Что представляют собой утечки данных? Насколько они опасны?
Утечка данных означает попадание конфиденциальной информации к лицу, которое не имеет к ней легитимного доступа, в частности, персональных данных, коммерческой или государственной тайны в открытый доступ или к конкурентам. В случае утечки данных организация может столкнуться с рядом неприятных последствий – от штрафных санкций со стороны государственного регулятора и потери своей репутации до перехода клиентов к конкурентам и коллективного иска со стороны пострадавших.
Более того, в России предусматривается специальная мера ответственности для компаний, являющихся операторами персональных данных, но не использующих соответствующие меры защиты информации. То есть штраф можно получить даже без наличия доказанного факта утечки. По состоянию на 2015 год он небольшой и составляет всего 5000 рублей, но в ближайшем будущем ситуация может измениться.
Кроме этого, утечки в любом случае наносят серьезный ущерб. Так, случившаяся осенью 2015 года утечка с сайта "Кинопоиск" привела к публикации планов о развитии компании, структуре сервиса и другой конфиденциальной информации, что повлияло на конкурентные позиции компании на рынке и привело к многомиллионным потерям.
На разработку нового дизайна и функционала "Кинопоиска" команда "Яндекса" потратила несколько миллионов долларов. По крайней мере, так заявляют СМИ. Другой факт – сотрудники "Яндекса" нарушили соглашение о неразглашении, допустили утечку данных и уволились из компании. В итоге сервис работает на старом движке, деньги потрачены, отдачи от вложений "Яндекс" не получил. Есть ли в данном случае прямая связь между утечкой и финансовыми потерями? Считаю, что есть. Сергей Хайрук, аналитик InfoWatch
|
Какова статистика утечек в российских компаниях за последние годы? Какие компании находятся в зоне риска?
По данным аналитического центра InfoWatch, Россия уже два года подряд занимает второе место в мире по числу утечек. При этом уже несколько лет наблюдается их стабильный рост. В частности, в 2014 году количество российских утечек данных выросло на 25%. За этот же период объем скомпрометированных данных увеличился более чем в 2,5 раза, в результате за год в России утекло более 8 миллионов записей о персональных данных россиян, которые представляют собой самую привлекательную категорию конфиденциальной информации для злоумышленников. Утечки персональных данных составляют 90% всех инцидентов подобного рода.Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке
При этом основным источником утечек данных является средний и малый бизнес, на который приходится 71% от общего числа утечек. Как отмечают в InfoWatch, наиболее интересными целями для злоумышленников являются организации финансового сектора – банки и страховые компании. В 2014 году на их долю прошлось 20% всех утечек. Тем временем, персональные данные чаще всего утекали из интернет-сервисов и образовательных учреждений, где они наименее защищены.
Какие типы утечек существуют?
Утечки можно разделить по вектору воздействия и по намерениям.
Согласно первому признаку компрометация данных бывает вызвана действиями сотрудников компании и называется инсайдерской атакой. В случае внешнего вектора воздействия утечка происходит в результате хакерской атаки, По данным Аналитического центра InfoWatch, большинство инцидентов происходит именно по вине сотрудников компаний.
Второй фактор позволяет классифицировать инсайдерскую активность: внутренние утечки бывают злонамеренными и ненамеренными. То есть сотрудники могут специально красть конфиденциальную информацию и передавать ее третьим лицам, либо делать это случайно: из-за недостаточной квалификации, в связи с халатностью или из-за отсутствия четких корпоративных правил работы с информацией.
По данным InfoWatch в 2014 году в России наблюдалось 74% случайных утечек и 18% умышленных. В 74% случаев виновными в утечке информации оказались сотрудники компаний, и только в 7% случаев – высшие руководители организаций.
Как происходит утечка?
Эксперты InfoWatch отмечают, что большая часть утечек происходит через каналы, которые можно контролировать техническими средствами. В российских компаниях до сих пор утечки происходят, как правило, по одному из двух каналов: через интернет или на бумаге. В 37% случаев сотрудники просто отправляют информацию с рабочего компьютера, например, в облако или через веб-интерфейс личной почты, а в 35% просто распечатывают конфиденциальные документы и уносят их с собой.
Менее популярными, но все же реальными каналами утечек являются также USB-носители информации и мобильные устройства, которые сегодня используют практически все сотрудники компаний, независимо от их должности и служебного положения.
По данным исследования InfoWatch, доля утечек из категории "канал не определен" выросла в 2015 году и составила 31% за 1 полугодие 2015 года. Например, в октябре 2015 года данные 20 000 пользователей оператора общественного транспорта в Вене (Wienner Linen) были опубликованы бывшим сотрудникам. Из-за отсутствия системы контроля и защиты представители компании даже не могут сказать, как уволенному сотруднику удалось получить доступ к этим данным.
Что делать руководителю компании, если он узнал об утечке?
По состоянию на 2015 год в России нет закона, требующего раскрывать данные об утечках ни перед клиентами, ни перед СМИ. Поэтому при возникновении утечки необходимо в первую очередь проанализировать, как утеря данных может повлиять на деятельность организации, и принять превентивные меры, а также внедрить соответствующие системы безопасности, которые помогут закрыть обнаруженный канал утечек.
Однако следует помнить, что в России утечки часто остаются незаметными не только для СМИ, но и для самих пострадавших компаний. Например, в ходе пилотных внедрений системы контроля трафика InfoWatch Traffic Monitor Enterprise в 2014 году были выявлены случаи утечек (как внутренних, так и внешних), о которых сами компании ничего не знали.
Какие решения можно применять для противодействия утечкам?
Поскольку основная причина утечек – действия инсайдеров, защита от утечек подразумевает установку средств защиты от внутренних угроз. Для этого применяются системы класса DLP (Data Leakage Prevention).
Второй тип систем представляет собой специальное ПО или оборудование для шлюзов, которое анализирует весь трафик, выходящий за пределы компании. После тщательной настройки, такие системы позволяют обнаружить передачу конфиденциальной информации в момент отправки данных, пресечь факт нарушения и выявить виновных.
Все перечисленные средства защиты дополняют системы разграничения прав доступа и шифрования данных. Такие решения не позволят пользователю обращаться к данным, которые не нужны ему в работе, а также обеспечивают защиту данных от перехвата при передаче по открытому интернету, а также не позволяют прочитать конфиденциальную информацию в случае утери мобильного устройства или USB-накопителя. Главное, чтобы используемые системы располагали нужным сертификатом ФСТЭК и соответствовали требованиям по определенному классу защиты, если ваша компания является оператором персональных данных.
Все проекты InfoWatch по защите от утечек информации в базе TAdviser
Сколько стоит система защиты от утечек?
Стоимость защиты от утечек данных будет сильно зависеть от выбранной стратегии, количества защищаемых рабочих станций и мобильных устройств, мощности установленных средств фильтрации трафика на шлюзе, наличия дополнительных элементов, таких как защита данных в облачных хранилищах или контроль запуска приложений. Например, если приобретать только решения для защиты от копирования через USB-порт, стоимость защиты будет составлять несколько тысяч рублей на один ПК, а стоимость комплексных систем объявляется поставщиками только по запросу.