Защита от утечек данных становится обязательным элементом системы информационной безопасности в любой компании, работающей с персональными данными и другой информацией ограниченного доступа. Такие утечки наносят серьезный ущерб пользователям и создают репутационные и финансовые риски для организаций. Год назад InfoWatch сообщила о выходе России в мировые лидеры по количеству умышленных утечек информации. Причем их доля приблизилась к 80%, опережая мировые показатели. Общее число преднамеренных утечек за год выросло в России на 60%. И рост количества инцидентов компрометации данных наблюдается во всем мире. Поэтому компаниям очень важно внедрять средства контроля рабочих устройств, чтобы защитить своих пользователей и команду.
Человеческий фактор
Согласно «СёрчИнформ», чаще всего инсайдеры сливают информацию через почту — 45% случаев. Популярность набирают мессенджеры: за последние 4 года количество утечек данных через них увеличилось на 18%. Также утечка информации может произойти из-за халатности сотрудников, которые отвечают за данные. Одна из частых причин компрометации баз данных в том, что они хранятся в компании без должной защиты.
«К основным типам можно отнести преднамеренные и непреднамеренные утечки. Непреднамеренные утечки данных часто связаны с ошибками персонала. Типичные каналы — электронная почта, мессенджеры, веб-порталы (файлообменники, системы управления кодом, социальные сети и пр.), но в целом это зависит от подхода организации к коммуникациям и их типа», — считает Кирилл Солодовников, независимый эксперт в области информационной безопасности (экс-гендиректорInfosecurity).
В России более 79% утечек — результат внутренних нарушений, говорится в отчете InfoWatch за 2020 г., причем более ¾ признаны умышленными. По данным отчета InfoWatch за 2021 г., за последние четыре года выросла с 85,9% до 95,5% доля утечек с применением средств автоматизации. В мире причина 82% утечек — умышленные действия.
«К причинам роста утечек можно отнести недостаточную информированность персонала, отсутствие удобных и одновременно безопасных инструментов совместной работы (либо их неправильная настройка), нестабильная экономическая и геополитическая ситуация», — отмечает Кирилл Солодовников. В «Лаборатории Касперского» считают эффективной мерой снижения числа утечек обучение сотрудников основам ИБ.
Большинство инцидентов связано не с технологиями, а человеческим фактором. Сотрудники могут сливать данные по небрежности или намеренно. По данным исследования «СёрчИнформ» 2020 г., сотрудники 88% российских компаний оказались замешаны во внутренних инцидентах безопасности. 60% инцидентов были неумышленными. Распространенный мотив умышленных — дополнительный заработок. В большинстве ситуаций за инцидент несут вину рядовые работники.
По словам Алексея Кубарева, эксперта Центра продуктов Dozor «РТК-Солар», в последние годы наблюдался неуклонный рост объема утечек информации из российских компаний. Это происходило по двум основным причинам. Во-первых, в России отсутствует законодательная база, обязывающая российские компании внедрять системы защиты от утечек, в то время как в ряде западных стран сложилась жесткая практика наказания за утечки данных. Во-вторых, предусмотренные законодательством штрафы для компаний за утечку персональных данных до последнего времени были настолько малы, что организациям дешевле заплатить штраф, чем озаботиться защитой.
Недавно стало известно, что Минцифры планирует ввести оборотные штрафы за утечку данных. Это должно заставить компании серьезнее отнестись к защите своих информационных активов.
Каковы риски?
«Можно выделить две группы рисков — финансовые и репутационные. С одной стороны, компания может нести прямые потери, вызванные, например, тем, что ее ноу-хау и клиентская база попали в руки конкурентов. С другой стороны, возможны косвенные потери, вызванные снижением лояльности клиентов из-за утечки персональных данных, — говорит Андрей Арсентьев, руководитель направления аналитики и спецпроектов IfoWatch. — Их утечка все чаще рассматривается как чрезвычайное событие. Если сведения о человеке попали в руки злоумышленников, они могут быть использованы не только для «холодного обзвона», но и в мошеннических целях, таких как фишинговые атаки с намерением получить финансовую информацию и другие данные, попытки выдать себя за другого человека и оформить различные выплаты, кредиты».
«Риски для компаний в результате утечек разнообразны, в зависимости от характера деятельности организации и типа скомпрометированных данных. Это репутационный ущерб, особенно в сферах, активно работающих с физлицами, таких как ритейл, медицина, финансы, производство, государственные организации, и, как следствие, — отток клиентов, — считает Алексей Кубарев. — Это и потеря конкурентного преимущества на рынке в результате утечки коммерческой тайны — в высокотехнологичных сферах, науке, фармацевтике и проч. Наконец, прямой финансовый ущерб — штрафы за утечки персональных данных граждан, которые в скором времени могут стать оборотными. Сами граждане, чьи персональные данные утекли, в дальнейшем могут стать жертвами мошенников. При успешном применении социальной инженерии — вплоть до вывода денег со счетов».
Компрометации подвержены базы персональных данных граждан, медицинская информация, коммерческая тайна — финансовая, тендерная документация компаний, секреты уникальных разработок, маркетинговая стратегия, информация об ИТ-инфраструктуре компании и др., полагает Алексей Кубарев.
«К рискам утечки данным обычно относят финансовые, репутационные потери, а также потерю конкурентных преимуществ, — сообщает Кирилл Солодовников. — Основные типы данных, подверженные утечкам, это клиентские БД, почтовая переписка, конфиденциальные документы о продуктах и направлениях развития бизнеса».
По данным исследований «СёрчИнформ», в 2020 году с утечками информации столкнулись 58% частных российских копаний, в 2021 — 59%. При этом 44% не знают, насколько изменилось количество внутренних утечек, а 35% не отслеживает внешние инциденты. По этой причине уменьшения количества утечек ждать не стоит.
«Если утечка касается технологического процесса, злоумышленники могут использовать эти данные, чтобы парализовать процесс производства, — констатирует Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ». – Также возможна потеря технологического преимущества. Это может произойти в случае утечек чертежей, рецептур, технологических карт, маркетинговых исследований и подобных документов. Наконец — репутационный риск. Последние законодательные инициативы говорят о том, что появляется новый риск, который раньше компании могли игнорировать — штрафы регуляторов и иски от клиентов. Если будет принят закон об оборотных штрафах, то допускать утечки организациям станет очень дорого».
Каналы утечек
По данным экспертно-аналитического центра InfoWatch, в 2021 г. более 58% утечек в России пришлись на сетевой канал (взломы сетевых ресурсов, утечки из облачных сервисов, случайно оставленные на сетевых хранилищах данные и т.д.). Более 20% утечек случились через мессенджеры — в последние годы это излюбленный канал для недобросовестных сотрудников. Около 15% утечек прошлого года связаны с компрометацией бумажных документов. Доля же электронной почты падает, считают аналитики InfoWatch. Среди наименее распространенных каналов — съемные носители, мобильные устройства и оборудование (серверы, ноутбуки, ПК).
Алексей Кубарев относит к числу наиболее частых каналов утечки персональных данных и критичной информации уязвимости в ИТ-инфраструктуре, мессенджеры, облачные хранилища, личную электронную почту, съемные носители.
«На наш взгляд, в 2021 году существенно выросла доля латентности утечек, то есть многие случаи компрометации данных «ушли в тень», не были зафиксированы. Одна из причин этого — распространение удаленной работы в пандемию, что значительно усложнило контроль, — поясняет Андрей Арсентьев. — Вместе с тем, можно говорить об усложнении атак: все чаще в краже информации участвует не одна сторона (внешний злоумышленник или сотрудник), а происходит сговор сотрудников с людьми вне информационного контура организации».
За последнее время по числу инцидентов утечек данных особенно себя проявили финансовые (включая финтех) организации и ИТ-компании, говорит Кирилл Солодовников.
ИТ-отрасль — в лидерах?
По данным InfoWatch, более 34% утечек в России за 2021 год пришлись на хайтек-индустрию (ИТ-компании и сервисы, провайдеры услуг связи и т.д.), на втором месте госорганы и силовые структуры — в сумме более 14% утечек. Около 9% всех зарегистрированных утечек произошли из финансовых и страховых компаний.
В глобальном распределении по отраслям на первом месте также находится сектор высоких технологий с долей около 20%. Вот лишь некоторые из инцидентов последних лет в нашей стране и в мире.
В марте 2022 г. служба информационной безопасности Яндекс.Еды выявила утечку информации. В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Позднее базу дополнили – и на том же ресурсе оказались солидные досье на пользователей Яндекс еды, включая данные базы ГИБДД и информацию о профилях из других сервисов. ГИБДД, ВТБ, Авито и ещё ряд компаний из перечня опровергли информацию о возможной утечке и заявили, что все указанные данные находились в публичном доступе и были собраны путём обычного архивного парсинга.
Как сообщает РБК, в июне 2022 г. в сети оказалась база сотрудников «Ростелекома»: имена, должности, адреса корпоративной почты и номера телефонов сотрудников. В «Ростелекоме» продолжают расследовать утечку и считают причастным к инциденту одного из бывших сотрудников.
В 2020 г. крупная утечка произошла в социальном сервисе Whisper. Злоумышленники получили доступ к 100 млн. записей.
В июле 2019 г. в открытом доступе на одном из сайтов оказались данные 450 тыс. пользователей российского интернет-магазина Ozon. Ответственность за инцидент в компании возложили на пользователей: их пароли могли быть похищены при помощи вирусных атак.
В октябре 2019 г. оператор «Вымпелком» признал факт утечки БД своих клиентов с информацией о миллионах абонентов проводного интернета. Как утверждают злоумышленники, база включает в себя около 8 млн записей: номера договоров, ФИО, адреса, контактные телефоны.
«Риску утечки конфиденциальной или высокочувствительной информации подвержены абсолютно все отрасли, но не в равной степени, — подчеркивает Александр Дворянский, директор по специальным проектам Angara Security. — В первую очередь, это ритейл, интернет-магазины, автосалоны, службы доставки и любые другие организации, обрабатывающие персональные данные своих клиентов. Далее идет банковская сфера, где основной риск — утечка клиентских данных, номеров карт и другой персональной информации. Однако в банковском секторе существуют строгие требования регуляторов к обеспечению информационной безопасности, за неисполнения которых предусмотрены существенные штрафы, вплоть до приостановки бизнеса. Поэтому большая часть игроков банковского рынка уделяют серьезное внимание соответствию стандартам ИБ, в том числе и по использованию DLP, и выделяет на это существенные бюджеты».
Как бороться с утечками?
Обычно основная цель киберпреступников — финансы, счета, коммерческий шпионаж или атака с помощью вирусов-шифровальшиков. Базы персональных данных часто используют для мошенничества, получения недостающей информации и, в конечном счете, — финансовой выгоды. Некоторые стремятся заработать на продаже данных или нанести ущерб бывшему работодателю.
Для борьбы с утечками все чаще используют сочетание организационных и технических мер. Крайне важно проводить работу с персоналом, следить за эффективностью аппаратных, программных и криптографических средств и систем предотвращения утечек (DLP).
Чтобы избежать утечки данных, нужно соблюдать регламенты (в частности — по обработке и хранению персональных данных), применять средства защиты (DLP-системы, программное обеспечение для защиты от несанкционированного доступа, сканеры безопасности, антиспам и др.). Необходимо защитить каналы передачи данных (например, с помощью криптошлюзов), хранить информацию в изолированной инфраструктуре, а не на цифровых носителях, которые компания не контролирует, проводить аудит безопасности ИТ-инфраструктуры и тестирование на проникновение. Важная часть мер — антивирусная защита.
«Нужно обеспечить защиту по трем направлениям: обучать сотрудников ИБ-грамотности, чтобы избежать случайных утечек из-за фишинга и халатности, контролировать работников с доступом к конфиденциальным данным с помощью специализированных программ (DLP-систем) на случай намеренных утечек и своевременно проверять состояние инфраструктуры на предмет взломов, чтобы уберечься от хакеров», — считает Алексей Дрозд.
«Для защиты от утечек с технической точки зрения, конечно, необходимо применение специальных решений, — говорит Алексей Кубарев. — Но мало просто установить DLP-систему: нужно ее правильно настроить и эксплуатировать. В организации необходимо реализовать режим коммерческой тайны. Нужно категоризировать информацию и определить, что относится к коммерческой тайне, проработать механизмы доступа. К конфиденциальным данным может быть допущен ограниченный круг лиц, и DLP-система будет контролировать перемещение этих данных. Она должна не только осуществлять мониторинг, но и блокировать попытки передачи таких данных вовне по каналам коммуникаций. И, конечно, нужно внедрять в компании процесс Security Awareness, т.е. обучать пользователей правилам ИБ».
«Для защиты от утечек необходим комплекс мер, как организационных, технических, так и социальных, включая разъяснительную работу среди персонала, — уверена Анна Андреева, генеральный директор «ИС Лаб». — Панацеи нет. Безопасность в целом и защита от утечек, в частности, — это, прежде всего, постоянно функционирующие процессы. Как показывает опыт крупных зарубежных компаний, эти процессы должны быть неразрывно связанны с необходимыми техническими средствами контроля и предотвращения утечек. Требуется также четкое исполнение рекомендаций ответственных за безопасность лиц».
«Технические средства для защиты от утечек конфиденциальной информации, конечно, решают много проблем, однако по статистике более 50% всех утечек информации в компаниях происходят по вине самих пользователей, причем не всегда злонамеренно, — говорит Александр Дворянский. — Недостаточно просто внедрить DLP-решение. Необходимо системно работать с пользователями, повышая их уровень осведомленности, знание базовых принципов информационной безопасности. Сейчас большинство компаний используют Security Awareness — повышение уровня осведомленности в ИБ для рядовых сотрудников. Это комплекс мероприятий, начиная с оценки пользовательской осведомленности, и дальнейшая планомерная работа по улучшению так называемой информационной гигиены при работе с важной для компании информацией. Мероприятия включают имитацию фишинговых рассылок, различных методов социальной инженерии».
Основная задача — разработать для сотрудников комплексные программы обучения, излагать материал простым, доступным языком и облечь его в игровую форму: геймификация повышает усваивание навыков.
При внедрении DLP-системы важна так называемая ее «легализация», отмечает Александр Дворянский. Перед запуском системы в промышленную эксплуатацию должен быть разработан, внедрен и донесен до пользователей комплект документации, регламентирующей деятельность системы, ее границы и ответственность пользователей за действия, которые могут повлечь утечку или компрометацию конфиденциальной информации.
Практика показывает: если сотрудник знает, что компания использует подобные программы, это дисциплинирует его, а компания в целом получает более высокий уровень информационной безопасности.
За рубежом существует практика, когда компании предоставляют своим клиентам какую-либо компенсацию за утечку их персональных данных, продолжает Алексей Кубарев. Например, скидку на услуги. Отечественным компаниям не помешало бы перенять эту практику, так как она отчасти компенсирует репутационный ущерб в результате утечки.
Крупные зарубежные компании также используют DLP-решения, но их внедрение занимает больше времени, — рассказывает Александр Дворянский. — Сначала проводится опрос всех сотрудников, далее руководство рассказывает о целях и задачах внедрения. Внимание фокусируется не на контроле за сотрудником, а на недопущение утечки информации, связанной с человеческим фактором. То есть основной акцент — на дополнительном механизме, позволяющем «страховать» пользователя от случайных ошибок. Но с точки зрения механизма функционирования системы и решаемых с ее помощью задач особых отличий нет».
Какие бывают DLP-системы?
Под DLP-системами обычно понимают программные продукты, которые защищают компании от утечек конфиденциальных данных. Такие системы анализируют всю исходящую, а иногда и входящую информацию. Контроль должен охватывать не только интернет-трафик, но и ряд других информационных потоков: документы на внешних устройствах вне защищенного контура безопасности, документы, которые распечатываются или отправляются на мобильные устройства и т.д.
DLP-системы должны иметь встроенные механизмы для определения уровня конфиденциальности документа. Два наиболее распространенных метода — анализ специальных маркеров или содержимого документа. Последний вариант более популярен, поскольку он устойчив к изменениям, вносимым в документ, и позволяет легко расширить количество конфиденциальных документов, с которыми способна работать система.
Существуют системы с активным и пассивным контролем действий пользователя. Активные системы могут блокировать передаваемую информацию. Они гораздо лучше справляются со случайными утечками данных, но могут случайно повлиять на бизнесс-процессы. Поэтому из-за рисков ложных срабатываний или сбоев многие организации предпочитают использовать DLP в режиме мониторинга.
Шлюзовые DLP-системы работают на промежуточных серверах, в то время как хост-системы используют программных агентов на рабочих станциях сотрудников. Распространенный вариант — использование общих компонентов шлюза и хоста.
В настоящее время основными игроками на мировом рынке DLP являются компании, широко известные другими продуктами для обеспечения информационной безопасности. Эксперты называют основной тенденцией переход к единым интегрированным программным комплексам. Интегрированные системы избавляют от проблем совместимости различных компонентов. Такие системы также позволяют изменять настройки на большом количестве клиентских рабочих станций и упрощают обмен данными между компонентами.
Еще одна важная тенденция — постепенный переход к модульной архитектуре продуктов. Это означает, что заказчик может самостоятельно выбирать необходимые компоненты. Отраслевая специфика также будет играть значительную роль в разработке DLP-систем. Например, можно ожидать выпуска версий, разработанных специально для банковской сферы, государственных учреждений и т.д.
Как выбрать DLP-систему?
В каких же случаях целесообразно применять те или иные решения? «В первую очередь, есть прямая зависимость от масштаба бизнеса. Для малого бизнеса лучше подойдут решения с базовыми функциями, закрывающими основные потребности, — говорит Алексей Кубарев. — У крупного бизнеса — другие требования к производительности и функциональности DLP. Они определяются большими объемами циркулирующей информации. Так или иначе, сначала нужно определиться, что защищать и от кого, какой возможен ущерб. Это можно определить в рамках аудита ИБ и ИТ-инфраструктуры, по результатам — сформировать техническое задание к DLP-системе. Система, которая лучше подойдет под требования, и будет оптимальной. И лучше выбирать DLP-систему, независимую от зарубежного ПО».
13.07.2022 10:40:00