важная личная информация — персональные и платежные данные. Компании обрабатывают все больше данных, ошибки персонала при работе с информацией обходятся все дороже, причем не только в переносном смысле — компрометация заметного объема данных непременно приводит к крупным денежным штрафам и выплате компенсации пострадавшим. Умышленные утечки информации происходят на порядок реже, но они могут касаться наиболее ликвидных данных, так как внутренние злоумышленники имеют прямой доступ к самой чувствительной корпоративной информации, секретам производства и ноу-хау, и у них есть время и возможности для подготовки и обхода систем защит.
Сергей Хайрук, аналитик ГК InfoWatch
»

Как отмечают авторы исследования, утечки, совершенные по неосторожности, происходят чаще всего в организациях тех отраслей, где уделяют недостаточно внимания вопросам цифровой грамотности, а направление информационной безопасности совершенствуется медленнее. За последние несколько лет большинство случайных утечек ПДн происходили в сфере медицины, образования, государственных и силовых структурах.

Распределение случайных утечек ПДн по отраслям

Случайные утечки, как правило, происходят через распространенные каналы передачи информации, такие как интернет-ресурсы, в том числе из-за неверных настроек облачных хранилищ и шибок при публикации данных на сайтах компаний и ведомств, электронная почта и бумажные документы.

Распределение случайных утечек по каналам передачи информации

Умышленные утечки чаще всего происходят в организациях тех отраслей, где данные наиболее ликвидны — это организации финансового сектора, промышленные предприятия, компании сферы ИКТ и госструктуры. Злоумышленники, которые хотят украсть информацию у своего работодателя, как правило, избегают контролируемых каналов коммуникации — всего 10% от общего числа «внутренних» утечек через сетевой канал носили умышленный характер. Чаще всего внутренние нарушители выносят ценные для организации документы на съемных носителях или заявляют о потере или краже корпоративного оборудования.

Распределение случайных утечек коммерческой тайны и ноу-хау по отраслям

В 2017 году на долю привилегированных пользователей — топ-менеджмента и системных администраторов, пришлось 8,5% от всех умышленных `внутренних` утечек. Высшие руководители и иные лица с неограниченным доступом к информационным активам компаний намного чаще, чем рядовые сотрудники, допускают умышленные утечки. За пять лет в среднем от 40% до 75% утечек, спровоцированных привилегированными пользователями, носили умышленный характер.

Доля умышленных утечек в зависимости от типа пользователя

Кроме того, среди привилегированных сотрудников традиционно выше, чем среди рядового персонала, доля «квалифицированных» утечек данных, которые сопряжены с мошенничеством и неправомерным доступом к информации.

Доля "квалифицированных" утечек в зависимости от типа пользователя

В первом полугодии 2018 года зафиксировано 1039 случаев утечки данных

21 сентября 2018 года аналитический центр компании InfoWatch представила результаты глобального исследования утечек конфиденциальной информации в первом полугодии 2018 года. Всего за исследуемый период было зарегистрировано 1039 случаев утечки конфиденциальной информации, что на 12% больше, чем годом ранее. В частности, объем информации, скомпрометированной по вине хакерских и иных атак под воздействием внешнего нарушителя, уменьшился в десять раз, составив только около 0,5 млрд записей. При этом в результате нарушений внутри организаций пострадали более 1,5 млрд записей данных, включая персональные и платежные.

Общее число утечек за первое полугодие 2006-2018 гг
Общее число утечек за первое полугодие 2006-2018 гг
«
Картина утечек меняется, на первый план выходят инциденты с участием инсайдеров. Злоумышленники больше не стремятся завладеть данными просто ради данных — в неагрегированном виде их стоимость минимальна. Однако знания, которые можно извлечь из этих данных с помощью современных технологий, имеют большую ценность. Организации в основном оперируют большими объемами структурированных данных, стремятся укрупнять хранилища информации. Результаты нашего исследования показывают, что наибольший риск компрометации информации связан с умышленными утечками, воздействием изнутри. Непреднамеренные утечки чаще всего автоматически фиксируются системой, но в случае с умышленными действиями инсайдера, который располагает достаточным технологическим и временным ресурсом, предотвратить утечку данных сложнее.
Сергей Хайрук, аналитик ГК InfoWatch
»

Количественно на внутренних нарушителей пришлось две трети случаев утечки информации в первой половине 2018 года — 651 инцидент. По вине внешнего злоумышленника произошло 358 утечек.

Доля умышленных утечек из общего числа утечек по отраслям
Доля умышленных утечек из общего числа утечек по отраслям

В целом ряде отраслей, таких как банковский сектор и промышленность, 60% и более утечек персональных данных носили умышленный характер.

За исследуемый период зафиксировано 15 утечек информации, объемом более миллиона записей, и еще 21 мега-утечка, объемом более 10 млнзаписей. На мега-утечки пришлось 2,3 млрд записей или 97% совокупного объема украденных в мире.

Каналы утечек
Каналы утечек

По-прежнему в мире преобладает сетевой канал утечек данных (70%). Через сеть чаще всего реализуются сложные умышленные атаки, которые влекут наибольший ущерб для организаций, на долю контролируемых каналов передачи информации, таких как почтовые сервисы и бумажные носители, приходится небольшой процент умышленных утечек — чуть более 10%. Случайные утечки, для совершения которых не нужна специальная подготовка, происходят по различным каналам — наряду с сетевым каналам, здесь также зафиксирована большая доля утечек через бумажные носители, электронную почту и при потере или краже оборудования.

Виновники утечек
Виновники утечек

В распределении категорий по виновникам утечек преобладают рядовые сотрудники — 56%, в то время как на долю привилегированных пользователей — руководителей и системных администраторов, приходится около 4% инцидентов. Еще более 3% утечек пришлось на подрядчиков, 38% на внешних по отношению к организации злоумышленников.

Распределение утечек по типам информации
Распределение утечек по типам информации

Большую часть объема утечек, как и годом ранее, составляет наиболее чувствительная информация — персональные и платежные данные — 90% инцидентов.

Распределение утечек по характеру
Распределение утечек по характеру

По прежнему в распределении по характеру преобладают «неквалифицированные» утечки, которые не сопряжены с превышением прав доступа к информационным системам или использованием данных в целях мошенничества. Совокупная доля «квалифицированных» утечек в первом полугодии 2018 года не превышает 15%.

Распределение утечек по отраслям
Распределение утечек по отраслям

Наибольшее количество утечек происходило в высокотехнологичных компаниях (21,3%), медучреждениях (19,5%) и госорганах (13%). По объему больше всего записей было скомпрометировано в сферах, где чрезвычайно высока ликвидность данных, с которыми работает персонал: в секторе высоких технологий, включая интернет-сервисы и крупные порталы (25,6%), в государственных органах (13%) и муниципальных учреждениях (20%).

InfoWatch: Каждый второй случай кражи корпоративных данных связан с их передачей третьим лицам

Согласно данным аналитического центра компании InfoWatch, в 2017 году более половины инцидентов в области безопасности корпоративной информации были связаны с неправомерным копированием корпоративной информации и передачей ее третьим лицам — в том числе конкурентам компании. Такие данные были получены по итогам глобального исследования публичных инцидентов безопасности, связанных с деструктивными действиями увольняющегося или увольняемого сотрудника в отношении работодателя, сообщили 17 июля 2018 года в InfoWatch.

«
Сотрудник, который принял решение об уходе из компании, часто пытается использовать информацию компании в своих интересах, — отметил аналитик ГК InfoWatch Сергей Хайрук. — Это всегда имеет негативные последствия в виде материального ущерба и репутационных потерь. Прямой ущерб компаниям-работодателям в результате деструктивных действий увольняющихся или увольняемых сотрудников зафиксирован более чем в 50% исследованных инцидентов.
»

По наблюдениям авторов исследования, особую опасность при подготовке к увольнению представляют действия нелояльных сотрудников из числа привилегированных пользователей. Топ-менеджеры, руководители отделов и системные администраторы имеют доступ к широкому спектру корпоративных данных, к которым относится, например, коммерческая тайна и производственные ноу-хау, они хорошо знают бизнес-процессы предприятия и могут применить эти знания, нанося максимальный вред бывшему работодателю.

В 2017 году привилегированные пользователи стали причиной 19% нарушений, связанных с компрометацией корпоративных данных, более 80% случаев произошли по вине рядовых сотрудников. Чаще всего при краже корпоративной информации персоналом движет мотив личной выгоды или работа на конкурентов, в то время как руководители в большинстве случаев идут на нарушения из чувства мести или руководствуются другими некорыстными мотивами.

Более четверти нарушений, повлекших ущерб для работодателя, совершались сотрудниками менее чем за неделю до увольнения — на этот временной интервал пришлось 28,6% случаев. Еще около 20% нарушений происходили за несколько недель до ухода. В большинстве случаев — 52,4% инцидентов — деструктивные действия в отношении работодателя сотрудник совершал более чем за месяц до запланированного увольнения.

Примерно в каждом втором случае увольняющийся сотрудник забирал с собой или просматривал базы данных с персональной информацией коллег, клиентов или партнеров. Треть изученных инцидентов была связана с кражей из компании коммерческих секретов и ноу-хау.

Наибольшее количество случаев деструктивных действий персонала при увольнении зафиксировано в учреждениях медицинской сферы (27,8%) и организациях государственного сектора (19,4%). Реже всего увольняющиеся сотрудники похищали информацию предприятий сферы торговли (2,8%) и транспортного комплекса (2,8%).

Более 60% случаев неправомерного использования корпоративной информации при подготовке сотрудником к увольнению были совершены в компаниях со штатной численностью от 100 до 500 человек.

«
Модель поведения персонала при использовании корпоративных информационных ресурсов не поддается анализу с помощью традиционных систем защиты, которые не учитывают субъективные факторы, не могут прогнозировать уход сотрудника из компании и связанные с этим риски, — добавил Сергей Хайрук. — Однако развиваются средства прогнозной аналитики, которые используют базу данных компании, включая информационные потоки, и благодаря технологиям искусственного интеллекта и машинного обучения научились обрабатывать и анализировать накопленные компанией большие данные. Эти инструменты способны с высокой степенью точности предугадывать поведение персонала, например, заблаговременно определять сотрудников, которые намереваются уйти из компании, и предотвращать кадровые и финансовые риски для предприятий.
»

2017

InfoWatch

Объем скомпрометированной в Retail & HoReCa информации превысил 100 млн записей данных

29 ноября 2018 года InfoWatch представил результаты глобального исследования утечек конфиденциальной информации в компаниях сферы розничной торговли, гостиничного бизнеса и общественного питания (Retail & HoReCa). Эксперты Аналитического центра изучили более 300 случаев утечек данных из предприятий отрасли, которые произошли в 2016-2017 годах. Объем скомпрометированной в отрасли Retail & HoReCa информации за исследуемый период превысил 100 млн записей данных, при этом в 2017 году произошел резкий рост числа инцидентов, связанных с утечкой платежной информации— до 60% против 40% годом ранее. Это самый высокий показатель доли утечек финансовых данных среди всех отраслей в мировом распределении.

Доля утечек платежных данных
«
Доля утечек платежных данных в сегменте ключевых потребительских услуг – розничной торговли, гостиничном бизнесе и общественном питании – даже выше, чем в организациях финансово-кредитной сферы, которая традиционно считалась главной мишенью для похитителей чувствительной информации. Резкий рост утечек платежных данных в ритейле связан с тем, что отрасль находится в активной фазе цифровой трансформации, когда внедряются другие формы оплаты и взаимодействия с клиентом, а объемы информации, которые обрабатываются в торговых сетях, отелях, ресторанах и кафе, стремительно увеличиваются. Укрупнение хранилищ таких данных повышает интерес к ним со стороны злоумышленников.
Сергей Хайрук, аналитик ГК InfoWatch
»

55% инцидентов в исследуемой отрасли в мире были сопряжены с внешними атаками, которые в 70% случаев приводили к утечке платежных данных. По вине инсайдеров произошло 45% от общего числа инцидентов, из них около половины были связаны с утечкой финансовой информации. При этом наиболее чувствительная информация — коммерческая тайна и ноу-хау — утекала из-за действий сотрудников организаций сферы Retail & HoReCa в пять раз чаще, чем по вине внешних по отношению к этим организациям злоумышленников.

Утечки по типу информации

Значительная доля инцидентов в сфере Retail & HoReCa в 2017 году пришлась на умышленные утечки — 65% зафиксированных в мире случаев.

Утечки по умыслу

При этом по результатам исследования, примерно каждая десятая утечка данных из организаций сфер ритейла, гостиничного и ресторанного бизнеса в мире признана «квалифицированной», то есть была сопряжена с мошенническими действиями на основе данных или получением нелегитимного доступа к информации с целью получения личной выгоды.

Типы инцидентов

Почти три четверти инцидентов в мире в предприятиях сферы Retail & HoReCa пришлись на сетевой канал, в таких случаях данные были скомпрометированы через браузер или облачный ресурс.

Каналы утечек
«
Атаки на организации отрасли ритейла, гостиничного и ресторанного бизнеса совершаются со стороны внешних и внутренних злоумышленников практически с одинаковой частотой, и в обоих случаях в основном страдают наиболее чувствительные данные. Внешние злоумышленники чаще всего нацеливаются на наиболее ликвидную платежную информацию, которую можно получить относительно несложными способами, например, с помощью фишинговых писем, скимминга или сайтов-подделок. Инсайдеры же имеют доступ к наиболее ценной внутренней информации и, как правило, обладают достаточными временными и техническими ресурсами для подготовки и обхода сложных систем защиты данных в организациях. Поэтому внутренние злоумышленники опасны для наиболее критичной бизнес-информации, куда помимо финансовых и персональных данных, также входит коммерческая тайна и ноу-хау предприятия.
Сергей Хайрук, аналитик ГК InfoWatch
»

Доля России в общемировой выборке утечек из организаций сфер розничной торговли, гостиничного и ресторанного бизнеса составила около 10%. Все инциденты в исследуемой отрасли, которые были зафиксированы в нашей стране, произошли по вине внутренних нарушителей. На долю умышленных утечек пришлось 42% случаев. При этом в России, по сравнению с мировой выборкой, в два раза выше доля случайных и в четыре раза — квалифицированных утечек. По мнению авторов исследования, большая доля случайных утечек может быть связана с относительно невысоким уровнем цифровой грамотности и кибергигиены как самих пользователей, так и поставщиков товаров и услуг в сфере HoReCa, при этом значительная доля квалифицированных утечек свидетельствует о недостаточности текущих мер и уровня защиты. Кроме того, отметили эксперты, процесс цифровизации российского ритейла все еще находится в стадии становления, так, в половине случаев кража корпоративных данных осуществлялась при помощи бумажных носителей.

Глобальный объем утечек информации вырос в четыре раза

Объем скомпрометированных в мире в результате утечек записей данных, в том числе номеров социального страхования, реквизитов пластиковых карт и иной критически важной информации, в 2017 году вырос по сравнению с предыдущим годом более чем в четыре раза - с 3,1 млрд до 13,3 млрд записей. Всего за год в мировых СМИ и других открытых источниках был зафиксирован 2131 случай утечки данных из организаций — это на 37% больше, чем в 2016 году, следует из данных исследования InfoWatch.

Около 13 млрд записей или почти 99% совокупного объема украденных в мире данных, пришлись на 39 мега-утечек объемом от 10 млн записей каждая. По сравнению с 2016 годом число таких утечек в мире сократилось на 12%, при этом объем скомпрометированных записей в расчете на одну мега-утечку увеличился почти в пять раз до 336 млн записей.

"Рост объема скомпрометированных записей данных и увеличение "мощности" утечек превзошли все самые смелые прогнозы, что во многом связано с изменением подхода к хранению и обработке данных. Если раньше информация о клиентах, сотрудниках, гражданах хранилась и обрабатывалась разрозненно, в филиалах и подразделениях организаций, то с развитием технологий государства и компании стремятся обеспечить централизованный сбор информации, чтобы максимально эффективно использовать возможности и вычислительные мощности для извлечения новых знаний из больших массивов данных", - отметил аналитик InfoWatch Хайрук Сергей.

До 54% в 2017 году возросла доля мега-утечек, которые были вызваны действиями внутренних нарушителей, годом ранее этот показатель находился на уровне 13%. Именно внутренние нарушения стали причиной около 60% всех случаев утечек. Большая часть из них пришлись на рядовых сотрудников — около 53% случаев, что на 10 п.п. выше, чем в 2016 году. По вине привилегированных пользователей, к которым относятся топ-менеджмент, главы подразделений, а также системные администраторы, произошло около 3% случаев утечек. Внешние злоумышленники стали причиной 41,7% утечек. При этом по характеру инцидентов около 83% случаев пришлись на неквалифицированные утечки, которые не были сопряжены с превышением прав доступа или использованием данных в целях мошенничества.

86% утечек были связаны с кражей персональных данных и финансовой информации, однако их доля снизилась на 7 п.п. по сравнению с 2016 годом. При этом доля утечек платежных данных за год возросла на 13,8 п.п., превысив 20% в общем распределении.

За 1-е полугодие скомпрометировано 7,78 млрд записей с персональной и платежной информацией

10 октября 2017 года стало известно о 8-кратном росте объема утечек конфиденциальной информации в мире. Причем почти все данные были скомпрометированы в результате 20 масштабных инцидентов.

По данным компании InfoWatch, специализирующейся на информационной безопасности, в первой половине 2017 года произошла утечка 7,78 млрд записей с персональной и платежной информацией в глобальном масштабе против 1,06 млрд записей по итогам аналогичного периода предыдущего года. Кроме этого, это вдвое больше количества данных, которые попали в руки третьих лиц за весь 2016 год (3 млрд записей).

Объем утечек данных в мире вырос в 8 раз
Объем утечек данных в мире вырос в 8 раз

98% данных было утеряно в результате крупных инцидентов, которые InfoWatch называет «мегаутечками», когда в распоряжении третьих лиц оказывалось более 10 млн записей конфиденциальных данных. Всего в компании зафиксировали 20 таких случаев.

«
Общемировой тренд на увеличение числа утечек и объемов скомпрометированных данных, по нашему мнению, задают не особенности отдельных регионов, а новые возможности, которые связаны с использованием информации в цифровом мире, такие как перевод услуг в электронный вид, e-commerce, электронные деньги, объекты исключительных прав (интеллектуальная собственность) в цифровом виде, — говорится в исследовании InfoWatch.
»

За первое полугодие 2017 года произошло 925 утечек конфиденциальных данных, что на 10% больше, чем за аналогичный период 2016 года. 384 таких инцидента произошли из-за внешнего вмешательства (в частности, из-за хакеров). Причиной еще 520 утечек стали внутренние нарушения (например, по вине сотрудников компаний). Причину еще 21 утечки установить не удалось.

Индекс Gemalto за 1-е полугодие: 918 утечек скомпрометировали 1,9 млрд. записей

В первой половине 2017 года 918 утечек привели к тому, что было скомпрометировано 1,9 млрд. записей по всему миру. По сравнению со вторым полугодием 2016 года количество утерянных, украденных или скомпрометированных записей увеличилось на 164% − это число не может не шокировать. Большая часть данных была украдена вследствие наиболее масштабных утечек, насчитывающих 22 случая, каждый из которых привел к более чем миллиону скомпрометированных записей данных. Из 918 утечек более чем в 500 случаях (59% от всех прецендентов) количество скомпрометированных записей осталось неизвестным или не было зафиксировано[1].

Согласно Breach Level Index, с 2013 года было обнародовано более 9 млрд. записей данных с момента начала оценки опубликованных утечек данных при помощи индекса. На протяжении первого полугодия 2017 года были скомпрометированы или подвержены этому риску более десяти миллионов записей ежедневно, или сто двадцать две записи ежесекундно, включая медицинские данные, финансовые данные и/или данные кредитных карт, а также идентификационные персональные данные. Это особенно настораживает, поскольку менее 1% украденных, утерянных или скомпрометированных данных использовали защиту с помощью шифрования, позволяющую превратить их в бесполезную информацию, и этот показатель снизился на 4% по сравнению со вторым полугодием 2016 года.

Основные источники утечек данных

Большая часть утечек данных (74%), отражающая рост случаев на 23%, произошла вследствие злоумышленных действий. Однако этот источник зафиксировал лишь 13% всех украденных, утерянных или скомпрометированных записей данных. Внутренние атаки злоумышленников составляют только 8% от всех утечек, а количество скомпрометированных записей с 500 тыс. увеличилось до 20 млн., что превышает показатель прошлого полугодия более чем на 4,114%.

Главенствующие типы утечек данных

На протяжении первого полугодия 2017 года основным типом утечек было хищение идентификационных данных, которое составляло 74% всех утечек, что на 49% больше, чем в прошлом полугодии. Количество скомпрометированных данных в результате хищения идентификационных данных увеличилось на 255%. Наиболее значительные изменения произошли в категории досадных утечек, которые составляют 81% всех утерянных, украденных или скомпрометированных записей. Однако количество зафиксированных случаев таких досадных атак составляет только немногим больше 1% всех утечек. Количество скомпрометированных данных в результате атак на доступ к учетным записям снизилось на 46%, что произошло после значительного роста, согласно годовому отчету Breach Level Index за 2016 год.

Наиболее крупные предприятия, пострадавшие от утечек данных

У большинства предприятий, отслеживаемых Индексом критичности утечек данных, количество скомпрометированных, украденных или утерянных записей данных увеличилось более чем на 100%. В сфере образования был зафиксирован один из наибольших показателей роста утечек (103%) с увеличением количества скомпрометированных записей более чем на 4,000%. Это является результатом внутренних атак злоумышленников, которые скомпрометировали миллионы записей в одной из наиболее крупных частных образовательных компаний Китая. В сфере здравоохранения наблюдался относительно похожий показатель утечек данных в сравнении со вторым полугодием 2016 года, но количество украденных, скомпрометированных или утерянных записей увеличилось и составило 423%. В числе пяти объектов, наиболее пострадавших от масштабных утечек данных за первое полугодие, находится Национальная служба здравоохранения Великобритании, где число скомпрометированных записей превышает 26 млн. В финансовой сфере, правительственном секторе и сфере развлечений также наблюдалось значительное увеличение количества утечек записей данных. За первое полугодие 2017 года в сфере развлечений было зафиксировано на 220% больше случаев утечек записей данных.

Территориальное распределение утечек данных

Северная Америка все еще остается лидером по общему количеству утечек данных и скомпрометированных записей, оба этих показатели превышают 86%. Количество утечек данных в Северной Америке увеличилось на 23%, а количество скомпрометированных записей стремительно растет, увеличившись на 201%. Традиционно в Северной Америке всегда фиксировали наибольшее количество опубликованных утечек и соответствующих записей, однако эта ситуация изменится в 2018 году, когда войдут в силу глобальные нормативно-правовые акты о защите данных, такие как «Генеральный регламент по защите данных в ЕС» (European General Data Protection Regulation, GDPR) и поправки к закону о нераспространении конфиденциальной информации Австралии (Australia’s Privacy Amendment Act (зарегистрированные утечки данных). В настоящий момент в Европе было зафиксировано только 49 утечек данных (5% от общего количества), что на 35% меньше по сравнению с аналогичным периодом прошлого полугодия.

2016

Более 2 млрд записей ПДн утекло из высокотехнологичных компаний

Аналитический центр InfoWatch в конце ноября 2017 года опубликовал итоги исследования утечек данных из организаций сферы высоких технологий. Число таких утечек в мире за 2016 год увеличилось примерно на треть, а объем скомпрометированной информации вырос более чем в восемь раз. На долю высокотехнологичных компаний пришлось почти три четверти всех скомпрометированных в мире данных — около 2,3 млрд записей, из которых 87% составили персональные данные (ПДн) граждан.

«
Мы наблюдаем рост числа утечек и объема скомпрометированных данных высокотехнологичных компаний, для которых информация, в том числе клиентская — это, как правило, ключевой актив, поэтому любая утечка оказывается весьма чувствительной для бизнеса, — отметил аналитик ГК InfoWatch Сергей Хайрук. — В 2016 году были похищены данные сотен миллионов пользователей таких популярных ресурсов, как Facebook, Foursquare, GitHub, iCloud, LinkedIn, MySpace, Snapchat, Telegram, Tumblr и Twitter. Хакеры с успехом атаковали крупнейшие почтовые сервисы — Gmail, Hotmail, Yahoo, Mail.ru, похищали данные клиентов телекоммуникационных компаний, в том числе Deutsche Telekom, Three UK, Verizon и других операторов.
»

Компрометацию более 95% данных в сфере высоких технологий в 2016 году вызвала 31 «мега-утечка» с ущербом более 10 млн записей каждая. В структуре утечек существенно вырос объем пострадавших ПДн граждан, сократились доли платежной информации, коммерческой тайны и ноу-хау.

Несмотря на рост числа утечек по вине внешнего нарушителя, случаи утечек внутри компаний высокотехнологичного сегмента также очень опасны. Так, количество утечек по вине внешнего злоумышленника в сфере высоких технологий увеличилось за год почти на 15%, в то время как изменение в распределении ущерба в зависимости от вектора воздействия минимально.

В 2016 году в организациях сферы высоких технологий увеличилось число случаев умышленных утечек информации, а также доля квалифицированных утечек, которые связаны с мошенничеством или превышением прав доступа.

«
Агрегируя большие объемы пользовательских данных, игроки ИТ-рынка охотно используют технологии анализа структурированной и неструктурированной информации — Big Data и другие средства, технологический уровень и функционал которых существенно вырос, — пояснил Сергей Хайрук. — Но по мере увеличения объемов генерируемой, обрабатываемой и хранимой информации повышаются и риски внешних атак на корпоративные ресурсы. Одновременно с этим растет влияние внутренних нарушителей, а значит, ИТ-компаниям требуются не только средства защиты от хакеров, но и современные многофункциональные DLP-системы для предотвращения утечек информации. В связи с ростом числа квалифицированных утечек необходимо задуматься и о включении в арсенал защиты функций UBA — поведенческого анализа пользователей.
»

Треть утечек на Ближнем Востоке связана с коммерческой или гостайной

Аналитический центр InfoWatch 16 ноября 2017 года опубликовал результаты исследования утечек конфиденциальной информации из организаций в странах Ближнего Востока за девять месяцев 2017 года. В фокус исследования попали сообщения о компрометации данных коммерческих и некоммерческих организаций, а также государственных органов, которые были опубликованы в СМИ и иных открытых источниках.

В подавляющем большинстве случаев утечки конфиденциальной информации в странах Ближнего Востока произошли вследствие внешних атак. Если в общемировой выборке они стали причиной 40% случаев компрометации данных, то в исследуемом регионе на долю внешних атак пришлось 80% инцидентов.

При этом внутренним нарушителем зачастую являлся привилегированный пользователь — системный администратор или иной технический сотрудник с расширенными правами доступа к информации. На долю такого злоумышленника в странах Ближнего Востока пришлось почти 12% случаев утечек конфиденциальной информации, в общемировой выборке эта цифра составила всего 1%.

Распределение утечек по типам скомпрометированных данных и пострадавшим отраслям в странах Ближнего Востока также отличается от общемировых тенденций. Каждый четвертый случай утечки в исследуемом регионе касался информации, связанной с коммерческой тайной (ноу-хау), в то время как в мире этот показатель не превысил 3%. На долю утечек государственной тайны пришлось 12,5% случаев, на общемировой выборке число подобных инцидентов не достигло и 4%.

Половина всех утечек данных на Ближнем Востоке пришлась на организации финансового сектора и промышленной отрасли. В мире этот показатель не превысил 16%.

Как и во всем мире, самыми популярными каналами утечек данных в исследуемом регионе оказались веб-браузер и облачные хранилища — на них пришлось 82% случаев. Второй по популярности канал утечек информации — съемные носители. Остальные инциденты связаны с кражей и потерей оборудования, бумажных документов или утечкой данных через электронную почту. В общемировой выборке на утечки конфиденциальной информации через браузер и облачные хранилища пришелся 61% инцидентов, через электронную почту — 23% случаев, на кражу бумажных документов — 8% утечек.

InfoWatch: За 2016 год скомпрометировано 3 млрд записей ПДн

По данным аналитического центра InfoWatch, в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных (ПДн) и платежной информации. Всего за 2016 год в мире было скомпрометировано более 3 млрд записей ПДн, что в три раза превышает аналогичный показатель за 2015 год.[2]

Фото: www.revistaapolice.com.br
Фото: www.revistaapolice.com.br

По мнению международных экспертов в области информационной безопасности, пользователи давно потеряли контроль над своими данными. Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек ПДн, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией.

Индекс Gemalto за год: 1792 инцидента скомпрометировали 1,4 млрд записей (+86%)

В 2016 году в мире было зафиксировано 1792 инцидента, которые привели к компрометации 1,4 млрд записей данных, что на 86% выше по сравнению с 2015 годом. Кроме того, отмечается, что хищение персональных данных стало наиболее распространённым видом утечек. В 2016 году – на долю таких атак приходилось 59% всех зафиксированных инцидентов. Кроме того, в 52% случаев при публикации информации об утечке в 2016 году компании не сообщали о количестве скомпрометированных записей[3][4].

В результате атаки на базу учётных данных пользователей AdultFriend Finder было скомпрометировано 400 миллионов записей, а сам инцидент получил максимальный балл (10) в Индексе критичности утечек. Среди других крупных утечек, зафиксированных в 2016 году, – атака на Fling (BLI: 9,8), утечка в избирательной комиссии на Филиппинах (COMELEC) (BLI: 9,8), 17 Media (BLI: 9,7) и Dailymotion (BLI: 9,6). Фактически, на долю 10 самых крупных и масштабных утечек пришлось более половины всех скомпрометированных записей данных. В 2016 году интернет-гигант Altaba (ранее Yahoo) сообщил о двух крупных утечках, в результате которых было скомпрометировано 1,5 миллиарда учётных записей пользователей, но эти утечки не вошли в индекс BLI за 2016 год, поскольку инциденты датировались 2013 и 2014 годом.

В России среди всех утечек данных, можно выделить несколько наиболее значимых. Самой крупной среди них является атака на базу учетных данных Mail.ru (BLI: 9,0), в ходе которой было скомпрометировано более 25 миллионов записей. Данные включали в себя имена пользователей, email-адреса, зашифрованные пароли и даты рождения, в некоторых случаях злоумышленникам также удалось узнать IP-адреса пользователей и их телефонные номера. Среди других утечек, зафиксированных в 2016 году на территории РФ – атака на мультипортал KM.ru (BLI: 8,1) и компанию по разработке программного обеспечения Nival (BLI: 8,1). Доля похищенных данных в обоих случаях составляет более 1,5 миллиона учетных записей.


Утечки данных по типу

В 2016 году наиболее распространённым видом инцидентов стало хищение персональных данных – на долю таких атак приходилось 59% всех утечек данных, что на 5% выше, чем в 2015 году. Вторым по распространённости типом утечек данных в 2016 году стали утечки учётных записей пользователей. Хотя число утечек такого типа сократилось на 3%, на их долю приходилось 54% всех скомпрометированных записей, что на 336% выше по сравнению с прошлым годом. Это свидетельствует о новой тенденции, когда злоумышленники переориентируются с атак с целью получения финансовой информации на атаки на крупные базы данных с большими объёмами идентификационных и персональных данных. Ещё одним распространённым типом инцидентов стала категория незначительных атак (nuisance category), число инцидентов в которой увеличилось на 102%, но на долю которых приходится 18% от всех скомпрометированных записей данных, что на 1474% выше по сравнению с 2015 годом.

Утечки данных по источнику

Наибольшее число утечек было организовано злоумышленниками, действующими извне организаций – на долю таких атак приходилось 68% всех инцидентов, что на 13% выше, чем в 2015 году. Количество скомпрометированных записей данных в результате действий сторонних злоумышленников увеличилось на 286% по сравнению с 2015 годом. Количество утечек данных, организованных хакерами-активистами, также увеличилось в 2016 году – на 31%, но на их долю приходится лишь 3% всех зафиксированных в прошлом году инцидентов.

Утечки данных по отрасли

В разбивке по отраслям наибольший рост числа утечек в 2016 году пришелся на технологический сектор. Количество инцидентов выросло на 55%, но тем не менее на их долю приходилось лишь 11% всех утечек за минувший год. Почти 80% всех инцидентов в этом секторе связаны с хищением учётных записей и персональных данных. Кроме того, на их долю приходится 28% всех скомпрометированных записей данных в 2016 году, что на 278% выше, чем в 2015 году.

На предприятия отрасли здравоохранения пришлось 28% всех утечек данных, что на 11% выше, чем в 2015 году. Однако количество скомпрометированных записей данных в этой отрасли снизилось на 75% по сравнению с 2015 годом. В секторе образования количество утечек данных за год снизилось на 5%, а количество скомпрометированных записей данных упало на 78%. На долю государственных учреждений приходилось 15% всех утечек данных в 2016 году. Однако количество скомпрометированных записей данных выросло на 27% по сравнению с 2015 годом. На долю компаний финансового сектора приходилось 12% всех утечек данных, что на 23% ниже по сравнению с прошлым годом.

На долю других отраслей приходилось 13% всех утечек данных и 36% скомпрометированных записей данных. В этой категории общее количество утечек данных снизилось на 29%, однако количество скомпрометированных записей выросло на целых 300% по сравнению с 2015 годом. При этом большинство утечек данных приходилось на социальные сети и сайты компаний из отрасли развлечений.

В 2016 году количество инцидентов, затрагивающих полностью или частично зашифрованные данные, составляло 4,2% от общего числа инцидентов, тогда как в 2015 году эта цифра составляла лишь 4%. В части этих утечек зашифрованным был только пароль, а остальная информация не была зашифрована. Однако из почти 1,4 миллиарда скомпрометированных, утраченных или похищенных записей данных в 2016 году полностью или частично зашифровано было лишь 6% (в сравнении с 2% в 2015 году).

InfoWatch зарегистрировал 1556 случаев утечек в мире

По результатам глобального исследования утечек конфиденциальной информации в 2016 году Аналитическим центром InfoWatch было зафиксировано 1556 случаев[5] утечек данных из организаций — на 3,4% больше, чем в 2015 году. Из традиционной тройки стран с наибольшим количеством утечек, существенный всплеск наблюдался только в России, где было зарегистрировано 213 утечек конфиденциальной информации — на 80% больше, чем годом ранее. По числу утечек, зарегистрированных аналитическим центром InfoWatch, Россия находится между США и Великобританией, где количество утечек осталось примерно на том же уровне, что и в 2015 году — 838 и 67 утечек соответственно.

В глобальной структуре скомпрометированной информации преобладают данные о пользователях: 93% утечек были связаны с кражей персональных данных (ПДн) и платежной информации.

За исследуемый период в мире было скомпрометировано более трех миллиардов записей ПДн — в три раза больше, чем в 2015 году. Так же более чем в три раза, до двух миллионов, выросло среднее число записей, украденных в результате одной утечки.

Большая часть украденных персональных данных, а именно 94,6%, пришлась на 44 «мега-утечки», в результате каждой из которых «утекло» не менее 10 млн записей ПДн. В 2016 году число «мега-утечек» выросло более чем вдвое. Зафиксировано 79 утечек объемом более одного миллиона записей каждая.

В 2016 году в мире количество утечек персональных данных увеличилось в 4 раза по сравнению с прошлым годом и составило почти 3,1 млрд записей.

В 2016 году в мире эксперты зафиксировали рост случаев утечки персональных данных на 300% по сравнению с предыдущем годом. Количество похищенных записей составило 3,1 млрд.

Количество утечек, которое нам удалось собрать, выросло незначительно. Зато очень значительно выросло количество утекших записей персональных данных — на 300% рост. 3,1 млрд записей было потеряно в прошлом году из-за утечек персональных данных». Так, в 2016 году было зафиксировано 44 «мегаутечки», в результате которых было украдено более 10 млн записей, в 2015 году таких случаев было вдвое меньше.

По мнению Натальи Касперской, киберпреступники воруют массивы данных для того, чтобы выгодно продать их. Также она отметила, что в последнее время наблюдается тенденция – увеличение количества утечек в результате внешних кибератак.


Возросло количество случайных утечек данных

13 декабря 2016 года аналитический центр InfoWatch представил результаты сравнительного исследования утечек данных в организациях. Исследование включило утечки с 2013 по 2015 год, определенные, как действия внутренних нарушителей.

Аналитики отметили рост доли утечек данных в исследуемом периоде на 34 процентных пункта (п.п.) - до 79,7%, в результате случайных действий сотрудников. В 2013 году основная масса чувствительных данных, к коим относятся персональные данные (ПДн), платежная информация, государственная и коммерческая тайна, а также секреты производства, была скомпрометирована в организациях в результате совершения умышленных утечек. В 2014–2015 годах большая часть потерь критичной для бизнеса информации произошла вследствие непреднамеренных действий сотрудников.

Распределение «внутренних» утечек по умыслу и типу данных, 2013 – 2015 гг., (2016)
Распределение «внутренних» утечек по умыслу и типу данных, 2013 – 2015 гг., (2016)
Распределение «внутренних» утечек по умыслу и типу данных, 2013 – 2015 гг., (2016)
Распределение «внутренних» утечек по умыслу и типу данных, 2013 – 2015 гг., (2016)

По сравнению с 2013 годом, в исследуемый период в структуре внутренних утечек возросла доля платежной информации — более чем на восемь п.п., коммерческой тайны — более чем на пять п.п., при этом более чем на 10 п.п. снизилась доля утечек ПДн.

Распределение «внутренних» утечек по типу данных, 2013 – 2015 гг., (2016)
Распределение «внутренних» утечек по типу данных, 2013 – 2015 гг., (2016)
«
За прошедшие три года "внутренние" утечки не стали менее опасны, но изменилась их природа. Это связано с увеличением объемов данных, обрабатываемых в компаниях, ростом числа каналов и способов передачи, а также возросшей ликвидностью самих данных. Большая часть утечек происходит из-за ошибок персонала. В результате могут быть скомпрометированы абсолютно любые данные, включая наиболее критичные и чувствительные, а размер нанесенного ущерба ограничен только объемом хранимой информации. Для минимизации рисков, связанных с информационной безопасностью, необходимо обеспечивать блокировку случайных утечек, контроль сотрудников как в "зоне риска", куда относятся сотрудники с особыми правами доступа, новички или единожды "провинившиеся", так и вне ее.

Сергей Хайрук, аналитик ГК InfoWatch
»

В 2015 году доля внутренних утечек данных от общего числа известных случаев утечек конфиденциальной информации составила 65% и 72,8% годом ранее. Средний объем данных, скомпрометированных в результате каждой внутренней утечки, достиг 347 тыс. и 340 тыс. записей в 2014 и 2015 годах, соответственно. Авторы исследования отметили снижение доли утечек информации, произошедших по вине «привилегированных» пользователей, включая руководителей и системных администраторов организации более чем на девять п.п. Их неправомерные действия по-прежнему приводят к гораздо более серьезным последствиям, чем действия рядовых сотрудников.

В период с 2013 по 2015 год снизилась доля случайных утечек данных через электронную почту, бумажные и съемные носители, а доля утечек посредством сетевых каналов, интернет возросла. В результате случайных утечек через сетевой канал в 2015 году скомпрометировано ~295 млн записей, категорий ПДн и финансовой информации, количество таких записей в 2013 и 2014 годах достигло ~97,9 млн и ~118,2 млн соответственно.

Глобальное исследование утечек конфиденциальной информации в I полугодии 2016 года

ГК InfoWatch объявила в сентябре 2016 года о том, что рост числа утечек конфиденциальной информации за первые шесть месяцев 2016 г. составил 16% по отношению к соответствующему периоду прошлого года. Такие данные приводит аналитический центр InfoWatch в отчете по результатам «Глобального исследования утечек конфиденциальной информации в I полугодии 2016 года». За исследуемый период было скомпрометировано более 1 млрд записей персональных данных (ПДн) — больше, чем за весь 2015 г. Таким образом, среднегодовое значение числа украденных записей ПДн в два раза превышает аналогичный показатель 2015 года[6].

Наибольшее количество утечек информации было зафиксировано в США: 451 случай, или 54% от всех произошедших утечек. Россия со 110 утечками данных традиционно занимает второе место, сохраняя его более трех лет. Далее идет Великобритания, где было обнаружено 39 утечек. Всего за январь-июнь 2016 г. экспертами аналитического центра InfoWatch зарегистрировано 840 случаев утечек конфиденциальной информации.

В двух третях случаев утечки данных происходили по вине внутренних нарушителей. На внешние атаки пришлась только одна треть всех утечек информации, но ущерб от них по-прежнему оценивается выше: в среднем на каждую внешнюю и внутреннюю утечку приходилось по 2,4 млн и 0,8 млн скомпрометированных записей ПДн соответственно.

Кроме того, было зафиксировано 23 «мега-утечки», на которые пришлось 92% всех украденных записей ПДн. Ущерб каждой из них составил более 10 млн ПДн, 16 из 23 «мега-утечек» пришлись на внешние атаки. Без учета «мега-утечек» наибольший объем записей — более 45 млн ПДн — был украден у компаний высокотехнологичного сектора, включая интернет-сервисы и веб-порталы.

Эксперты аналитического центра InfoWatch отметили сокращение числа утечек с помощью передачи данных через сетевой канал, хотя на этот способ, включая отправку через браузер, а также облачные хранилища, все еще приходится до половины всех случаев утечки данных. Возросла доля краж информации по электронной почте и на съемных носителях. Снизились доли утечек в результате кражи/потери оборудования и бумажных документов. Меньше всего утечек произошло с использованием мобильных устройств.

Наиболее уязвимыми в первом полугодии 2016 г. были организации медицинской сферы, где утечки данных фиксировались чаще всего (23% всех утечек), наименее уязвимыми — муниципальные учреждения (менее 3%).

Самыми привлекательными для злоумышленников стали компании сферы торговли, финансового и банковского сектора. В них доля умышленных утечек ПДн, потребовавших взлома систем информационной безопасности, составила 70% и более.

2010: InfoWatch: В мире за 1-е полугодие произошло 382 инцидента

Компания InfoWatch представила в конце 2010 года результаты исследования утечек конфиденциальной информации за первое полугодие 2010 года, согласно которому за данный период (181 день) было зарегистрировано 382 инцидента (2,1 утечки в день).

По данным отчета 169 инцидентов от общего числа зарегистрированных инцидентов составили умышленные утечки (44,2%), а 185 – случайные (48,4%). При этом число умышленных утечек по сравнению с аналогичным периодом прошлого года сократилось на 11,7%, что связано с активным внедрением в корпоративном секторе решений для защиты конфиденциальной информации. Общее число скомпрометированных записей в первой половине 2010 года составило более 539 миллионов.

Количество случайных утечек в первой половине 2010 года по сравнению с тем же периодом 2009 года возросло на 9,4% (185 инцидентов против 161 утечки в 2009 году). Аналитики InfoWatch связывали данный рост с тем фактом, что до сих пор наиболее популярным каналом для случайных утечек остаются мобильные носители информации (ноутбуки, флеш-накопители, мобильные коммуникаторы и др.), поскольку пользователи подобных устройств зачастую пренебрегают средствами шифрования данных.

Другой частой причиной случайных утечек становился бумажный носитель: его проконтролировать сложнее, чем электронный. Например, после выхода листа из принтера следить за ним можно лишь «вручную»:

«Контроль за бумажными носителями слабее контроля за компьютерной информацией. Многие средства защиты от утечек (назвать их полноценными DLP-системами нельзя) не контролируют канал вывода информации на принтер – так конфиденциальные данные легко выходят за пределы организации»,– сообщал Федотов Николай, главный аналитик компании InfoWatch.

Решить данную проблему позволяли многофункциональные DLP-системы, которые блокируют отправку на печать недозволенной информации и проверяют соответствие почтового адреса и адресата.

Основными источниками утечек конфиденциальной информации в первой половине 2010 года по-прежнему оставались коммерческие (73,8%) и государственные (16%) организации. Около 8% утечек происходят из образовательных учреждений. Характер утекающей конфиденциальной информации – персональные данные (почти 90% всех информационных утечек).

Лидерами по утечкам в мире тогда были США и Великобритания (также в пятерку стран по наибольшему количеству утечек входили Канада, Россия и Германия с существенно более низкими показателями), что связанно с особенностью законодательства данных стран, предписывающего сообщать обо всех инцидентах утечки конфиденциальных данных. Аналитики Infowatch прогнозировали в будущем году сокращение доли случайных утечек и рост доли умышленных.

Каналы потенциальной утечки данных

Методы работы злоумышленников

«Скупка» данных в регионах

  • Интервьюирование несправедливо уволенных / обиженных
  • Финансирование инсайдеров
  • Оцифровка бумажных носителей

Удаленный мобильный доступ

  • Создание вредоносного ПО
  • Перехват полезного траффика
  • Использование штатных инструментов удаленного доступа

«Переработка» мусора

  • Восстановление данных

  • Сбор и перепродажа случайных, неформатированных и/или неактуальных данных

Несанкционированная съемка

  • Распознавание снимков

  • Удаленный доступ к мобильным устройствам
  • Взлом социальных сетей

Классический взлом

  • Поиск новых и эксплуатация известных уязвимостей в ПО

2016

Как предотвращают утечки в России: исследование SearchInform

1 февраля 2017 года компания «СёрчИнформ» сообщила о результатах анализа ситуации в сфере защиты конфиденциальной информации среди организаций РФ в 2016 г.

Все чаще защиту информации поручают ИБ-специалистам – 42% российских компаний нанимают профессионалов для ИБ-задач. Для сравнения: в 2015 году показатель достигал 22%. В остальных компаниях защитой занимаются ИТ-отделы или руководители.

Чаще всего ИБ-отделы представлены в компаниях Оренбурга (52%), [[Москва|Москвы[[ и Казани (48%), Хабаровска (47%).

Чуть больше половины (63%) сотрудников отделов информационной безопасности имеют профильное образование. Чаще всего профессиональные кадры нанимают организации: Иркутска – 98%, Краснодара – 95%, Оренбурга – 86%, Омска – 82% и Екатеринбурга – 71%. Реже всего профильных специалистов можно встретить в организациях Уфы – 18%.

34% российских компаний не защищают свои конфиденциальные данные. Остальные более бдительны и используют различные инструменты для защиты от утечек:

С каждым днем растет количество каналов, через которые происходит обмен информацией. В 2016 году компании России в первую очередь защищали электронную почту, внешние носители и документы, отправленные на печать - этот показатель вырос на 3%. В остальных случаях внимание к популярным каналам передачи информации снизилось:

Часть компаний считают, что лучший способ избежать утечек информации по определенным каналам – запретить их – так делают 53% опрошенных компаний.

47% компаний считают, что запрет каналов не остановит инсайдера, и оставляют все каналы открытыми, предпочитая контроль.

  • 46% компаний не оповещают сотрудников о наличии систем контроля и защиты.
  • 30% – сообщают и предлагают подписать допсоглашение.
  • 24% организаций извещают работников, но никаких бумаг с ними не подписывают.

75% российских компаний проводят инструктаж по правилам информационной безопасности. В прошлом году этот показатель был меньше на 3%.

86% российских компаний предлагают своим работникам подписать соглашение о неразглашении конфиденциальных данных.

Данные InfoWatch

В 62% случаев причиной утечки стали внутренние нарушители в организации, при этом было точно установлено, что более трети случаев утечек произошли по вине сотрудников, привилегированных пользователей, включая руководителей, системных администраторов. Доля утечек информации на стороне подрядных организаций составила 6%.

По-прежнему преобладают утечки данных через сетевой канал, доля которого выросла на 11,6 процентных пункта (п. п.) до 69,5%. Доли утечек через съемные носители, мобильные устройства остались на уровне 2015 года. На семь процентных пунктов (п. п.) до 10,8% сократилась доля утечек информации на бумажных документах, в два раза до 4,8% — в результате потери оборудования и на 1,1 п. п. до 8,5% — по электронной почте.

В 2016 году распределение утечек между средними (до 500 ПК) и крупными (более 500 ПК) организациями получилось примерно равным как по числу утечек, так и по объему скомпрометированных данных.

Чаще всего утечки данных происходили из организаций медицинской сферы (25,8%), высоких технологий (14,9%), госорганов и силовых ведомств (13,8%), и образовательных учреждений (10,6%). Реже всего — из муниципальных учреждений (4,4%), промышленности и транспорта (3,9%).

Наибольший объем скомпрометированных персональных данных пришелся на организации, которые системно используют персональную информацию в своей работе: компании высокотехнологичного сектора (73,6%), торговые компании, отели и рестораны (11,9%). На государственные органы и муниципальные учреждения пришлось 9,9% всех украденных ПДн.

Наиболее привлекательными для злоумышленников, как и годом ранее, оказались торговые и транспортные компании, к которым в 2016 году добавились также финансовые организации. В этих отраслях более половины утечек, сопровождавшихся кражей ПДн, носили умышленный характер.

Каждая четвертая утечка данных в финансовых организациях происходит из-за потерянных устройств

Причиной каждой четвертой утечки данных, произошедшей в финансовых компаниях и банках США за последние несколько лет, являются потерянные мобильные устройства, и только каждая пятая утечка произошла в результате хакерской атаки. 14% инцидентов произошли по случайности, а еще 13% были вызваны инсайдерами. Причиной ряда утечек также стала потеря бумажных документов.

Как сообщает издание The Register со ссылкой на ИБ-экспертов компании Bitglass, за последнее десятилетие свыше 60 организаций финансового сектора (в том числе крупнейшие банки) регулярно становились жертвами утечек. В 2015 году финансовые компании столкнулись с 87 утечками данных – на 42 больше, чем в 2014 году. В первой половине 2016 года об утечках уже успели сообщить 37 банков (5 из них входят в двадцатку крупнейших банков США)[7].

Одна из крупнейших финансовых организаций США, JP Morgan Chase, с 2007 года регулярно сталкивается с утечками информации. В 2014 году организация сообщила о наиболее масштабной за всю историю ее существования атаке, ставшей причиной утечки данных 83 млн клиентов JP Morgan Chase.

Отчет Bitglass составлен на основе сведений, полученных с 2006 года из открытых БД и правительственных официальных документов.

Банковские утечки: инсайдеры, внутренние нарушители, бумага

8 июня 2016 года аналитики InfoWatch сообщили о росте доли банковских утечек более чем в 37 раз, за последние два года: с 0,3% до 11,2%[8].

Офис Lloyds Bank, (2014)
Офис Lloyds Bank, (2014)

Самая распространенная причина утечки - действия инсайдера, который ее инициирует. В России, при этом, ситуация с финансовыми утечками одна из худших в мире: по их количеству страна занимает второе место.

Согласно заключению аналитиков InfoWatch, около 45% всех утечек приходится на небольшие банки - такая доля получается, если не учитывать самые крупные утечки. Крупные банки получили большую долю в числе утечек, но маленькие банки не защищены от проблем.

В 2015 году от утечек пострадали крупнейшие игроки финансового рынка: Bank of Scotland, Banque Cantonale de Geneve (BCGE), Citibank, Equifax, Federal Reserve Bank of New York, HSBC, JPMorgan Chase, Lloyds Bank, Morgan Stanley, PayPal, UniCredit, Wachovia Bank (Wells Fargo Bank) и ряд других.

По итогам 2015 года Россия заняла второе месте по числу утечек в финансовом секторе, к тому же доля банковских утечек в РФ больше, чем в среднем в мире: 16% против 8,6%.

В 73% случаев потерянными оказались персональные данные клиентов российских банков. В InfoWatch отметили вероятность серьезных последствий в результате утечек такого типа: "только в результате инцидентов, получивших огласку в СМИ, утекло свыше 22,5 млн записей персональных данных".

В 70% случаев «врагом» становился так называемый внутренний нарушитель – один из сотрудников банковской организации. Это касается, как случайных, так и продуманных краж персональных данных.

Самый распространенный путь утечек – отправка полученных данных через сетевые сервисы. Так передаются платежная информация, номера счетов, данные баланса, реквизиты платежных карт, персональные данные клиентов и так далее. На этот канал пришлось 35,7% всех утечек

«Сетевые» утечки характеризует высокий уровень критичности данных и огромные объемы скомпрометированной информации, отметили аналитики компании-исследователя.

Второй по популярности канал утечек – традиционная бумага. В 13,2% случаев злоумышленник банально печатал украденные данные и уносил их. Остальные 51,1% утечек пришлись на менее популярные каналы: кража или потеря оборудования, копирование данных на съемные носители и т.п.

«
В банковском секторе отмечается рост не только утечек, но и инцидентов информационной безопасности в целом. Несмотря на то, что финансовый сектор – один из самых регулируемых с точки зрения защиты данных, ситуация остается сложной: из банков похищают и денежные средства, и персональные данные, и платежную информацию. Сейчас банкам очень важно предпринимать реальные меры, направленные на снижение рисков информационной безопасности: внедрять средства защиты, выстраивать сопутствующие защитные процессы, обеспечивать своевременный контроль и реагирование на допущенные инциденты. Причем все эти меры должны применяться комплексно.

Мария Воронова, ведущий эксперт по информационной безопасности компании InfoWatch
»

По сведениям Zecurion Analytics, на третьем месте среди отраслей, наиболее подверженных утечкам, банковская сфера. На долю банков по итогам 2015 года приходится 12,9% всех утечек. Первое место занимают госструктуры (17,9%), а второе – ритейлеры (13,1%). При этом среди скомпрометированных типов информации почти вдвое выросла доля финансовых данных физлиц: номера кредитных карт, денежные вклады, операции по счетам. Доля таких данных достигла 19,1% от всех инцидентов за прошлый год. Остальные персональные данные, в том числе адреса электронной почты и паспортные данные, по-прежнему лидируют среди типов информации, доля которых 58,2%.

2013

Шифрованная почта, соцсети и USB-носители

Наиболее актуальными каналами потенциальной утечки данных стали:

  • шифрованная электронная почта (в том числе личная, на бесплатных сервисах),
  • социальные сети и
  • USB-носители (флешки, внешние жёсткие диски и т.д.) (данные исследования компании «МФИ Софт», апрель 2013 года).

Несколько меньше ИБ-специалисты беспокоятся за принтеры и интернет-мессенджеры (исключая Skype).

Image:каналы потенциальной утечки данных.jpg

При выборе систем DLP (защиты от утечек информации) большая часть респондентов обращает особое внимание на скорость поступления уведомлений о нарушениях политики информационной безопасности – по мнению специалистов, система должна уведомлять оператора в режиме реального времени. Также отмечают важность простоты интеграции с другими элементами информационной безопасности (средствами шифрования данных, firewall и т.д.). Наименьший приоритет ИБ-специалисты отдают возможности блокировки действий пользователя, объясняя это опасениями за снижение скорости и качества работы и, как следствие, парализации системы защиты.

Когда сотрудники считают ворон, или защита от невнимательности

По статистике аналитического отдела компании Falcongaze, которая является разработчиком системы информационной безопасности SecureTower за 2013 год, около 57% всех утечек конфиденциальных сведений из компаний произошло по вине самих сотрудников. Сколько было и сколько еще будет случаев, когда бухгалтер, отвлекшись на разговор с коллегой, отправляет конфиденциальную финансовую документацию не тому собеседнику в Skype или когда сотрудник отдела продаж по электронной почте направляет клиентскую базу данных коллеге – и ошибается при вводе адреса? Что происходит дальше, представить нетрудно: сотрудники, совершившие оплошность, как правило, не спешат сообщать об инциденте руководству, в то время как любое промедление в таких ситуациях может стать для компании губительным.

Если же в организации используется система для защиты данных, то в подобных случаях ответственные сотрудники получают мгновенные уведомления об инцидентах и имеют возможность своевременно принять нужные меры. Такие инструменты в руках специалистов по информационной безопасности сегодня дают возможность контролировать различные каналы связи в компании: электронную почту, Skype, ICQ, социальные сети, чаты и многие другие. Они также позволяют осуществлять мониторинг документов, записываемых сотрудниками компании на флешки, внешние жесткие диски и распечатываемых на корпоративных принтерах.

Кроме невнимательности, утечки корпоративной информации происходят и из-за злонамеренных действий сотрудников. Сегодня никого не удивляют известия о случаях, когда бывшие работники, уходя, уносят с собой клиентские базы данных, новейшие проекты и разработки компании, персональные данные коллег и другую конфиденциальную информацию. По разным данным, это происходит в среднем в 34% случаев увольнений, связанных с утечками корпоративной информации.

Хотя убытки от утечки данных в денежном эквиваленте определить практически не представляется возможным, конкурирующие друг с другом компании наносят друг по другу удары, отражающиеся на финансовом положении и подвергающие деловую репутацию соперников серьезным испытаниям. В таких условиях программы для защиты информации приходятся как нельзя кстати, помогая выявлять нелояльных работников, готовых сотрудничать с «вражескими» организациями. Осуществляется это при помощи различных технических средств: к примеру, в системе для защиты данных SecureTower это можно сделать, настроив соответствующие правила информационной безопасности или ознакомившись со всеми контактами сотрудников, наглядно представленными в одном из модулей программы.

Обеспечить полноценную защиту корпоративных данных и соблюдение политики информационной безопасности гораздо проще, если в организации выстроены и налажены бизнес-процессы. Да, впрочем, и живется всем намного легче, когда должностные обязанности четко распределены, всем хорошо известно, кто за что должен отвечать и, как следствие, все задачи выполняются быстрее и качественнее.

При помощи современных систем информационной безопасности можно анализировать эффективность работы как отдельных сотрудников, так и целых отделов, осуществлять мониторинг того, каким образом расходуются корпоративные ресурсы, выявлять инциденты, связанные с непрофессиональными или некорректными действиями персонала компании, а также составлять отчеты по деятельности работников за любой промежуток времени. Все это помогает руководителям оперативно решать организационные вопросы, вносить необходимые корректировки, постоянно оптимизируя рабочие процессы в компании, – и в результате позволяет достичь четкости часового механизма.

Ниточки завязаны, все разложено по полочкам, потоки данных под надежной защитой – все в компании работает как отлаженный часовой механизм. Как в том сказочном королевстве: картина может показаться утопичной. Поэтому впадать в абсолютную сказку и забывать о реальности все же не стоит. Системы информационной безопасности эффективны, но лишь в той мере, насколько может быть эффективна бездушная программа. Это такое же орудие для специалистов по информационной безопасности и руководителей, как, скажем, программа для современных бухгалтеров. Использовать программы для защиты данных следует вкупе с другими мерами и с учетом всех деталей, связанных со спецификой каждой отдельной организации. Лишь применяя комплексный подход к защите информации в организации, можно добиться ощутимого результата. Поэтому, прежде всего, следует помнить: дьявол кроется в деталях и возможные угрозы лучше встречать во всеоружии.

2012: Утечки данных через мобильные устройства

Утраченный смартфон легко заменить на новый, восстановить информацию сложнее, а предотвратить к ней несанкционированный доступ, подчас, и вовсе едва ли возможно. Обратить внимание рядовых и корпоративных пользователей на эти расхожие истины преследует цель исследование, проведенное в рамках проекта с необычным названием Smartphone Honey Stick. Его инициатором выступила компания Symantec, непосредственным исполнителем – Скотт Райт (Scott Wright), тренер, консультант, исследователь и основатель Security Perspectives.

Организаторы намеренно в течение несколько дней «растеряли/забыли» в окрестностях пяти крупных городов США и Канады (Вашингтон, Лос-Анжелес, Нью-Йорк, Оттава, Сан-Франциско) 50 смартфонов с заранее записанной на них информацией личного и корпоративного характера. Устройства оставляли в публичных местах с большим скоплением народа – лифтах, торговых центрах, заведениях общепита, на остановках общественного транспорта. Специальное ПО позволяло отслеживать перемещения аппаратов (все они поддерживали GPS) и записывать совершаемые действия с приложениями и данными.

«Забытый» смартфон

Источник: Symantec, 2012

Результаты оказались вполне предсказуемыми:

  • 96% смартфонов попали в чужие руки;
  • информация и приложения личного характера вызвали интерес в 89% случаев;
  • информация и приложения корпоративного характера – в 83% случаев;
  • информация и приложения личного и корпоративного характера – в 70% случаев;
  • каждый второй смартфон предложили вернуть его законному владельцу.

Путь, проделанный одним из смартфонов, принимавших участие в эксперименте

Источник: Symantec, 2012

Учитывая то, насколько сильно в последнее время смартфоны интегрировались в нашу повседневную жизнь и как быстро они становятся неотъемлемой частью все большего числа бизнес-процессов компаний, задуматься, действительно, есть над чем. Список предлагаемых специалистами Symantec рекомендаций занимает не одну страницу финального отчета с результатами исследования. Самые важные и очевидные: корпоративным пользователям следует со всей серьезностью отнестись к составлению политик использования мобильных устройств сотрудниками, рядовым пользователям не стоит пренебрегать функцией блокирования экрана и надежными паролями.

DLP: Системы защиты от утечек данных

Рекомендации по предотвращению утечек

6 способов уменьшения риска

Учитывая последствия, вызванные нарушениями баз данных, становится очевидным высочайший приоритет стратегии аудита и защиты наиболее ценных сведений в базе данных предприятия. Никто не подаст в суд на компанию, если злоумышленник проникнет внутрь периметра сети и несколько персональных компьютеров превратит в спам-зомби. Но можно быть уверенным в неизбежности судебного процесса, если компания потеряет сотни тысяч записей клиентов, особенно если при этом произойдёт хищение личных данных.

В докладе издание рекомендует несколько технологий безопасности, в отношении которых следует рассмотреть возможность инвестиций, для снижения вероятности краж баз данных. Вкратце:

1. Мониторинг активности базы данных. Инструменты автоматизированного аудита доступа к базам данных, использования и выполнения запросов. Они особенно эффективны при обнаружении внутренних угроз доступа к конфиденциальным данным.

2. Технологии предотвращения утечки данных. Используемое в качестве последней линии обороны, хорошо настроенное DLP-устройство способно предотвратить некоторые случаи, могущие привести к нарушениям данных. При использовании в демилитаризованной зоне DLP-решения могут остановить утечку конкретных типов информации.

3. Управление идентификацией привилегий. PIM-продукты автоматизируют контроль над мощными административными учётными записями, разрешают такие проблемы, как общие административные учетные записи и пароли, излишние административные привилегии, разделение обязанностей и смена паролей. Они также обеспечивают индивидуальную отчётность и аудит, в доказательство применения политик и управления защиты.

4. Аудит Active Directory. Важно пользоваться более наглядной отчетностью в отношении пользовательских аккаунтов, чем это обеспечивает Windows Server. Действующие полномочия в руках даже хакера-новичка могут быть разрушительными. При наличии правильного аудита и удобной системы отчетности, будет возможность распознать беспорядочную аутентификацию и использование аккаунта, как только это случится.

5. Защитные шлюзы. Промежуточные средства (и сервисы) защиты доступа в интернет хорошо используются для защиты пользователей внутренней сети от вредоносных программ и вирусов. Но эти технологии могут также использоваться в качестве обратных прокси-серверов для проверки содержимого, отправленного на веб-сервер, доступный извне. Вместе с ростом атак XSS и SQL Injection, эти устройства является насущной необходимостью в качестве инструмента для отражения угроз из внешних источников.

6. Многофакторная аутентификация. Она предназначена в первую очередь для предотвращения доступа злоумышленников. Двухфакторная аутентификация не убережет базу данных от запросов, не помешает злоумышленнику, у которого уже имеется доступ. Однако, если база данных учетных записей находится под угрозой, как это было в случае с Gawker, обязательное применение двухфакторной аутентификации на уровне веб-доступа может предотвратить мошенническое использование учетных данных, даже если идентификатор пользователя и пароль стали известны. Многие банки уже начали применять онлайновую двухфакторную аутентификацию, особенно при проведении важных операций.

5 шагов на пути построения системы защиты от инсайдеров

Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам[9]:

  1. Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
  2. Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
  3. Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
  4. Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
  5. IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.

С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа.

Советы по защите данных

Многим компаниям неизвестно, что у них крадется самая важная информация, базы данных и интеллектуальная собственность. Но даже когда они это осознают, часто проходят недели и месяцы между первой атакой и обнаружением. Такие выводы сделаны в исследовании компании Verizon - Data Breach Investigation Report, в 2010 году. Более того, компании, как правило, узнают об этих нарушениях от третьих лиц, а не собственных служащих и технологий.

В базе данных онлайнового сервиса Privacyrights.org, ведущего статистику и хронику утечек данных всех типов, имеется более 11 млн. записей о кражах данных. Хотя последние несколько лет многие компании экономят на ИТ-бюджетах, расходы на обеспечение безопасности в целом остаются неизменными, и по прогнозам многих аналитиков значительно возрастут в ближайшие годы. Это не говорит о том, что у профессионалов в сфере безопасности недостаточно ресурсов, необходимых для защиты информации, скорее о том, что они не достаточно сосредоточены на защите баз данных.

Издание InformationWeek в собственном ежегодном исследовании утверждает, что последствия такого отношения к безопасности использования данных могут быть очень плачевными. В качестве одного из примеров в докладе приводится инцидент в компании Epsilon, произошедший в апреле 2011 года: были утеряны миллионы записей о клиентах, содержащие широкий спектр личных данных. Массированная атака на компанию электронного маркетинга Epsilon Interactive привела к хищению пользовательских адресов электронной почты, по крайней мере, 50 клиентов, в их числе компании JPMorgan Chase, Capital One, Marriott Rewards, US Bank, Citi, Ritz-Carlton Rewards, Walgreens, College Board и Home Shopping Network.

Это был второй серьёзный случай нарушения данных. В декабре 2010 несколько фирм, в том числе devianART, Honda, McDonald`s и Walgreens сообщили об аналогичных нападениях, в результате которых были украдены адреса электронной почты. К примеру, McDonald `s информируя общественность, заявила, что утечка «ограничилась адресами электронной почты, возможно именем, почтовым адресом, домашним или мобильным телефоном, датой рождения, полом и информацией о рекламных предпочтениях или заинтересованности в веб-информации». Этих данных достаточно для открытия счета кредитной карты и начала адресных фишинговых атак.

Подробная техническая информация о том, как именно были атакованы Epsilon и Silverpop недоступна. Но издание дает несколько важных советов по защите баз данных на основе того, что известно аналитикам:

1. Проверьте политики соблюдения и реализации систем безопасности поставщиками сервисов. Компания не может передать в аутсорсинг ответственность перед клиентами, и будет отвечать перед ними в вопросах безопасности обработки информации своих клиентов сторонними провайдерами. Необходимо выяснить, осуществляет ли поставщик услуг периодический аудит SAS70 и/или PCI. Анкетирование посредством вопросника Альянса Безопасности Облачной Инициативы (Cloud Security Alliance Consensus Assessments Initiative Questionnaire) является еще одним способом проверки программ соответствия у поставщика сервисов.

2. Сторонняя компания, с репутацией, оказывающая услуги обработки данных, может быть лучше подготовлена в вопросах безопасности. Тем не менее, она может стать более привлекательной целью для нападения, поскольку обладает большим количеством записей клиентов. Перед тем как принять решение об аутсорсинге, необходимо тщательно оценить стоимость/выгоду/риски управления источниками данных своими силами.

3. Необходимо требовать у поставщиков сервисов доказательств и демонстрации контроля используемых процедур и технологий для обеспечения безопасности источников данных.

Примечания

  1. Breach Level Index – это глобальная база данных, которая отслеживает случаи утечек данных и определяет уровень их критичности на основании различных факторов, включая количество скомпрометированных записей, их тип, источник утечки, дальнейшее использование данных, а также наличие их шифрования. Исходя из оценки тяжести, присвоенной каждой утечке, Индекс предоставляет сравнительный список утечек, проводя различия между некритичными утечками и теми, которые нанесли серьезный ущерб
  2. InfoWatch: зафиксирован трехкратный рост количества утечек информации
  3. Индекс критичности утечек данных представляет собой глобальную базу утечек и обеспечивает оценку уровня той или иной утечки данных по различным параметрам, в том числе по типу данных и количеству похищенных записей, источнику утечки, характеру использования похищенных данных, а также по тому, были ли украденные данные зашифрованы. Каждая утечка получает определенный балл, таким образом, индекс критичности утечек данных представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых утечек (балл утечки варьируется от 1 до 10). Согласно Индексу критичности утечек данных, за период с начала составления индекса публично зафиксированных утечек в 2013 году, количество скомпрометированных записей данных превысило 7 миллиардов. Таким образом, в среднем в мире ежедневно компрометируется более 3 миллионов записей данных, или, грубо говоря, 44 записи каждую секунду
  4. Индекс критичности утечек данных за 2016 год
  5. База данных аналитического центра InfoWatch включает публичные сообщения об утечках информации из организаций, опубликованные официальными ведомствами, СМИ, авторами записей в блогах, интернет-форумах и иных открытых источниках на русском, английском и немецком языках
  6. InfoWatch зафиксировала двукратный рост числа украденных записей персональных данных в 2016
  7. По материалам SecurityLab
  8. Банковские утечки: рост в 37 раз
  9. Club.CNews