В начале октября на черном рынке появилось предложение о продаже данных 60 млн действующих и закрытых кредитных карт «Сбербанка». После расследования банк объявил об утечке всего 5000 учетных записей, но скандал получился громким. А сколько было других историй? Например, когда сотрудник «Райффайзенбанка» под заказ фотографировал на телефон данные клиентов – от адресов и номеров телефонов до кодовых слов. Подобные ситуации могут принести много неприятностей как компаниям, так и их клиентам.
Касается всех
От утечки персональных данных страдают люди во всем мире. В СМИ же обычно попадают лишь самые громкие случаи, когда речь идет о миллионах строк информации. Но мелкие кражи данных, в том числе, «пробивы» определенных людей через сотрудников телекоммуникационных компаний, банков или госорганов, могут быть даже более опасными. Ведь применить такие точечные сведения гораздо легче, чем отфильтровать огромный массив информации. К примеру, благодаря данным от специалиста ярославского «Райффайзенбанка» мошенники оперативно списали со счетов двух клиентов почти 7 млн рублей.
В нашей стране ежегодно выносится около полусотни приговоров инсайдерам, которые передают персональные данные конкретных лиц заказчикам, обычно найденным через сеть. Однако ни спрос, ни предложение меньше не становятся – убедиться в этом можно, набрав запрос в любой поисковой системе.
В России допустившие утечку организации чаще всего рискуют только потерей репутации и, как следствие, возможным оттоком клиентов и снижением дохода. За рубежом же компаниям грозят не только скандалы, но и крупные штрафы. К примеру, в новом GDPR (Общий регламент по защите данных ЕС) для тех, кто нарушил правила обработки и хранения персональных данных, предусмотрены серьезные санкции – до 20 млн евро или 4% дохода на мировом рынке за год.
Волноваться по поводу информационной безопасности стоит не только крупным корпорациям. В Verizon Data Breach Investigations Report 2019 были проанализированы более 40 тыс. сообщений об утечках данных из 86 стран мира. Выяснилось, что в 43% случаев жертвами становились предприятия малого бизнеса.
В поисках врага
Считается, что киберудары обычно наносятся извне. На самом деле на внешние хакерские атаки, по различным исследованиям, приходится меньше половины инцидентов. В остальных случаях сознательными или невольными злодеями становятся сотрудники компаний (в нашумевшем случае со «Сбербанком» виновник также работал в системе). В опросе, проведенном Accenture и HFS Research, 69% специалистов по корпоративной безопасности отметили, что их компании пострадали от целенаправленных или случайных действий инсайдеров.
Есть множество причин, по которым человек становится самым уязвимым звеном в системе безопасности:
- Отсутствие элементарной компьютерной грамотности и контроля за исполнением инструкций.
- Недостаток знаний о том, какие именно данные являются секретными, и чем грозит их распространение.
- Предоставление пользователям избыточных прав доступа.
- Возможность установки на рабочий компьютер непроверенного службой безопасности ПО (по оценкам Cisco, им пользуются до 80% сотрудников).
- Неправильное хранение документов.
- Отсутствие контроля за действиями пользователей и прочее.
Часть этих причин можно достаточно легко устранить с помощью административных и дисциплинарных мер. Другая же часть требует установки программных средств защиты.
Есть проблема – есть решение
Злоумышленники-инсайдеры используют для кражи информации несколько основных каналов. И для защиты каждого из них есть технические решения, которые позволяют предотвратить утечки или, как минимум, найти и наказать виновного.
1. Съемные носители
Что может быть проще, чем скачать данные на жесткий диск или флешку? Именно этот вариант возглавляет список самых популярных способов увода из компании секретной информации. А еще со съемного носителя можно загрузить вредоносное ПО, которое нарушит работу системы или поможет хакерам обойти защиту.
Самый простой способ пресечь копирование на диск – заблокировать USB-порты. Но часто это нереально, так как съемные носители используются в работе. Тогда на помощь приходят программы, которые защищают как от нежелательной записи информации на внешнее устройство, так и от загрузки с него посторонних файлов. Например, мониторинг активности пользователей (UAM) – позволяет контролировать трафик и события в Сети, останавливать подозрительные операции и сообщать в службу безопасности о нарушениях. С помощью IDS/IPS систем можно засечь запуск вредоносных программ и удалить зараженные файлы, а средства DRM и IRM ограничивают использование файлов, в том числе, их копирование.
Также в борьбе с нежелательными операциями внутри Сети полезны DLP-сервисы. Они анализируют информацию внутри корпоративной системы, буквально узнавая секретные документы «в лицо». Для этого программа проверяет наличие в файле определенных слов, меток, таблиц или изображений (например, фотографий паспортов клиентов). Если они обнаружены, документ считается конфиденциальным, и DLP-система блокирует опасные действия с ним.
2. Электронная почта
Электронная почта остается одним из каналов-лидеров случайной утечки данных – многие сотрудники попросту не смотрят, кому они отправляют письма. Однако злоумышленники могут выбрать «неправильного» адресата и совершенно сознательно. Против этой угрозы эффективны те же технические средства, что и в предыдущем случае. Постоянный контроль трафика и активности персонала позволяет вовремя заблокировать опасные действия, то есть отправку по почте файлов, содержащих секретные сведения.
3. Бумажные копии и фотографии экранов
Программы отлично работают, пока файлы остаются в электронном виде внутри сети. Но документы иногда приходится распечатывать. Еще один способ обойти программную защиту – просто сфотографировать экран с нужной информацией. Пропажа бумаг и фотографии экранов составляют до трети всех случаев утечек, а в сфере здравоохранения – целых 65%. Нередко речь идет о небрежности или халатности, однако хватает и умышленных нарушений.
Компании пытаются бороться с этим каналом утечек разными способами. Летом 2019 года несколько российских банков объявили, что вводят запрет на съемку экранов компьютеров мобильными телефонами, а кое-кто задумался даже о полном запрете смартфонов на рабочих местах. Однако жизнеспособность и эффективность таких радикальных мер вызывает вопросы.
Другое дело, когда сотрудники знают, что в случае нарушения их точно вычислят и поймают. Но как обеспечить неотвратимость наказания и удержать потенциального злоумышленника от преступления? Сделать это можно с помощью технологии ILD. После ее установки при каждом открытии файла в корпоративной системе или отправке его на печать программа создает уникальную копию документа (всего существует более 205 триллионов комбинаций страницы А4). Изменения незаметны человеческому глазу, но затрагивают каждый элемент на странице. Получается, что каждый сотрудник всегда работает со своей личной версией документа. И если этот документ однажды всплывет в даркнете или просто обнаружится в неположенном месте, то ILD-система легко определит «слабое звено». Исправлять или рвать бумагу бесполезно. Программе хватит клочка с парой слов, чтобы указать на нарушителя.
4. Облачные хранилища
Для совместной работы сотрудников (особенно удаленных) и подрядчиков используются облачные хранилища. К сожалению, действия в них часто не контролируются ни IT-специалистами, ни службой безопасности. В результате, информация может попасть не в те руки или вообще утечь в Сеть. Среди решений – строгая модерация операций в обычном облаке или переход на дополнительно защищенные аналоги популярных хранилищ – виртуальные комнаты данных (VDR).
Специальные сервисы позволяют просто обмениваться информацией с коллегами и партнерами. Работают они со всеми популярными форматами, включая pdf, текстовые и графические файлы, таблицы и презентации, для загружаемых данных можно устанавливать различные уровни доступа. На страже информации стоит та же технология ILD. Когда онлайн-пользователь обращается к документу, алгоритм создает его уникальную копию, число которых неограниченно. И в случае проблем службе безопасности будет легко установить, через кого из сотрудников, имевших доступ к хранилищу, произошла утечка.
5. Сервисы разработчиков
Разработчики часто пользуются сервисами веб-хостинга, например GitHub. Они позволяют сохранять исходные коды онлайн, легко следить за изменениями и совместно работать над стоящими задачами. Однако сразу встает вопрос о защите интеллектуальной собственности компании, чья утечка может сорвать миллионные проекты. «Лекарство» здесь то же, что и в случае с облачными хранилищами: жесткий контроль и/или использование командой разработчиков онлайн-сервисов с модулем безопасности ILD.
Хитроумные хакерские программы и гениальные планы по взлому систем безопасности, как правило, существуют лишь в голливудских фильмах. В реальной жизни преступники обычно используют самые простые средства и человеческие слабости, а потому противостоять им можно и нужно. Перечисленные технические решения, грамотная политика безопасности и обучение сотрудников помогают предотвратить большую часть утечек персональных данных и сберечь репутацию и деньги компании.
Фото в анонсе: Pixabay.com
Спасибо Сергей. Информативно, написано доступно для понимания. Правда название подкачало. Статья скорее объясняет как выявляют утечку информации, а не как предотвращают. Защита и предотвращение имеют более специализированный характер.
Согласна с автором, одними техническими мероприятиями проблему не решить. Самое уязвимое место - это люди. Мошенники используют методы социальной инженерии, чтобы получить пароли и пинкоды. Административные регламенты тоже не могут учесть всех методов психологической работы мошенников с персоналом. Поэтому задачу безопасности нужно решать комплексно и ежедневно. Статья понравилась, спасибо.
Почти в любом банке или операторе есть люди, которые за 5-10000₽ выдадут вам всю нужны информацию. А сб организаций закрывает глаза.
Утекают потому что экономят на безопасности
Чтоб не утекали - надо перестать экономить на безопасности
Хорошая статья. Достаточно полно и детально охватывает техническую составляющую темы. Однако, вопросы субъектности проблемы не нашли, на мой взгляд, должного разбора. Конечно, есть дилетанты или инсайдеты, совершающие преступления по недомыслию. С ними все понятно и административно-тахническими мероприятиями можно снять подавляющее большинство проблем. Однако, не стоит забывать финансовую составляющую подобных работ. Кроме того, всегда останутся заинтересанты, которые будут оценивать риски наступления ответственности за свои противоправные действия и суровость наказания. В нашей стране это определяется ст. 137 УК РФ. Поэтому и законодателям есть еще о чем подумать.
А где тогда брать деньги на цифровую трансформацию?
Кредиты, инвестиции итд.
Как пример - Наша атомная промышленность столкнулась с проблемой сертификации своего софта и при использовании стороннего ПО.
Индустрия разработки средств разработки пошла путём чрезмерного усложнения, и это уже не оправдывает себя. Такие корпорации как Микрософт и прочие получили значительную защиту своих инвестиций из-за чрезмерной сложности, которая не нужна более 90% конечных пользователей, и мешает поддерживать большие проекты на достаточном уровне безопасности. В результате, клиенты получают дырявое, небезопасное ПО.
И в атомной промышленности пошли путем разработки на Обероне, который позволил решить все проблемы безопасности и сертификации. Это умное и надёжное решение. И по вашему вопросу - цифровая трансформация - не такое дорогое удовольствие при правильном подходе, как представлялось в начале.
Думается, проблема утечки ПнД не имеет решения. Логика создания ПнД и постоянное повышение статуса электронных ПнД подразумевает их распространение. Выпустили джина и никакими деньгами обратно его не загнать. Поэтому, расходы на безопасность строго в рамках финансовых рисков от потери ПНД, как и всех прочих данных.
Будете смеятся, Андрей, но начинал свою практику программирования с машинных кодов, ассемблера и, после, неоднократно сталкивался с дырявостью и прожорливостью операционных систем.
Любая безопасность - это баланс организационно-технических мер. Например, если вы потратили несколько млн. на тех.средства защиты, то вам придется потратить не менее этой суммы на организационную составляющую. Чтобы у злоумышленника был выбор, куда направить свои усилия.