Утечки данных
С развитием информационных систем угрозы, исходящие от сотрудников организаций (инсайдеров), давно стали очень серьезными, а ущерб от их действий исчисляется десятками миллиардов долларов. Постоянно растет поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра.
Финансовые потери от утечек
Основная статья: Потери от утечек данных
Финансовые потери от утечки данных наносят существенный урон бизнесу компании, а иногда могут его разрушить. Если преступники не могут получить у компании выкуп, они выставляют данные на продажу. Подробнее в статье:
Утечки в России
- Утечки данных в России
- Утечки данных в госсекторе России
- Утечки данных из банков России
- Утечки данных операторов связи в России
Громкие утечки
Ниже представлены данные статистики по утечкам информации. Громкие инциденты утечек информации описываются в статье:
Утечки данных в госсекторе
Утечки данных в медицинских учреждениях
Основная статья: Утечки данных в медицинских учреждениях
Утечки данных в ИТ-компаниях
Основная статья: Утечки данных в Microsoft
Утечки данных в соцсетях
Основная статья: Утечки данных в соцсетях
Хроника инцидентов в мире
2024
Россия заняла первое место в мире по количеству слитых в даркнет баз данных
По итогам первого полугодия 2024 года Россия заняла лидирующую позицию в мировом рейтинге по количеству объявлений о продаже баз данных компаний на теневых форумах. Доля российских объявлений составила около 10% от общего числа, согласно отчету компании Positive Technologies, обнародованному в июле 2024 года.
Как пишут «Ведомости», в пятерку лидеров также вошли США (8%), Индия (7%), Китай (6%) и Индонезия (4%). Слитые в даркнет базы содержат персональные данные из учетных записей и коммерческую тайну.
По оценкам компании F.A.C.C.T., в первом полугодии 2024 года в публичный доступ впервые было выложено 150 баз данных российских компаний. Около 30% от общего числа утечек составили базы данных компаний, специализирующихся на розничной онлайн-торговле. Общее количество строк данных пользователей в утечках с начала 2024 года достигло 200,5 млн.Рынок IIoT в РФ: рост или тупик?
Эксперт центра мониторинга внешних цифровых угроз Solar AURA Владимир Ким отметил, что количество взломов постоянно растет. За первые 2,5 месяца 2024 года было зафиксировано 170 случаев утечек конфиденциальной информации, что составляет 40% от всего числа атак в 2023 году.
Алексей Лукацкий, консультант по безопасности Positive Technologies, связывает лидерство России в этом рейтинге с беспрецедентным числом атак на ИT-активы, обусловленных нефинансовой мотивацией. Игорь Бедеров, руководитель департамента расследований T.Hunter, указывает на то, что страна находится в состоянии гибридного геополитического конфликта, в ходе которого хакеры атакуют не только госсистемы, но и инфраструктуру частных компаний.
Согласно отчету Positive Technologies, авторы 88% объявлений с предложениями о продаже данных из российских компаний готовы передать базы бесплатно. Высокая доля бесплатных сливов баз (более 70% от общего количества объявлений) наблюдается также в странах Латинской Америки, США, Индии и Индонезии.[1]
Хакеры взломали Dropbox
Киберпреступники взломали файловый хостинг Dropbox. Об этом 6 мая 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина со ссылкой на РБК. Подробнее здесь.
2023
Объем утечек персданных в мире вырос вдвое до 47,24 млрд записей
В 2023 году количество утечек конфиденциальной информации в мире увеличилось на 61,5%, впервые достигнув пятизначной цифры — 11 549 инцидентов, в ходе которых было скомпрометировано как минимум 47,24 млрд записей персональных данных. Это в два с лишним раза (на 111,5%) больше, чем годом ранее, подсчитали аналитики экспертно-аналитического центра (ЭАЦ) ГК InfoWatch. Впрочем, даже такая большая цифра, скорее всего, выглядит недооцененной, поскольку лишь по 38,7% инцидентам 2023 года стало известно количество скомпрометированных записей персональных данных. Такой информации представители ГК InfoWatch поделились 11 апреля 2024 года, опубликовав отчет по результатам исследования «Утечки информации в мире, 2022–2023 годы».
Интересно, что на фоне общего роста количества утечек информации в мире доля российских организаций в 2023 году снизилась почти в два раза — с 10,8% до 5,7%. По мнению аналитиков, это говорит о принятии действенных мер противодействия внешним киберугрозам на фоне сложной внешнеполитической ситуации, а также эффективном предупреждении инцидентов внутреннего характера — в частности, за счет использования современных DLP-систем. С другой стороны, положительные изменения в статистике отчасти могут быть следствием увеличения доли скрытых утечек, информация о которых не попала в публичное поле.
Кроме того, аналитики ЭАЦ отмечают, что в РФ несколько выросла доля внешних атак среди причин утечек информации — с 84,4% до 87,4%. В других крупнейших экономиках мира, а именно в США, Великобритании, Индии, Китае и Бразилии, в 2023 году эта доля наоборот снижалась. Основная причина роста доли внешних атак на российскую инфраструктуру — активность хакеров на фоне СВО.
Значительный рост количества инцидентов и объема утекшей информации в мире в первую очередь связан с вооруженными конфликтами на Украине, Ближнем Востоке и в Африке, которые в полной мере распространились и на киберпространство. В частности, это вызвало интенсификацию атак и активное вовлечение в них хактивистов — киберпреступников, которые действуют в первую очередь исходя из политических мотивов, атакуя государственные организации и коммерческие компании для нанесения им максимального ущерба. Зачастую в результате таких инцидентов украденные данные идут не на продажу, а сразу же выкладываются в открытый доступ, — отметил руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев. |
По словам эксперта, во всем мире за 2023 год значительно выросла эффективность действий киберпреступников. В частности, это видно по увеличению «веса» средней утечки: если в 2022 году на один инцидент, приведший к утечке информации, в среднем пришлось 2,98 млн записей персональных данных, то по итогам 2023 года средняя утечка составила 4,04 млн записей (рост на 35,6%). При этом на крупные утечки (от 1 млн записей) в 2023 году пришлось 46,85 млрд скомпрометированных записей, что составляет 99,2% от общего объема утекшей информации.
Согласно исследованию InfoWatch, подавляющее большинство утечек (98%) произошло вследствие умышленных нарушений — в первую очередь, связанных с кибератаками. По мнению аналитиков, такое положение дел привело к слишком сильной фокусировке внимания специалистов ИБ на внешних атаках и некоторому ослаблению мониторинга поведения персонала внутри компаний. Этим можно объяснить увеличение доли случайных нарушений среди инцидентов внутреннего характера — с 47,5% в 2022 году до 55,6% по итогам 2023 года.
Существенные изменения отмечены и в ряде других характеристиках, связанных с утечками. Например, изучая структуру скомпрометированной информации по типам данных, аналитики пришли к выводу, что значительно выросла доля утечек сведений, составляющих коммерческую тайну (документы стратегического плана, секреты производства и т.д.). В 2023 году доля этого типа информации выросла почти втрое, достигнув 33,1% (уровень 2022 года составлял 12,2%).
В периоды обострений обстановки в мире кража коммерческой тайны становится одной из приоритетных целей хакеров, поскольку ее можно использовать для получения конкурентных преимуществ по ключевым направлениям промышленности, информационных технологий, здравоохранения и т.д. Также данная информация нередко выступает в качестве действенного рычага для шантажа, поскольку способна подорвать устойчивость бизнеса, лишив его достигнутых позиций на рынке, — подчеркнул Андрей Арсентьев. |
Среди прочего в отчете аналитиков InfoWatch также отмечены изменения в распределении утечек информации по отраслям. Так, в тройку лидеров по утечкам в 2023 году вошли торговые организации (13%), ИТ-компании (12,6%) и промышленный сектор (10,7%). Что касается распределения инцидентов по странам, то антирейтинг традиционно возглавляют США — причем, их доля увеличилась с 28% до 37,4%. В первую очередь это связано с присутствием в этой стране множества крупных коммерческих компаний, которые лидируют в своих отраслях и поэтому являются приоритетной целью для хакеров.
Существенные изменения произошли и в структуре утечек по размеру организаций. Так, если в 2022 году более половины инцидентов произошли в крупных компаниях, то по итогам прошлого года их доля составила всего 35,5%. Таким образом, произошло перераспределение рисков в сторону малых организаций, доля которых в общем распределении утечек информации увеличилась с 15,6% до 35,6%. Аналитики отмечают, что это связано с более низким уровнем защищенности небольших компаний и отсутствием у многих из них достаточных средств для усиления ИБ. В результате малый бизнес в 2023 году стал более легкой мишенью для злоумышленников[2].
Личная информация клиентов T-Mobile попала в общий доступ
Личная информация клиентов немецкого телеком-оператора T-Mobile попала в общий доступ. В частности, в публичном доступе оказались имена, номера телефонов, адреса, данные об остатках на счетах, а также информация банковских карт клиентов оператора. Об этом 26 сентября сообщили в пресс-службе депутата ГосДумы РФ Антона Немкина. Подробнее здесь.
Неизвестный хакер украл данные сотрудников Coinbase
Криптовалютная платформа Coinbase сообщила, что неизвестный злоумышленник украл учетные данные одного из сотрудников, пытаясь получить удаленный доступ к системам компании. Об этом стало известно 21 февраля 2023 года. Подробнее здесь.
2022
Почти 30 ГБ данных BRP украли злоумышленники
8 августа 2022 года компания BRP сообщила о кибератаке, которая привела ко временной остановке всех операций фирмы. Ответственность за атаку взяла на себя банда вымогателей RansomEXX. 23 августа группировка RansomEXX на своем onion-сайте утечки опубликовала 29,9 ГБ украденных файлов BRP. Подробнее здесь.
Кража учетных данных продолжает оставаться самым популярным методом атаки
В отчете Verizon от 2022 года о расследовании утечек данных говорится, что почти 50% всех утечек данных произошли из-за кражи учетных данных. Согласно тому же отчету, украденные учетные данные чаще всего используются для атак на веб-приложения. Информация об этом появилась 16 августа 2022 года. Подробнее здесь.
Закрыт RaidForums-хакерский форум по торговле краденными базами данных
Власти США заблокировали работу RaidForums, форума, где по сети торговали похищенными данными. Об этом говорится в заявлении Минюста США, распространенном 12 апреля 2022 года. Сайт был был закрыт правоохранительными органами США, Соединенного Королевства, Швеции, Португалии и Румынии в ходе операции «TOURNIQUET», координируемой Европолом. Подробнее здесь.
2021
Зафиксировано 1729 случаев утечки конфиденциальных данных из компаний и госорганов
6 апреля 2022 года компания ГК InfoWatch опубликовала исследование утечек информации ограниченного доступа, зарегистрированных в 2021 году во всем мире. Всего за анализируемый период в открытых источниках были 1729 случаев утечки конфиденциальной информации из компаний и госорганов, что на 28,1% меньше, чем за аналогичный период 2020 года (2406 случаев). Скомпрометированными оказались 8,42 млрд записей персональных (ПДн) и платежных данных, что на 28,8% меньше, чем в 2020 году, когда количество утекших записей составило более 11,82 млрд (по уточненным данным). Количество записей также оказалось меньше, чем в аномальном по этому показателю 2019 году (15,1 млрд), но больше, чем в 2018 году (7,24 млрд).
По мнению аналитиков InfoWatch, снижение количества опубликованных в СМИ и других открытых источников случаев утечек может быть связано, в первую очередь, с ослаблением в ряде компаний контроля за дистанционными сотрудниками вследствие пандемии (отсюда могла вырасти латентность утечек внутреннего характера) и усилением в крупных компаниях организационно-технических мероприятий по защите информационной инфраструктуры, в том числе внедрению DLP-систем. Помимо этого, среди причин сокращения количества утечек, ставших известными общественности, авторы отчета отмечают распространение ранее похищенных баз конфиденциальных данных, необходимых для реализации мошеннических схем. В частности, используя данные из утечек прошлых лет, злоумышленники устраивали фишинговые атаки, эксплуатируя темы, связанные с выплатами на детей, дотациями и другими мерами поддержки населения во время пандемии. Немаловажным фактором сдерживания роста выявляемых утечек также явилось развитие вредоносного ПО, нацеленного прежде всего на блокировку доступа к данным или их шифрование с целью получения выкупа, а не на похищение информации.
На апрель 2022 года по-прежнему доминирующим типом информации, подверженной компрометации, остаются персональные данные – каждая единица конфиденциальной информации о человеке имеет вполне осязаемое материальное воплощение в цифровую эпоху. Вместе с тем, мы наблюдаем снижение интереса к платежной информации, что связано с растущей защищенностью банковской инфраструктуры и сложностями с монетизацией этой информации. При этом мы отмечаем внимание к коммерческим секретам и ноу-хау, что, очевидно, связано с усилением конкурентной борьбы на внутренних и международных рынках. Что касается отраслевой специфики, то исследование подтверждает сокращение доли утечек в финансовой сфере и рост количества утечек в промышленности. |
По итогам 2021 года инциденты, произошедшие в результате действий внешних нарушителей, составили почти 2/3 случаев, что представляет собой зеркальную картину по сравнению с той, что наблюдалась еще несколько лет назад, когда основными источниками нарушений выступали сотрудники. Это может быть связано со становлением широкого спектра хакерских группировок, повышением доступности вредоносного ПО (в том числе по мере развития модели RaaS – «вредоносное ПО как услуга»). Вероятно, принятые в зарубежных странах регламенты (например, GDPR в странах ЕС), которые предписывают обязательное оповещение регуляторов об утечке в кратчайшие сроки, могут существенно искажать реальную картину нарушений – в такой ситуации многим компаниям выгодно винить во всём хакеров, скрывая, в частности, пробелы в организации безопасной удалённой работы и защищая свой имидж. В итоге доля умышленных случаев среди всех зарегистрированных утечек в глобальном масштабе продолжила расти и достигла 82%. Доля умышленных утечек внутреннего характера (по вине сотрудников) вновь составила более 50%.
Несмотря на то, что на апрель 2022 года Россия сохраняет второе место после США по количеству утечек, в 2021 году их число в России сократилось на 40%. Так, доля утечек от общего количества выявленных случаев в США составляет 41,8%, в России – 16,8%, на третьем месте - Соединенное Королевство Великобритании и Северной Ирландии с долей в 4,9%. Стабильными поставщиками новостей об утечках в мире выступают те страны, где развито законодательство о защите информации, прежде всего – персональных данных. Речь в первую очередь идет о США и Евросоюзе, где компании по закону обязаны раскрывать информацию об инцидентах уполномоченным органам, а в случае сокрытия утечек рискуют получить огромные штрафы.
Распределение по отраслям показало, что в тройку лидеров по утечкам стабильно входят высокотехнологичные компании, организации из сферы здравоохранения и госсектор.
Доля утечек информации без применения средств автоматизации (компрометация данных в результате кражи или потери бумажных документов, а также в результате кражи или потери средств хранения) за четыре года снизилась более чем в три раза – с 14,1% до 4,5%. Это свидетельствует о все большей цифровизации мира.
Основным каналом утечек остается Сеть – компрометация данных из подключенных к Интернету корпоративных систем и облачных хранилищ.
Есть мнение, что вследствие ускоренной цифровизации и массового перехода на удаленную работу количество утечек должно расти. Но в 2021 году мы наблюдали обратную ситуацию. Причем сокращение шло как в поле известных случаев – опубликованных в СМИ, в отчетах компаний, CERT и т.п., так и при изучении рынка предложений в Дарквебе. Стоит отметить, что в начале 2022 года количество утечек начало расти. Мы видим, что практически ежедневно поступают сообщения об атаках на известные компании и взломах крупных баз данных, что, очевидно, связано с текущими политическими и экономическими событиями в мире. Вероятно, антиглобализационные процессы, давно наметившиеся в мире, резко ускорятся, а значит, борьба различных центров влияния спровоцирует не только политические и экономические конфликты, но также кибервойны. Хотя основное внимание служб информационной безопасности приковано к мониторингу внешних угроз, ни в коем случае нельзя забывать об опасности, которую для информационных активов потенциально представляют недобросовестные или некомпетентные сотрудники. К тому же, в существующей реальности наверняка продолжат усложняться векторы угроз: все чаще речь приходится вести речь о «гибридных атаках», когда хакеры прибегают к помощи инсайдеров. Компаниям необходимо срочно решать проблему защиты инфраструктуры в условиях комбинированной работы, ставшей привычным форматом по всему миру. поведал Андрей Арсентьев |
Число утечек данных из-за вирусов-вымогателей в мире взлетело на 82%
В 2021 году утечки данных, связанные с вирусами-вымогателями, выросли на 82% по сравнению с 2020 году. Такие данные американская компания по кибербезопасности CrowdStrike представила в середине февраля 2022 года.
В отчете говорится, что число попыток атак с использованием вирусов-вымогателей выросло на 148% по сравнению с 2020 годом. В то же время средняя сумма выкупа выросла на 36%, до $6,1 млн. Отмечается в отчете и то, что не только кража данных, связанная с выкупом, становится все более распространенной среди хакеров, атаки сами по себе с выкупом, становятся все более частыми в целом.
По словам старшего вице-президента по разведке CrowdStrike Адама Мейерса, организациям требуется не только антивирусная защита или защита от вредоносных программ. Чтобы оставаться в безопасности, им необходимо внедрить систему сетевого доступа с нулевым доверием и надежную аутентификацию личности. Как правило, утечка данных происходит в процессе переговоров, если жертва демонстрирует нежелание платить выкуп или просит больше времени, злоумышленник размещает часть украденных данных в интернете, чтобы оказать дополнительное давление на свою жертву, сказал Майерс.
Хотя многие компании теперь могут восстановить свои данные из резервной копии, что снижает вероятность уплаты выкупа, сам факт угрозы утечки данных может изменить их мышление. Обычно в 2013-2020 годах, если компания или организация подвергалась взлому, компания сама решала, когда об этом инциденте уведомлять своих клиентов, акционеров и сотрудников, и лишь от руководителей бизнеса зависело, что компания хочет афишировать.
В 2021 году в результате утечки данных произошли такие атаки на Национальную стрелковую ассоциацию, Accenture и Quanta. CrowdStrike также отслеживает другие кибердействия, которые относятся к сфере использования данных в качестве оружия, включая иранские группы, использующие тактику выкупа, которую CrowdStrike называет блокировка и утечка.[3]
Авиакомпания British Airways урегулировала дело об утечке данных данных клиентов в 2018 году
6 июля 2021 года стало известно о том, что авиакомпания British Airways урегулировала дело об утечке данных клиентов в 2018 году.
Пострадавшие от утечки данных клиенты и сотрудники получат компенсацию.
В общей сложности от утечки данных пострадало около 429 612 клиентов и сотрудников. Злоумышленники в течении двух недель похищали персональные и банковские данные пользователей, заказывавших авиабилеты на сайте ba.com или в приложении с 21 августа по 5 сентября 2018 года. Паспортные данные и сведения о полетах скомпрометированы не были.
Условия урегулирования остаются конфиденциальными. О признании ответственности авиакомпании за инцидент не сообщается[4].
В Сеть выложили файл с более чем 8 млрд паролей
8 июня 2021 года стало известно о том, что хакеры выложили в открытый доступ файл с более чем 8 млрд паролей. По информации профильного портала CyberNews, документ имеет объем около 100 ГБ и содержит свыше 8,459 млрд строчек, каждая из которых – это отдельный пароль. Это крупнейшая утечка паролей в истории человечества.
Распространение файла началось с неназванного хакерского форума. В Сеть его выложил пользователь под псевдонимом RockYou2021, и сам файл называется так же. Возможно, это отсылка к утечке RockYou, произошедшей в 2009 г. 12 лет назад файл RockYou тоже содержал скомпрометированные пароли, но их в нем было приблизительно в 262 раза меньше. Он насчитывал 32 млн строк.
По заявлениям самого RockYou2021, в одноименном файле содержатся 82 млрд паролей. Тем не менее, специалисты CyberNews, получившие к нему доступ, заявляют о наличии именно 8,459 млрд записей. В их числе простые и сложные пароли длиной от 6 до 20 символов, включая сложные комбинации букв, цифр и символов.
Согласно подсчетам CyberNews, количество интернет-пользователей во всем мире находится в пределах 4,9 млрд человек. Исходя из этого, вероятность обнаружить пароль в списке высока. Появление в свободном доступе файла RockYou2021 может нанести значительный ущерб приватности пользователей. Киберпреступники, к примеру, могут комбинировать 8,4 млрд уникальных вариантов паролей из этого файла другими данными из подобных баз, утекших ранее. Это могут быть, к примеру, базы с адресами электронной почты. Также этот файл может быть использован для создания так называемых «словарей паролей», упрощающих проведение брутфорс-атак (взлом аккаунтов при помощи специального ПО методом перебора паролей).
В зоне повышенного риска - пользователи, использующие один и тот же пароль для самых разных сервисов. По оценке CyberNews, с несанкционированным доступом к профилям могут столкнуться миллиарды пользователей.[5]
2020
Свыше 72% утечек пользовательской информации в мире допущены умышленно
2020 год привел к росту латентности инцидентов информационной безопасности. Как следствие, в мире зарегистрировано на 4,5% меньше утечек информации из государственных организаций и коммерческих компаний. Вместе с тем, в 2020 году резко выросли доли умышленных утечек, а также утечек по вине внешних нарушителей. Такие выводы содержатся в отчете экспертно-аналитического центра ГК InfoWatch, посвященного ежегодному исследованию утечек информации ограниченного доступа в мире, результатами которого компания поделилась 16 июля 2021 года.
В 2020 году экспертно-аналитическим центром InfoWatch зарегистрировано (стали известными) 2 395 случаев утечки информации ограниченного доступа из коммерческих компаний, государственных органов и организаций. Это на 4,5% меньше, чем годом ранее, но на 5,8% превышает показатель 2018 года. Главный вклад в снижение числа утечек внесли США – там случаев компрометации данных за год стало меньше почти на 20%.
В результате утечек, ставших достоянием общественности за год, во всем мире оказались скомпрометированы 11,06 млрд записей персональных данных и платежной информации, в частности, имена и фамилии, адреса электронной почты, номера телефонов, пароли, сведения о постоянном месте жительства, номера социального страхования, реквизиты банковских карт и данные о банковских счетах. Таким образом, общее число скомпрометированных записей по сравнению с 2019 годом снизилось на 25,5%. В результате среднестатистическая утечка стала «легче» на 22% - 4,62 млн записей в 2020 году по сравнению с 5,92 млн записей в 2019 году.
На наш взгляд, падение количества зарегистрированных (опубликованных) утечек прежде всего связано с повышенным уровнем латентности инцидентов в период пандемии. Спешно перестраивая формы реализации многих процессов, массово переводя сотрудников на дистанционную работу, весной 2020 года далеко не все компании успели оперативно адаптировать системы информационной безопасности к новым реалиям. При этом нельзя забывать, что значительная часть случаев утечек становится достоянием общественности далеко не сразу после инцидентов, а только после публикации утекших данных в открытом доступе или в результате их продажи. В результате еще больший процент утечек, чем раньше, мог оставаться в «серой зоне», - комментирует руководитель направления аналитики и спецпроектов компании InfoWatch Андрей Арсентьев. |
Несмотря на сокращение как количества утечек, так и общего количества скомпрометированных пользовательских записей, в 2020 году стало больше крупных утечек, в результате каждой из которых было скомпрометировано не менее 1 млн записей. Если в 2019 году таких утечек было 169, то в 2020 году их зафиксировано 213 (рост на 26%).
Без учета утечек объемом свыше 1 млн записей, в 2020 году на каждую утечку в среднем пришлось 28,1 тыс. записей, тогда как в 2019 году на подобную утечку в среднем приходилось 19,9 тыс. записей. То есть «типичная» утечка в среднем «потяжелела» примерно на 41,2%. Кстати, в 2019 г. средняя утечка объемом менее 1 млн записей «прибавила в весе» около 43% по сравнению с 2018 г. Поэтому интересно будет посмотреть, сохранится ли такая динамика в 2021 г.
Интересные изменения произошли в распределении случаев утечек информации по типам данных. Доля ПДн в общем распределении инцидентов, связанных с утечками, за год выросла с 76,6% до 80,6%, а доля случаев утечки платежных сведений сократилась с 9,8% до 4,8%. Во-первых, такая динамика связана с усилением зашиты платежной инфраструктуры и с тем, что злоумышленникам все сложнее становится использовать данные скомпрометированных карт. Во-вторых, на черном рынке растет ценность персональных данных, у преступников есть довольно большие возможности извлечения прибыли из личной информации о человеке: оформление кредитов, получение пособий, продажа баз с ПДн для электронного маркетинга, фишинг, шантаж.
В 2020 году основной вектор утечек продолжал смещаться в сторону внешнего нарушителя. Действия хакеров и неизвестных лиц из-за пределов информационного контура организаций привели к 55,9% утечек. Соответственно, 44,1% утечек были спровоцированы различными действиями (а порой и бездействием) персонала.
В 2019-2020 годах значительно сократился объем данных, скомпрометированных в результате одной утечки, вызванной внешним воздействием. В среднем на одну «внешнюю» утечку в 2020 году пришлось 2,8 млн скомпрометированных записей. Вероятно, хакеры стали более разборчивы в своих предпочтениях и, проникнув в сеть компании, стараются украсть самую ликвидную информацию.
При этом в результате одной утечки данных по вине внутреннего нарушителя было скомпрометировано в среднем 6,8 млн. записей. Такое соотношение связано, в первую очередь, с бурным развитием облачных сервисов и накоплением в хранилищах огромных объемов информации, которая может утекать из-за халатности сотрудников. Речь идет прежде всего о некорректных настройках хранилищ в облачных сервисах типа Amazon и MongoDB, а также допущенных уязвимостях на веб-сервисах.
В 2020 году 98,2% записей персональных данных и платежной информации по вине внутренних нарушителей, то есть сотрудников компаний, утекли в результате случайных нарушений.
Такая колоссальная доля не должна удивлять: утечки случайного характера приводят к компрометации больших, порой многомиллионных, баз данных – например, вследствие неправильных настроек облачных хранилищ или изъянов, допущенных в ходе разработки приложений и веб-сайтов. В то же время нарушители, действующие умышленно, обычно нацеливаются на небольшие сегменты с наиболее ликвидными данными, которые можно быстро монетизировать своими силами (при банковском фроде) или выгодно продать (например, случай, когда менеджер передает базу клиентов компании ее конкурентам). Умышленные нарушения со стороны сотрудников – это, как правило, кража (незаконное использование) нескольких десятков или сотен, реже - тысяч или десятков тысяч записей ПДн. Утечки баз с миллионнами записей в результате преднамеренных действий персонала происходят очень редко, - объясняет Андрей Арсентьев. |
В 2020 году во всех отраслях отмечен всплеск доли умышленных утечек, что в первую очередь связано с существенным ростом ликвидности данных в период пандемии: в это время недобросовестные сотрудники активно искали дополнительный заработок, а хакеры пользовались тем, что компании в авральном режиме меняли привычные формы реализации процессов и могли при этом ослабить контроль информационных активов. В результате совокупная доля умышленных утечек пользовательской информации достигла 72,5%, тогда как годом ранее она составила 60,2%.
Аналитики InfoWatch пришли к выводу, что последние три года продолжается рост количества умышленных утечек, доли утечек персональных данных и коммерческой тайны, увеличение доли сетевого канала одновременно со снижением роли бумажных документов и электронной почты.
Число утечек информации в Белоруссии увеличилось на 44%
За период 2019-2020 гг. на основе публичных сообщений выявлено 24,4 тысячи записей, в результате утечки которых были скомпрометированы персональные данные белорусских граждан. В 2020 году количество утечек информации из органов власти, государственных организаций и коммерческих компаний в Республике Беларусь (РБ) увеличилось на 44% по сравнению с 2019 годом. Об этом 18 февраля 2021 года сообщили в компании InfoWatch.
В 2019-2020 гг. экспертно-аналитическим центром InfoWatch зарегистрировано 22 случая утечки информации ограниченного доступа из белорусского госсектора и коммерческих компаний. В 13 инцидентах были скомпрометированы персональные данные (59%), остальные 9 (41%) повлекли утечку таких информационных активов как коммерческая тайна, государственная тайна, ноу-хау и платежные данные. За два года в 40% случаев утечки информации были спровоцированы действиями внешних нарушителей, в 60% - внутренних.
По мнению авторов исследования, «увеличившееся число утечек, прежде всего, связано с политической ситуацией. Противостояние белорусских властей и оппозиции вылилось в митинги граждан, где порой применялась сила. В свою очередь, оппозиция использовала компрометацию данных как средство борьбы с действующей властью. Примерно 1/3 всех известных случаев компрометации данных пришлись на умышленные утечки персональных данных белорусских силовиков».
Волна утечек, спровоцированных политическими протестами в Республике Беларусь, повлияла на отраслевое распределение инцидентов информационной безопасности за указанный временной период – в результате более 45% зафиксированных случаев утечек произошли в государственных организациях и силовых структурах. В подавляющем большинстве инцидентов главными виновниками утечек, связанных с внутренним нарушителем, стали рядовые сотрудники. Среди всех утечек внутреннего характера 75% отнесены к умышленным.
Более 86% утечек в Белоруссии за 2019-2020 гг. произошли через Сеть и сервисы отправки мгновенных сообщений. При этом не было зарегистрировано утечек через ранее распространенные каналы утечки информации – электронная почта, оборудование и бумажные документы.
Авторы отмечают, что как в России, так и в Белоруссии одна из основных проблем в сфере информационной безопасности связана с защитой, прежде всего персональных данных и таких сведений как коммерческая тайна, от внутренних нарушителей. Структура даже относительно небольшого числа выявленных инцидентов – 22 случая за 24 месяца – свидетельствует о назревшей необходимости усилить защиту информации как в госсекторе, так и в ряде отраслей экономики РБ.
Адреса 270 тыс. владельцев кошельков Ledger опубликованы на хакерском форуме
Адреса 270 тыс. владельцев кошельков Ledger опубликованы на хакерском форуме. Об этом стало известно 21 декабря 2020 года. Подробнее здесь.
Хакеры похитили электронные письма клиентов облачных сервисов Microsoft
Хакеры похитили электронные письма клиентов облачных сервисов Microsoft. Об этом стало известно 25 декабря 2020 года. Подробнее здесь.
В Google Cloud 131 из 2064 баз данных настроены неправильно
В Google Cloud 131 из 2064 баз данных (бакетов) настроены неправильно, поэтому их содержимое доступно всем желающим. Найти их также не составляет особого труда, для этого уже разработаны специальные сканеры. Об этом стало известно 9 декабря 2020 года. Подробнее здесь.
Незащищенная база данных раскрыла масштабную мошенническую схему в Facebook
Исследователи безопасности из фирмы vpnMentor обнаружили базу данных Elasticsearch в общем доступе в Сети, которая содержала информацию о более чем 100 тыс. взломанных учетных записях пользователей социальной сети Facebook. Об этом стало известно 17 ноября 2020 года. Подробнее здесь.
Данные пользователей «Киви-такси» оказались в открытом доступе
11 августа 2020 года стало известно, что в открытом доступе оказалась база данных пользователей сервиса online-бронирования трансферов «Киви-такси» (kiwitaxi.com). Подробнее здесь.
COVID-19 спровоцировал около 3,5 млн утечек персданных в мире
4 августа 2020 года экспертно-аналитический центр ГК InfoWatch опубликовал исследование, посвященное изучению случаев утечек конфиденциальной информации, относящейся к коронавирусной инфекции – COVID-19. За первое полугодие 2020 года зафиксировано 72 случая преднамеренной или случайной утечки в мире и 25 - в России. В результате всех выявленных утечек скомпрометированы персональные данные 3,43 млн человек в мире и 35,5 тыс. в России.
Исследование показало, пиковым месяцем по компрометации конфиденциальной информации стал апрель 2020 года, как в глобальном, так и в российском масштабе и в большой степени они касались компрометации данных пациентов с коронавирусом. Практически половина всех случаев, связанных с COVID-19 в мире произошла из медицинских учреждений, на их долю пришлось более 43% всех утечек по теме COVID-19.
К сожалению, анализ инцидентов за первое полугодие 2020 года показал, что сфера здравоохранения не смогла обеспечить защиту основополагающего артефакта цифровой эпохи – персональных данных граждан, включая защищаемую законом информацию о состоянии здоровья. При этом утечки информации о пациентах и о контактных лицах, наносили весьма серьезный удар по людям. В «лучшем» случае жертв утечки ожидало назойливое внимание соседей и земляков, в худшем – заболевшие граждане и лица с подозрением на коронавирус становились объектами травли и преследований, - говорит руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. |
В отношении других отраслей характерными стали типы скомпрометированных данных, находящихся во владении организаций. Так, из государственных и муниципальных учреждений, как правило, утекали данные лиц, находящихся на карантине, контактных лиц, нарушителей режима самоизоляции. Из сферы высоких технологий терялись данные исследований о COVID-19 и сведения из программ слежки за населением во время карантина, а транспортная отрасль допустила утечку данных пассажиров с подозрением на коронавирусную инфекцию. Доминирующим типом данных во всех случаях оказались персданные, В России на их долю пришлось 100% случаев. В глобальном масштабе 4,2% случаев привели к утечке государственных секретов, а 2,8% - коммерческой тайны.
Основным каналом утечек информации, связанной с пандемией, стала сеть.
В 64,2% случаев во всем мире персональные данные, относящиеся к пандемии COVID-19, были скомпрометированы в виде списков - отдельные документы, сводки, фрагменты записей. Нарушители фотографировали списки, набирали увиденную или услышанную информацию на своих устройствах, после чего в большинстве случаев распространяли ее через мессенджеры или группы в социальных сетях. Ряд утечек произошли, когда менеджеры организаций случайно отправили данные по неправильным адресам электронной почты, - подтверждает Андрей Арсентьев. |
Оставшаяся доля утечек (35,8%) произошла в результате взлома хранилищ данных, нелегитимного доступа к ним, случайного раскрытия информации из-за неверных настроек серверов или ошибок в приложениях.
Аналитики пришли к выводу, что пандемия коронавируса высветила ряд «болевых точек» в организации корпоративных систем ИБ. В частности, подтвердился низкий уровень зрелости процессов управления ИБ в медицинской сфере, а также независимо от страны, где происходили инциденты, в ряде муниципальных и государственных структур. В очередной раз одним из основных каналов утечек стали мессенджеры и доступ персонала к корпоративным ресурсам с личных устройств.
Хакеры получили доступ к базе данных производителя криптовалютных кошельков Ledger
Компания Ledger, выпускающая аппаратные кошельки для хранения криптовалюты, сообщила на своем официальном сайте об утечке данных миллиона пользователей. Об этом стало известно 30 июля 2020 года. Подробнее здесь.
В даркнет утекла база данных CloudFlare с 3 млн реальных IP-адресов
27 июля 2020 года стало известно, что в даркнет утекла база данных Cloudflare с 3 млн реальных IP-адресов. Подробнее здесь.
Сервисы Apple привязывались к номерам телефонов, что приводило к утечкам данных
В окружной суд Южного округа Нью-Йорка был подан коллективный иск против компаний Apple и T-Mobile за уязвимость в iMessage и FaceTime. Об этом стало известно 7 июля 2020 года. Подробнее здесь.
В сети опубликовали базу данных миллионов пользователей Telegram
24 июня 2020 года стало известно, что в интернет утекла база с информацией о нескольких миллионах пользователей мессенджера Telegram. Подробнее здесь.
Данные 515 тыс. серверов, домашних маршрутизаторов и IoT-устройств оказались в открытом доступе
Киберпреступник выложил в открытый доступ списки учетных данных Telnet для более 515 тыс. серверов, домашних маршрутизаторов и IoT-устройств. Об этом стало известно 20 января 2020 года. Подробнее здесь.
2019
В сфере ритейла, гостеприимства и общепита скомпрометировано 300,5 млн записей персональных и платёжных данных
27 августа 2020 года ГК InfoWatch опубликовала отчет по утечкам конфиденциальной информации из сферы розничной торговли, гостеприимства и общественного питания в 2019 году (Retail&HoReCa). Авторы исследования зафиксировали в мире 163 случая утечки информации ограниченного доступа, в результате которых оказались скомпрометированными 300,5 млн записей персональных данных и платежной информации, в том числе 9,3 млн записей – в России. Почти 60% случаев утечки такой информации в мире произошло в результате хакерских атак и действий неизвестных лиц. В то же время, в России главными виновниками утечек стали рядовые сотрудники (65% случаев).
Если в глобальном масштабе утечек из сферы ритейла, гостеприимства и общепита стало больше на 7,2% по сравнению с 2018 годом, то в России число утечек в данной отраслевой группе выросло на 33,3%. В 2019 году утечки информации произошли в таких известных торговых, ресторанных и гостиничных сетях, как McDonalds, IKEA, Auchan, «Красное&Белое», Ozon, Dunkin’ Donats, HauteLook, Petflow, Gearbest, Moda Operandi, Tommy Hilfiger, Sephora, CafePress, Hy-Vee, Tesco, Macy’s, Marriott, Pyramid Hotel Group. На долю торговой сферы пришлось почти ¾ всех случаев утечек в исследуемой отраслевой группе, второе место показал общепит - 21,5%, третье - гостинично-ресторанный бизнес с долей 4,9%.
По словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсентьева, «внимание к отрасли с нашей стороны обусловлено ее высокой социальной значимостью. Большинство людей в мире и России часто посещают магазины, кафе, рестораны, постоянно пользуются услугами доставки товаров, особенно во время пандемии, останавливаются в гостиницах на отдыхе или по работе. Обрабатываемая сферой Retail&HoReCa информация – контактная информация, сведения из программ лояльности, данные платежных карт, коммерческие сведения - очень ликвидна на черном рынке. Поэтому случаи утечек персональных и платежных данных почти для каждого гражданина той или иной страны довольно болезненны. Не стоит забывать и о том, что Retail&HoReCa – одна из самых развитых, хорошо масштабируемых и высококонкурентных отраслей, дающая работу широким слоям населения. В глобальном масштабе группа Retail&HoReCa демонстрирует самую высокую долю утечек платежных данных среди всех отраслей - 31,3%. Что характерно, в России утечек платежной информации из корпоративного контура этой группы в прошлом году не зафиксировано». |
За 2019 год подавляющая часть записей ПДн и платежных данных в рассматриваемой отраслевой группе была скомпрометирована в сфере торговли, и только 2,5% пришлось в сумме на гостиничный бизнес и общепит. Однако если выделить скомпрометированную платежную информацию в мире (данные дебетовых и кредитных банковских карт), то получается иная картина: наибольшая доля пришлась на сферу общепита – 54,3% записей, далее идет ритейл с долей 44,5%, на третьем месте гостиничный бизнес - 1,2%. Такая ситуация может свидетельствовать о серьезных пробелах в защите платежной инфраструктуры со стороны многих участников рынка общественного питания.
Более 56% утечек по направлению Retail&HoReCa в мировом масштабе произошли в результате внешнего воздействия. В России, наоборот, превалируют умышленные нарушения внутреннего характера. Такое положение дел на отечественном рынке свидетельствует не только о повышенной опасности со стороны персонала, но и о пока сравнительно невысокой востребованности информационных баз российского сегмента Retail&HoReCa хакерскими группировками. Как в мире, так и в России среди каналов утечек в сфере Retail&HoReCa доминирует Сеть.
В выводах исследования авторы отмечают, что кража платежной информации – бич сегмента общественного питания в мире и, в меньшей степени, мирового ритейла. Достаточно высокая доля утечек в России, сопряженных с мошенническими действиями, и большая доля умышленных нарушений со стороны персонала рассматриваемой отраслевой группы, свидетельствует о том, что отечественному ритейлу необходимо уделить повышенное внимание информационной безопасности.
От организаций сегмента Retail&HoReCa в целом следует ожидать как более тщательного выстраивания процессов обработки информации на всех этапах оказания услуг, так и внедрения систем защиты информации, в т.ч. DLP-систем с модулями предиктивной аналитики для своевременного обнаружения аномалий в действиях сотрудников при работе в автоматизированных системах предприятий.
«В связи с распространением коронавируса, в 2020 году колоссальная нагрузка легла на дистанционные каналы обслуживания клиентов, соответственно, отмечен резкий крен в сторону приема безналичных платежей. Поэтому по итогам этого года можно ожидать значительных изменений в структуре утечек по группе Retail&HoReCa, причем в большей степени это касается розничной торговли и сферы общественного питания, особенно сегмента доставки продуктов и готовой еды», - заключил Андрей Арсентьев. |
InfoWatch: Количество скомпрометированных данных в мире увеличилось вдвое
17 июля 2020 года экспертно-аналитический центр ГК InfoWatch опубликовал результаты ежегодного исследования по утечкам конфиденциальной информации в мире. За 2019 год зафиксировано 2509 утечек данных из расположенных по всему миру коммерческих и государственных организаций, а также органов власти. По сравнению с 2018 годом число утечек выросло на 10,8%.
Персональные данные (ПДн) и платежная информация в сумме составили 86% утечек. Всего было скомпрометировано 14,8 млрд записей, это более чем вдвое превысило число утекших записей ПДн и платежных данных в 2018 году.
Авторы исследования констатируют, что в 2019 году зарегистрирован целый ряд утечек, затронувших полную популяцию или как минимум большинство жителей отдельных стран. Подобные «утечки национального масштаба» зафиксированы в Эквадоре (20,8 млн записей), в Канаде (15 млн записей), в Чили (более 14 млн записей), в Болгарии (5 млн записей). В 2020 году выявлены случаи компрометации огромных государственных баз данных. В частности, появилась информация об утечке персональных данных всех граждан Грузии, а также личной информации граждан Израиля, имеющих право голоса.
Как отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев,
рост объема данных, скомпрометированных в результате утечек, закономерно отразился на росте «мощности» утечки, т.е. объема записей в расчете на один случай намеренной или случайной компрометации данных. Так, в 2019 году в результате одного инцидента было скомпрометировано в среднем 5,92 млн записей, что на 84% больше, чем годом ранее. На наш взгляд, это объясняется развитием цифровых сервисов и, как следствие, ростом цифровизации в большинстве секторов государственного управления и экономики. Также к росту объема скомпрометированных записей привело развитие практики привлечения организациями сторонних подрядчиков для работы с накопленными данными — для обзвонов, маркетинговых кампаний, дата-майнинга и т.д.. |
Спровоцированные внутренними нарушителями утечки привели к потере 9,8 млрд записей, составляющих 67,6% общего массива утекшей информации. Соответственно в результате действий внешних нарушителей утекло около 4,7 млрд записей или 32,4% всего объема скомпрометированных записей. В 41% утечек виновниками оказывались действующие сотрудники, в 2% - руководство компаний. Еще 4,6% пришлось на подрядчиков, 2,1% инцидентов были инициированы бывшими сотрудниками, а 0,3% системными администраторами. Почти половина утечек – 49,7% - произошли в результате хакерских атак и иных действий извне. По сравнению с 2018 годом, отмечен взрывной рост хакерской активности. В результате число выявленных случаев утечек по вине внешних злоумышленников выросло более чем на 45%.
Наиболее привлекательными отраслями для внутренних нарушителей авторы исследования выделяют банки и финансовый сектор, госорганы и силовые структуры, что объясняется высокой ликвидностью данных, обрабатываемых в указанных вертикалях.
Решающим фактором, провоцирующим недобросовестного сотрудника на преступление, выступает сравнительная легкость, с которой украденное можно «монетизировать». Наиболее очевидный способ «монетизации» — продажа похищенных сведений ближайшему конкуренту своего работодателя», - отмечает Андрей Арсентьев. |
В то же время для внешнего нарушителя наиболее востребованными остаются компании сегмента HoReCa (гостеприимство и общепит), медицинские и образовательныеорганизации.
Авторы исследования пришли к выводу, что в 2019 году почти на треть стало больше нарушений, спровоцированных умышленными действиями персонала с целью получения выгоды от использования доверенных сотрудникам массивов персональных данных клиентов, сведений категории «коммерческая тайна» и других информационных активов. Также вызывает тревогу лавинообразный рост числа утечек из неправильно сконфигурированных облачных хранилищ. Во многом из-за этого число записей ПДн и платежной информации, утекших в результате действий внутренних нарушителей, вдвое превысило число записей, украденных внешними злоумышленниками.
InfoWatch: За год в мире скомпрометировано 13,7 млрд записей персональных данных
28 мая 2020 года экспертно-аналитический центр группы компаний InfoWatch представил исследование структуры утечек персональных данных (ПДн) в мире и в России за 2019 год. Выяснилось, что в общей совокупности зарегистрированных утечек доля умышленных и неумышленных утечек ПДн как основного вида конфиденциальной информации в мире составила 74,8% случаев, а в России 85,2%. Общее число скомпрометированных записей персональных данных за год - более 13,7 млрд единиц: имена и фамилии, адреса электронной почты, контактные телефоны, сведения о постоянном месте проживания, номера социального страхования. Таким образом, число скомпрометированных записей личной информации почти вдвое превысило мировое население, то есть многие люди неоднократно становились жертвами утечек ПДн по вине внешних злоумышленников и персонала различных компаний.
В рамках исследования экспертно-аналитическим центром InfoWatch изучены 1 748 случаев утечек персональных данных из коммерческих компаний, государственных органов и организаций, зарегистрированные во всем мире, в том числе 322 утечки в России. Для итоговой классификации были выбраны только основные типы данных, которые касаются личности человека, его основных документов как гражданина, специалиста и собственника, а также контактной информации и медицинского обслуживания. Сравнение с 2018 годом показало рост утечек ПДн на 22,5% в мире и на 56% в России. При этом доля умышленных утечек ПДн в мире за 2019 год составила 60,2%, в России 48,6%.
По словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсентьева, «обращает на себя внимание то, что в России существенно чаще, чем в мире «утекают» телефонные номера, включая детализацию вызовов, и паспортные данные – каждый из данных типов можно встретить более чем в 30% утечек. Такое положение связано, с одной стороны, с высокой ликвидностью контактов, информации, составляющей тайну переговоров, и сведений из официальных документов на черном рынке – такие данные достаточно легко конвертируются в «живые деньги». Такое положение также говорит о недостаточном уровне защищенности хранилищ с телефонными номерами и паспортными данными в России. Такие типы данных уязвимы прежде всего перед лицом внутренних угроз». В то же время в глобальном масштабе существенно чаще, чем в России, «утекают» адреса, даты рождения, адреса электронной почты, учетные данные (пароли) и ключевые идентификаторы налогоплательщиков – номера SSN в США и их аналоги в других странах. Зарубежные внутренние нарушители в несколько раз чаще, чем их российские «коллеги», воруют медицинскую информацию. Данные пациентов считаются одними из самых востребованных на черном рынке ряда стран, особенно в США, где развита страховая медицина. Цена одной записи из клиники может составлять сотни и даже тысячи долларов.
Среди каналов утечек в мире доминирует Сеть, на нее приходится более 60% утечек в России и почти 70% в мире. При этом в России за 2019 год резко выросла доля утечек посредством сервисов мгновенных сообщений. Так, на этот канал приходится почти четверть зарегистрированных утечек умышленного характера.
В InfoWatch отметили, что в России через канал электронной почты в 2019 году утечки ПДн происходили довольно редко. Это справедливо как для умышленных нарушений, так и для утечек случайного характера.
«Судя по всему, отечественные компании и госорганы научились контролировать электронную переписку через свои серверы с помощью DLP. Попытки передачи конфиденциальных данных блокируются с высокой степенью надежности. Кроме того, нарушители, узнав об установленной в компании системе предотвращения утечек, не рискуют пересылать внутреннюю информацию по защищаемым каналам», отметил Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch |
В результате исследования эксперты делают вывод о том, что в цифровую эпоху каждая единица информации о человеке приобрела вполне реальную, осязаемую ценность, а утечки персональных данных все больнее бьют по организациям, особенно по коммерческому сектору. Каждый подобный инцидент чреват тем, что личные данные попадут в руки конкурентов или мошенников. Как следствие, происходит отток клиентов из компаний, многие люди становятся жертвами фишинговых атак, в ходе которых мошенники используют полученные из баз с утечками персональные данные. Кроме того, утечка – это потенциально мощный удар по деловой репутации и вероятные штрафы со стороны регуляторов, прежде всего в США и странах Евросоюза.
InfoWatch: более 98% пользовательских данных внутри компаний утекают в результате случайных нарушений
17 апреля 2020 года экспертно-аналитический центр группы компаний InfoWatch сообщил результаты сравнительного исследования утечек информации, произошедших по вине или неосторожности персонала коммерческих компаний за период с 2013 по 2019 год. В отчете авторы исследования представили как ретроспективу, так и актуальную картину инцидентов, связанных с утечками по вине внутренних нарушителей, обозначили тенденции и векторы возможного развития этого типа угроз.
В 2019 г. по вине внутренних нарушителей (рядовые сотрудники, руководители, системные администраторы) произошло 53,7% всех утечек, зарегистрированных экспертно-аналитическим центром ГК InfoWatch. Это меньше чем в 2018 г., когда внутренние нарушители случайными или преднамеренными действиями спровоцировали 61,6% всех утечек. При этом объем скомпрометированных записей данных в результате внутренних нарушений вырос в 3,6 раза и составил более 9,87 млрд записей.
В расчете на одну утечку для внутренних нарушителей в среднем скомпрометировано 7,3 млн записей. Данный показатель фиксирует общее число скомпрометированных записей, относящихся к персональным данным и платежной информации. Эти типы данных характеризует высокая способность к формализации: они легко поддаются машинной обработке и, как следствие, утечки такой информации чаще выявляются средствами контроля. Значительный рост утекших записей о многом связан с неисполнением сотрудниками правил работы с охраняемыми данными или, что более вероятно, со стремлением ряда компаний максимизировать полезность корпоративных данных для их дальнейшего «обогащения», что порой предполагает доступ к данным со стороны длинной цепочки партнеров. Часто подобная практика оборачивается человеческими ошибками. Так, в 2019 году 58,1% случаев компрометации данных в компаниях и госорганах носили ненамеренный характер. При этом в результате внутренних утечек случайного характера утекло более 98% всех записей пользовательских данных (персональные и платежные данные).
В том случае, когда утечка происходит по злому умыслу, объем похищенной информации (по числу записей) обычно оказывается сравнительно небольшим — только действительно ликвидные сведения, относящиеся, в том числе, к категории «коммерческая тайна». Стоит отметить, что умышленные утечки, составляющие коммерческую тайну, присутствуют во всех отраслях экономики, но чаще всего случаются в сфере ИТ, телекоммуникационных и промышленных компаниях. Не менее интересно распределение случайных утечек внутреннего характера - здесь впереди оказываются медицинские организации, где количество зафиксированных утечек стабильно растет уже много лет, отмечает ведущий аналитик ГК InfoWatch Сергей Хайрук
|
Стоит отметить, что 80% утечек коммерческой тайны, спровоцированных внутренними нарушителями, являются умышленными. В то же время утечки персональных данных в большинстве случаев (70%) носят непреднамеренный характер.
Авторы исследования обращают внимание на развитие тенденции роста различных видов утечек через сетевые каналы. В таких инцидентах практически нет ограничений по объему данных, которые могут быть скомпрометированы. Однако стоит отметить, что потенциально опасным является любой канал передачи информации, и даже небольшая утечка несет угрозу бизнеса – от репутационных потерь и снижения лояльности клиентов до штрафных санкций регуляторов и компенсаций по коллективным искам. Поэтому компания должна серьезно задуматься над обеспечением полноценной защиты корпоративных данных как от внешних, так и от внутренних угроз.
В мире зафиксировано 218 утечек конфиденциальной информации в финансовом секторе
20 февраля 2020 года экспертно-аналитический центр группы компаний InfoWatch опубликовал результаты сравнительного исследования утечек информации из организаций финансовой сферы. Исследование подготовлено с целью выявления динамики процессов, характеризующих глобальную, отраслевую и региональную картину происшествий, связанных с утечками информации. В 2019 году более чем в 27 раз увеличился объем утечек персональных данных и платежной информации, скомпрометированных в результате неосторожности или неправомерных действий персонала банков, страховых компаний, иных организаций финансового сегмента, а также в результате активности внешних злоумышленников (хакерские атаки). По совокупности всех этих действий за год скомпрометировано более 1,04 млрд пользовательских записей (персональные данные и платежные сведения).
По данным экспертов, за 2019 год в мире зафиксировано 218 утечек конфиденциальной информации в финансовом секторе, что на 7,9% больше, чем годом ранее. Такое количество инцидентов составляет 8,7% от всех утечек, зарегистрированных в мире в 2019 году. В 2018 г. доля утечек из финансовых компаний в общем распределении была немного выше – 8,9%. Эксперты объясняют это тем, что «за последний год опережающими темпами росло число утечек в государственных и муниципальных организациях, а также в таких отраслях, как промышленность и транспорт».
В России число утечек из финансовой сферы в 2019 г. выросло на 57,6%, а их доля составляет 13,2% от общего количества зафиксированных в стране утечек.
Очевидная разница в динамике российских и мировых утечек из организаций финансового сегмента объясняется, с одной стороны, сравнительно низкой «базой», с которой «растет» число утечек в России — утечки из банков и страховых компаний до недавнего времени фиксировались и публиковались нечасто. С другой стороны, Россия показывает более интенсивный рост по сравнению с миром во многом за счет повышенного внимания к утечкам в финансовом секторе со стороны общественности,
отмечает ведущий аналитик ГК InfoWatch Сергей Хайрук
|
В финансовом секторе традиционно высока доля утекших платежных данных, то есть сведений банковских карт, необходимых для совершения транзакций. В мире среди всех скомпрометированных записей из финансового сектора она составляет 26,1% в мире. В России эта доля почти вдвое ниже и составляет 13,5%. Утечки информации, содержащей персональные данные, для финансовых и страховых компаний в глобальном масштабе составили 64,5%, а в России этот показатель оказался выше на 12 процентных пунктов. В отчете отмечается, что менее чем в 10% случаев утечек в мировой сфере финансов были скомпрометированы сведения, составляющие коммерческую тайну.
Аналитики InfoWatch пришли к выводу о том, что основная часть утечек в финансовом сегменте происходит в результате умышленных действий или неосторожности внутреннего нарушителя. Такое положение характерно как для мира в целом, так и для России. Однако стоит отметить, что среди зарегистрированных случаев доля утечек данных по вине внешнего злоумышленника (хакерские атаки и другие действия неизвестных лиц) в российском финансовом сегменте в четыре с лишним раза ниже, чем в мировом масштабе. При этом, если в общей совокупности отраслей во всем мире доля утечек по вине или неосторожности внутреннего нарушителя в последние годы снизилось (2018 г. – 61%, 2019 г. – 54%), то в финансовой сфере наблюдается рост - 45% в 2018 году против 63% в 2019 году.
Основным каналом утечки данных остается сеть. На долю этого канала в финансовом сегменте приходится 83,2% всех утечек, и она год от года растет.
Авторы исследования говорят о том, что характер утечек в сфере финансов сильно зависит от используемых организациями технических средств. Подавляющее большинство утечек происходят по причине недостаточного контроля конфиденциальной информации, а также в связи с неисполнением правил работы с охраняемыми данными.
Более 85% взломов записей данных связаны с неправильной настройкой облачных серверов и других систем
11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.
Анализ IBM показал, что из отчетов по более чем 8,5 млрд взломанных записей в 2019 году 7 млрд, то есть более 85%, были связаны с неправильной настройкой облачных серверов и других некорректно сконфигурированных систем. Это разительная перемена по сравнению с 2018 годом, когда соответствующая цифра не превышала половины всех взломанных записей. Подробнее здесь.
Медицинские данные на черном рынке стоят больше банковских
Медицинские данные на черном рынке стоят больше банковских. Об этом в декабре 2019 года сообщили в «Лаборатории Касперского».
По словам экспертов, в даркнете будет появляться все больше объявлений о продаже медицинских данных, в том числе из медицинских карт и страховых полисов, поскольку такая информация считается ценным ресурсом для злоумышленников. Те могут использовать медданные для того, чтобы входить в доверие к пользователям, обманывать их самих или их родственников.
Доступ к данным электронных медицинских карт может быть интересен не только для того, чтобы красть их. Например, хакеры могут вносить в них изменения, чтобы совершать целевые атаки и намеренно затруднять постановку диагнозов.
В «Лаборатории Касперского» отмечают, что медицинские компании все чаще становятся жертвами программ-шифровальщиков. Это происходит по двум основным причинам:
- недостаточно серьёзное восприятие рисков, связанных с цифровизацией, в индустрии здравоохранения;
- отсутствие должного внимания к вопросам обучения сотрудников базовым навыкам кибербезопасности.
С начала 2019 года по декабрь в медицинских организациях по всему миру было атаковано каждое пятое устройство. По прогнозам «Лаборатории Касперского», число подобных атак будет расти, особенно в развивающихся странах, где только начинается процесс цифровизации таких услуг. В частности, будет все больше целевых атак с помощью программ-шифровальщиков, которые приводят к потере доступа к внутренним данным или ресурсам. Это чревато нарушениями в процессе постановки диагноза и даже лишением пациентов помощи, которая требуется немедленно.
Также в исследовании говорится о росте количества атак на научно-исследовательские медицинские институты и фармацевтические компании. Так, в 2019 году были атакованы 49% устройств в фармкомпаниях.[6]
InfoWatch: в первом полугодии количество глобальных утечек данных увеличилось в 3 раза
22 ноября 2019 года аналитический центр компании InfoWatch опубликовал результаты глобального исследования утечек конфиденциальной информации в первом полугодии 2019 года. В данный период аналитиками было зарегистрировано 1276 случаев утечек конфиденциальной информации, из которых 55,6 % произошли в результате внутренних нарушений, а 44,4% из-за внешнего воздействия. Совокупное число скомпрометированных записей пользовательских данных превысил показатель первого полугодия 2018 года более чем в 3,6 раза и составило 8,74 млрд записей.
«Сообщения о крупных инцидентах, связанных с утечками информации ограниченного доступа, в исследуемом периоде появлялись в СМИ практически ежедневно. Причем от нарушений страдают компании самого разного масштаба. Зачастую речь идет о таких мировых брендах, как Airbus, Apple, Facebook, Samsung. По сравнению с аналогичным периодом прошлого года рост утечек конфиденциальной информации составил 22%, а ущерб в ряде случаев можно оценить в сотни миллионов долларов», |
Как показывают результаты исследования, количество «[[|мега-утечек» (более 10 млн скомпрометированных записей на один инцидент) увеличилось вдвое (в январе-июне 2019 г. зарегистрирован 41 случай). Всего на подобные утечки пришлось 97% совокупного объема скомпрометированных записей. При этом характер ущерба от компрометации данных напрямую не зависит от того, кем была спровоцирована утечка – внутренним нарушителем или внешним злоумышленником.
«Внутренние утечки сложнее предупредить, чем внешние. Как правило, в результате внешней утечки, компрометируется набор однородных данных. Утечки, спровоцированные внутренними нарушителями, далеко не всегда ограничены компрометацией одной системы, они могут иметь разнонаправленный и многоуровневый характер», отметил Сергей Хайрук, ведущий аналитик ГК InfoWatch |
В 47,6% случаев виновниками утечек были настоящие или бывшие сотрудники, основным мотивом действий которых служила корысть. Доля утечек персональных (74,3%) и платежных (10,8%) данных составила 85,1%. Распределение умышленных и случайных утечек данных по каналам характеризуется доминированием Сети: 87, 4% и 58,9%, соответственно. Доля «бумажного» канала постепенно сокращается, благодаря «цифровизации» процессов.
По данным исследования, наиболее «привлекательными» для злоумышленников оказались высокотехничные компании и предприятия сегмента HoReCa (гостеприимство, торговля, общественное питание). Они же демонстрируют наибольший объем скомпрометированных данных. При этом более 60% утечек персональных данных в этих компаниях носили умышленный характер.
Аналитики пришли к выводу, что ужесточение регуляторной политики различных государств пока не оказывает существенного воздействия на глобальную картину утечек данных. При этом наметилось некоторое отставание в обеспечении информационной безопасности, и в ближайшей перспективе среди корпоративных угроз первую скрипку будут играть именно умышленные случаи компрометации данных. Актуальной для коммерческих и некоммерческих компаний стала защита персональных данных. В нынешних реалиях особое внимание следует уделить противодействию умышленным утечкам. Во главу угла следует ставить поведенческий фактор с учетом особенностей типа защищаемой информации.
Национальную ассоциацию промышленников США взломали китайские хакеры
Летом 2019 года сеть Национальной ассоциации промышленников (National Association of Manufacturers, NAM) США подверглась кибератаке, предположительно осуществленной спонсируемой китайским правительством киберпреступной группировкой. Об этом стало известно 14 ноября 2019 года. Подробнее здесь.
По числу украденных записей данных лидируют компании из сфер технологий, финансов и здравоохранения
30 октября 2019 года стало известно, что специалисты из компании ImmuniWeb провели исследование, посвященное стремительному росту числа утечек данных у мировые корпорации. С этой целью они проанализировали качество и количество доступных в даркнете учетных данных, похищенных у компаний из списка Fortune 500 из 10 различных отраслей.
С помощью технологии OSINT (Open Source Intelligence) специалисты просканировали общедоступные места и ресурсы в сети TOR, различные web-форумы, Pastebin, IRC-каналы, социальные сети, чаты мессенджеров и другие площадки для продажи или распространения украденных данных.
В общей сложности исследователи выявили более 21 млн учетных данных, принадлежащих компаниям из списка Fortune 500, из которых более 16 млн были похищены за последние 12 месяцев. 95% учетных данных содержали незашифрованные или взломанные злоумышленниками пароли.
Наиболее популярными источниками утечек данных оказались третьи стороны (например, web-сайты или другие ресурсы сторонних организаций), доверенные третьи стороны (сайты или другие ресурсы партнеров или поставщиков) и сами компании (собственные web-сайты или ресурсы).
По числу украденных данных лидируют компании в технологической (5 071 144 украденных данных), финансовой отрасли (4 915 553) и в сфере здравоохранения (1 923 340). Как показали результаты исследования, чаще всего слабые пароли использовались в сфере розничной торговли (47,29% слабых паролей), телекоммуникаций (37,57%) и промышленности (37,36%).
Среди 21 млн учетных записей исследователи обнаружили только 4,9 млн уникальных паролей, свидетельствуя о том, что многие пользователи используют идентичные или похожие пароли. Чаще всего простыми паролями пользуются в технологической отрасли (passw0rd, 1qaz2wsx, career121, abc123 и password1), в финансовой (456a33, student, old123ma, welcome и 123456) и сфере здравоохранения (Exigent, password, pass1, 000000 и 123456).
Приблизительно 42% украденных паролей так или иначе связаны либо с названием компании жертвы, либо со взломанным ресурсом, что повышает эффективность брутфорса паролей[7].
Переписка миллионов пользователей «китайского Tinder» оказалась в открытом доступе
13 августа 2019 года компания Zecurion сообщила, что личные фотографии и переписки пользователей сервиса Sweet Chat, китайского аналога популярного приложения Tinder, хранились на незащищенных серверах, доступ к которым мог получить любой желающий. Об этом пишет Дэррил Бурк, специалист по кибербезопасности и автор блога Respect My Securitay. Подробнее здесь.
За второй квартал скомпрометировано 2,16 млрд записей пользовательских данных
18 июля 2019 года InfoWatch сообщил итоги II квартала 2019 года с точки зрения утечек конфиденциальной информации из организаций и определил самые масштабные инциденты. За основу исследования взяты сообщения из СМИ и других открытых источников в апреле-июне 2019 года. В коммерческих и государственных компаниях по всему миру зарегистрировано почти на 28% больше утечек конфиденциальной информации, чем за аналогичный период 2018 года, - посчитали аналитики InfoWatch. Всего за рассматриваемый период было скомпрометировано 2,16 млрд записей пользовательских данных, что более чем вдвое превышает показатель II квартала 2018 года.
Во второй четверти 2019 года доля умышленных инцидентов выросла с 50% до почти 60%, внешних атак – с 34,5% до 40,6%.
Итоги II квартала в целом подтверждают замеченный в начале года тренд на рост числа умышленных нарушений и внешних атак, а также на более интенсивную компрометацию персональных данных. При этом три четверти всей пользовательской информации (по количеству записей) из компаний утекло в результате случайных нарушений. Самые масштабные непредумышленные утечки происходят через уязвимости на сайтах и незащищенные облачные хранилища, комментирует Андрей Арсентьев, аналитик ГК InfoWatch
|
Доминирующим каналом утечек остается Сеть. Его доля составила 68,2% (61,2% во II квартале 2018 года). Через электронную почту утекло более 14% инцидентов, через бумажные документы примерно 7%, через ПК и съемные устройства около 5%. Еще 5,5% зарегистрированных утечек произошли через мобильные устройства и сервисы мгновенных сообщений.
Во II квартале 2019 года главными злоумышленниками стали хакеры и неизвестные лица – на их долю пришлось 46,6% инцидентов, связанных с утечками конфиденциальной информации из организаций. Это почти на 6 процентов выше, чем за аналогичный период 2018 года. Доля рядовых сотрудников среди нарушителей сократилась с 52,4% до 45,7%.
Из наиболее заметных изменений II квартала в отраслевом разрезе – с 15,5% до 23,8% выросла доля утечек из государственных и муниципальных организаций.
Крупнейшие утечки пользовательских данных из организаций во II квартале 2019 года:
Лидер рынка ипотечного страхования США – компания First American – из-за уязвимости на своем сайте скомпрометировала порядка 885 млн клиентских записей. Используя URL любого документа, путем изменения цифр можно было просматривать множество других записей за 16-летний период. Утекли номера банковских счетов, номера социального страхования, сведения о водительских удостоверениях, записи об ипотечных платежах и налогах, внутренние корпоративные документы (в случае, если участник сделки занимается малым бизнесом) и другая личная информация о покупателях и продавцах объектов недвижимости.
В мае в Сети исследователь Боб Дьяченко обнаружил открытый облачный сервер СУБД MongoDB с персональными данными 275 млн граждан Индии (примерно 20% населения страны). В частности, утекла такая информация, как имена, гендерная принадлежность, электронная почта, номера мобильных телефонов сведения о трудоустройстве и о доходах. Не успев идентифицировать владельца базы, через некоторое время специалист констатировал: хранилище было взломано хакерами. Это были киберпреступники из группировки Unistellar. Они стерли с сервера все данные и оставили записку с контактной информацией, намекая на возможность выкупа данных.
В Даркнете выставлена на продажу огромная база подписчиков популярного приложения TrueCaller – всего порядка 140 млн аккаунтов. За весь пакет данных неизвестные хотят получить 25 тыс. евро. Специалисты по кибербезопасности говорят, что такую базу невозможно собрать вручную, так что речь идет, скорее всего, о взломе приложения. На эту мысль также наводит тот факт, что ранее в TrueCaller была обнаружена опасная уязвимость, позволяющая извлечь данные о любом подписчике.
Получивший в начале года всемирную славу хакер под псевдонимом GhosticPlayers в мае взломал австралийский сервис для графического дизайна Canva. Добычей киберпреступника стали данные примерно 139 млн пользователей. Украдена такая информация, как полные имена пользователей, их настоящие имена, адреса электронной почты, а в ряде случаев также сведения о странах и городах проживания. Кроме того, в скомпрометированной базе оказались 61 млн хэшированных паролей, защищенных алгоритмом bcrypt, который считается одним из самых надежных. Также в хранилище были представлены токены Google, с помощью которых, пользователи могли заходить на сайт без пароля.
Индийская поисковая система JustDial из-за серьезной бреши в системе безопасности скомпрометировала информацию более 100 млн человек. Из базы данных поисковика через URL-адрес была доступна такая информация, как имена пользователей, адреса электронной почты, номера мобильных телефонов, гендерная принадлежность, домашние адреса, фотографии, сведения о работе, род деятельности. Кроме того, JustDial сохранял историю поисковых запросов – на ее основе рекламодатели могли формулировать целевые предложения без согласия пользователей. Проблему выявили в апреле 2019 года, но по данным исследователей, информацию через незащищенный API можно было извлекать с середины 2015.
Хакеры взломали три антивирусные компании в США
12 мая 2019 года стало известно, что в Сети выставлены на продажу данные, принадлежащие трем американским производителям решений безопасности.
Киберпреступная группировка, предположительно российского происхождения, выставила на продажу информацию, похищенную у трех американских производителей антивирусного ПО. Речь идет о группировке под названием Fxmsp, долгое время специализирующейся на продаже подлинных корпоративных данных. Как сообщает ИБ-компания Advanced Intelligence (AdvIntel), нелегальный бизнес принес киберпреступникам порядка $1 млн.
Fxmsp существует с 2017 года и хорошо известна на киберпреступных форумах. По данным AdvIntel, в группировку входят русско- и англоговорящие хакеры. Главной целью киберпреступников являются правительственные учреждения по всему миру, у которых они похищают конфиденциальную информацию. Продажа похищенных данных осуществляется через надежную сеть доверенных посредников.
Как правило, Fxmsp проникает в корпоративные сети через доступные извне серверы RDP и незащищенные активные каталоги (active directory). Кроме того, киберпреступники создали ботнет, способный выуживать у жертв нужные учетные данные.
В марте 2019 года Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов, Искусственного интеллекта и плагинов безопасности. За предоставление доступа к корпоративным сетям и похищенную информацию группировка просит более $300 тыс.
Киберпреступники не сообщают названия скомпрометированных компаний, но предоставляют индикаторы для их идентификации. Fxmsp также предлагает «скриншоты папок с 30 терабайтами данных, предположительно извлеченных из корпоративных сетей». В папках содержится документация по разработке, модели искусственного интеллекта, решения для обеспечения безопасности в Сети, а также код антивирусного ПО[8].
Каждые два отеля из трех передают персональные данные постояльцев рекламодателям и аналитическим компаниям
В середине апреля 2019 года производитель антивирусов Symantec опубликовал результаты исследования, согласно которому каждые два из трех отелей непреднамеренно передают персональные данные постояльцев сторонним фирмам, в том числе рекламодателям и аналитическим компаниям. здесь.
Утечка 30 млрд записей персональных данных за последние 12 лет
28 января 2019 года аналитический центр InfoWatch подготовил специальный дайджест, посвященный Международному дню защиты персональных данных.
Событие берет начало 26 апреля 2006 года, когда Комитет министров Совета Европы учредил специальную дату в честь подписания 28 января 1981 г. Конвенции «О защите лиц в связи с автоматизированной обработкой данных».
Международный день защиты персональных данных призван обратить внимание общества на такие темы, как защита личной информации, неприкосновенность частной жизни, а также принципы хранения, обработки и передачи ПДн.
За 12 лет, прошедшие с первого дня защиты персональных данных, InfoWatch зарегистрировала 14,3 тыс. утечек конфиденциальной информации из коммерческих компаний и государственных организаций. Более 11 тыс. утечек (78% из всей базы) связаны со случаями компрометации персональных данных: ФИО, адреса, электронная почта, паспортные данные, сведения об образовании, информация о доходах, сведения о состоянии здоровья, политические и религиозные взгляды, национальная принадлежность, биометрические данные.
Несмотря на усилия, которые предпринимают государственные регуляторы, бизнес и общественные организации, остановить лавину утечек в условиях массовой цифровизации пока не удается. Всего с 2007 года на январь 2019 года утекло более 30 млрд записей персональных данных, в том числе более 20 млрд за последние два года.
Даже небольшая утечка данных может оказать серьезное влияние на организацию. Главные негативные последствия – падение курса акций, кризис доверия инвесторов и удар по репутации на рынке. Кроме того, компания может столкнуться с санкциями регуляторов (крупные денежные штрафы, прохождение обязательных аудитов, планы по модернизации инфраструктуры ИБ и т.д.) и коллективными исками со стороны людей, чьи данные ей не удалось уберечь от утечки.
Для самих субъектов персональных данных последствия утечек тоже могут оказаться довольно болезненными. Многое зависит от типа скомпрометированной информации и от ее объема. Например, если кто-то слил недобросовестным рекламодателям электронный адрес человека, то негативным последствием для пользователя, скорее всего, станет только получение спама. В том же случае, если в руках злоумышленников окажется большой спектр личной информации об отдельном субъекте, то велик риск мошенничества. Преступники могут совершать определенные действия от имени человека, чьей информацией они завладели, также вероятны подделка документов и кредитное мошенничество.
2018
Бывший сотрудник Cisco признался в удалении 16 тыс. учетных записей Webex Teams
Бывший сотрудник компании Cisco Systems Судхиш Касаба Рамеш признался во взломе облачной инфраструктуры Cisco и удалении 16 тыс. учетных записей Webex Teams в 2018 году. Об этом стало известно 28 августа 2020 года. Подробнее здесь.
40% утечек произошло из облачных хранилищ компаний сферы высоких технологий
25 апреля 2019 года InfoWatch сообщил, что по результатам его глобального исследования в 2018 году в мире было зафиксировано в СМИ и других открытых источниках 70 утечек конфиденциальных данных через облачные серверы и другие незащищенные хранилища информации с доступом через интернет. Это в полтора раза больше, чем годом ранее. Более 40% инцидентов в 2018 году произошло из облачных хранилищ, принадлежащих компаниям сферы высоких технологий.
Высокотехнологичные компании наиболее восприимчивы к современным трендам и охотно переводят свои базы во внешние хранилища. К сожалению, администраторы и инженеры далеко не всегда учитывают все правила информационной безопасности при работе с облачными серверами, отсюда и участившиеся случаи утечек. В результате около 90% от общего объема данных, утекших за 2018 год с незащищенных серверов, пришлись именно на хайтек-индустрию. Также в 2018 году выросла доля утечек с серверов, принадлежащих медицинским организациям и образовательным учреждениям. Доля утечек из финансовой сферы, промышленности и госсектора, наоборот, сократилась. Андрей Арсентьев, аналитик ГК InfoWatch
|
За 2018 год из открытых серверов утекло около 1,3 млрд записей, причем в результате самого масштабного инцидента потеряно 440 млн записей.
В распределении инцидентов по типу данных, как и годом ранее, преобладают персональные данные — 80% случаев. В равной доле, по 9,2% случаев — это утечки платежной информации, а также коммерческих секретов и производственных ноу-хау.
Более четверти всех известных случаев утечек данных из облаков в 2018 году пришлось на объектные хранилища Amazon S3. В 2018 году резко возросло число утечек с серверов Mongo DB — с 6% в 2017 году до 15,7% инцидентов. Кроме того, отмечено большое число случаев компрометации данных, хранящихся на платформах Elasticsearch и Apache, а также при использовании файлового хостинга Google Drive. Доля утечек в процессе резервного копирования сократилась примерно втрое, а при работе с репозиториями GitHub – в семь раз.
По словам авторов отчета, некоторые преступные группы специально исследуют облачные ресурсы на предмет уязвимостей. Так, например, осенью 2018 года выявлена вредоносная кампания Mongo Lock: злоумышленники, используя специальные скрипты, ищут через интернет незащищенные базы данных Mongo DB, затем подключаются к открытому серверу, копируют данные и удаляют их из найденного хранилища. На месте удаленной базы мошенники оставляют файл, где делают запись с требованием о выкупе.
Утечка с незащищенного сервера — яркий пример того, как долгую работу целой корпорации может перечеркнуть одна ошибка. Чтобы избежать утечек корпоративных данных через облако, компании должны не только повышать уровень квалификации системных администраторов и пользователей, но также проводить регулярную ревизию своих информационных активов и использовать инструменты контроля доступа. В помощь компаниям инструменты класса Content Discovery, а также соответствующие модули DLP-систем. Подобные решения позволяют проводить мониторинг данных, хранящихся на различных ресурсах, находить незащищенные хранилища информации ограниченного доступа, сигнализировать офицерам безопасности о нарушениях заданных организацией политик хранения данных и предпринимать действия по устранению выявленных нарушений. Андрей Арсентьев, аналитик ГК InfoWatch
|
Через бумажные документы случается каждая девятая утечка конфиденциальных данных
22 апреля 2019 года Ааналитический центр InfoWatch представил дайджест утечек конфиденциальной информации на бумажных носителях. В организациях по всему миру доля утечек информации через бумажные файлы в 2018 году выросла с 8,2% до 11%. При этом в распределении утечек в результате случайных действий персонала доля «бумаги» по сравнению с 2017 годом увеличилась с 13,5% до 17%. В совокупности умышленных утечек данный канал нарастил долю с 4% до 4,9%.
Высокий процент утечек через бумажные документы только на первый взгляд выглядит неожиданным. На самом деле в этом факте нет ничего удивительного, поскольку существенная часть корпоративного документооборота во всем мире по-прежнему совершается в неэлектронной форме. Но самый главный фактор состоит в том, что во многих компаниях и государственных организациях далеко не всегда соблюдаются правила обращения с бумажными носителями.
В 85,6% случаев через бумажную документацию были скомпрометированы персональные данные, а в 7,4% — платежная информация. На долю государственных секретов пришлось 4,6% утечек, на долю сведений из разряда коммерческой тайны и ноу-хау — 2,4%.
Примерно каждая третья (32,6%) «бумажная утечка» происходит в медицинских учреждениях, также высока доля государственных (20,9%) и муниципальных организаций (11,3%).
Самая крупная утечка конфиденциальной информации с бумажных носителей произошла в Калифорнии. Преступники взломали дверь управления социального обеспечения людей с нарушениями в развитии[9], проникли в помещение, перерыли множество документов и устроили пожар, чтобы уничтожить улики. По словам чиновников, злоумышленники могли получить доступ к персональным данным около 600 тыс. человек.
Самая распространенная схема компрометации персональных данных через бумагу связана с нарушением организациями правил списания и уничтожения документов. В России особенно много нарушений такого рода.
Например, в Новосибирске к мусорному баку выставили коробки закрывшейся управляющей компании[10]. Были скомпрометированы платежки с фамилиями и адресами квартиросъемщиков.
О том, что информационная безопасность в наше время бывает не только цифровой, заставляет задуматься инцидент в австралийской сети магазинов Big W[11]. Технический работник сети, желая продемонстрировать заказчику работоспособность принтера после ремонта, случайно вложил в стопку распечаток документы с конфиденциальными данными нескольких десятков человек. Личная информация порядка 3700 пациентов в американском штате Мичиган могла быть скомпрометирована в ходе некорректной рассылки. Местное бюро развития медицины обнаружило, что из-за ошибок в обработке исходной информации часть конвертов была отправлена по неверным адресам. Помимо имен и домашних адресов пациентов, в некоторых случаях утекли номера телефонов и адреса электронной почты.
Сокращение объема утечек пользовательских данных в 2 раза
2 апреля 2019 года компания InfoWatch сообщила, что по результатам глобального исследования Аналитического центра компании InfoWatch в мире в 2018 году было зарегистрировано 2263 публичных случаев утечки конфиденциальной информации. В 86% инцидентов были скомпрометированы персональные данные (ПДн) и платежная информация — всего около 7,3 млрд записей пользовательских данных против 13,3 млрд записей данных годом ранее. В 2018 году существенно сократился объем данных, скомпрометированных в результате утечек из организаций сферы высоких технологий, финансово-кредитного и страхового сектора, а также предприятий промышленности.
По информации компании, наиболее привлекательными для злоумышленников остаются данные из организаций финансово-кредитной и страховой сферы, где около 65% утечек были совершены умышленно. Зафиксирован высокий интерес нарушителей к информации из промышленных и транспортных систем, компаний сфер торговли и HoReCa, а также высокотехнологичного бизнеса — более половины утечек в этих отраслях носили умышленный характер.
«Лидерами» по объему утекающих пользовательских данных остаются высокотехнологичные компании, а также предприятия сферы торговли и HoReCa, медицинские и муниципальные учреждения — на них суммарно пришлось 70% годового объема утечек персональной информации в мире.
На компании сферы высоких технологий, как и в 2017 году, пришлось около 30% от мирового объема утечек информации о пользователях. Вместе с тем, средняя мощность инцидентов в высокотехнологичном секторе снизилась более чем в два раза — до 9 млн записей данных на одну утечку в 2018 году.
Сокращение объема утечек информации о пользователях также отмечено в финансово-кредитной и страховой сферах, предприятиях промышленности и транспорта. Объем утечек данных из финансовых и страховых компаний сократился в четыре раза, а средняя мощность утечек в этой сфере снизилась с 840 тыс. до 190 тыс. записей данных. В семь раз сократился объем записей данных, скомпрометированных в результате утечек из промышленных и транспортных предприятий, их мощность составила менее 100 тыс. записей.
Большие массивы данных — более 18% объема утекшей информации, теряли организации сферы торговли и HoReCa, средняя мощность утечек в ритейле составила 430 тыс. записей данных. До 12% и 9% в мировом трафике утечек ПДн и платежной информации выросли доли медицинских и муниципальных учреждений. В среднем каждая утечка из муниципалитетов приводила к компрометации 400 тыс. записей данных, в то время как для медицинской сферы характерна меньшая мощность инцидентов — около 60 тыс. записей.
Отраслевую картину утечек определяют два ключевых фактора — это ликвидность и защищенность информации. Там, где ценность данных наиболее очевидна и защите информации уделяется большее внимание, например, в банках, страховых компаниях и госсекторе, объем утечек значительно ниже. Такие структуры защищают корпоративные и пользовательские данные с помощью организационных и технических мер: используют DLP-, SIEM- и другие профильные ИБ-системы, заботятся о повышении уровня цифровой гигиены сотрудников. И если раньше бизнес охотнее инвестировал в защиту своей интеллектуальной собственности, коммерческих секретов и ноу-хау, а к безопасности клиентских данных относился с меньшим вниманием, то с введением огромных штрафов за утечки ПДн эта ситуация меняется. Сергей Хайрук, аналитик ГК InfoWatch |
Наибольший заявленный ущерб для организаций из-за утечки данных в 2018 году составил $534 млн — такую сумму потеряла японская криптобиржа Coincheck в результате компрометации онлайн-кошельков ее клиентов.
Самый крупный штраф за утечку персональной информации был вынесен компании Uber — ее обязали выплатить $148 млн за утечку данных 57 млн своих клиентов и водителей, в том числе 25 млн резидентов США.
Неправомерное использование данных пользователей Facebook обернулась санкциями со стороны британских властей в размере £500 тыс, компания также была оштрафована Антимонопольной службой Италии на €10 млн.
С введением регламента GDPR, увеличением штрафов за компрометацию ПДн и появлением судебных решений по делам о краже коммерческой тайны, проблема оценки «стоимости» информации теряет свою актуальность, отметили аналитики InfoWatch.
В распределении инцидентов по типу данных по-прежнему преобладают ПДн и платежная информация: их доля, как и годом ранее, составляет 86%.
В 2018 году «внешние» утечки оставались более «мощным» типом инцидента по сравнению с внутренними — в среднем на одну «внешнюю» утечку приходилось 5,15 млн скомпрометированных записей данных, утечка по вине внутреннего нарушителя приводила к компрометации 2 млн записей.
Результативность хакерских атак упала более чем на треть, в среднем до пяти миллионов записей данных на каждый инцидент, однако говорить о коренном переломе в борьбе с внешними злоумышленниками пока не приходится: общее число таких инцидентов не снизилось, взломы хакерами огромных баз данных по-прежнему случаются регулярно. «Внутренние» утечки кажутся менее разрушительными из-за меньшего объема скомпрометированных записей данных, но инсайдеры, обладая практически неограниченным доступом к внутренним ресурсам организации, могут завладеть наиболее ценной информацией. Сергей Хайрук, аналитик ГК InfoWatch |
Инсайдер остается самым распространенным виновником утечек данных в организациях. Доля утечек по вине внутреннего нарушителя в 2018 году возросла на 3 п.п. до 63% от общего количества утечек за год. Каждый второй инцидент произошел по вине рядового специалиста, еще около 10% случаев пришлись на «привилегированных» пользователей (руководители и системные администраторы), подрядчиков и бывших сотрудников компаний.
29 из 47 мега-утечек 2 в 2018 году были спровоцированы действиями внутреннего нарушителя. За год число «мега-утечек» выросло на 20%.
Самая масштабная утечка информации произошла в Индии, где были скомпрометированы 1,2 млрд записей данных пользователей, включая ПДн и биометрическую информацию, из системы AADHAAR — крупнейшего государственного хранилища идентификационных данных в мире.
Также были зафиксированы крупные утечки информации из коммерческих компаний: разработчика ПО Veeam (440 млн записей), гостиничной сети Marriott (383 млн), маркетинговой фирмы Exactis (340 млн), логистической компании SF Express (300 млн), сервисного стартапа Apollo (200 млн), ИТ-компании VNG (около 163 млн) и приложения Under Armour (150 млн).
Наиболее популярным каналом утечки информации остается сетевой ресурс (72%). По сравнению с 2017 годом на пять процентных пунктов (п.п.) снизилась доля инцидентов, связанных с использованием электронной почты, также на 0,8 п.п. сократилась доля утечек в результате кражи или потери оборудования, на 0,2 п.п. — с помощью мобильных устройств.
Распределение утечек по каналам постепенно будет меняться. Появляются новые способы, например, впервые была зафиксирована компрометация данных по вине создателей мобильных приложений, которые получили доступ к данным в системах заказчика. Кроме того, пристальное внимание к вопросам защиты персональных данных ведет к распространению специализированных средств защиты информации и общему повышению уровня кибергигиены. Отдельные типы данных и каналы передачи требуют различных подходов к их защите. Например, то, что отлично работает на сетевом канале, будет практически неэффективно с точки зрения контроля мобильных устройств, мессенджеров. Организациям необходима комплексная защита, как на технологическом уровне, так и с точки зрения построения процессов и регламентов. Если для противодействия "внешним" утечкам в основном требуется техническое отражение атак и своевременные обновления, то борьба с утечками по вине внутренних нарушителей предполагает серьезные усилия в области управления информацией и персоналом, с использованием систем анализа и контроля поведения сотрудников, выявления аномалий в работе информационных систем. Сергей Хайрук, аналитик ГК InfoWatch |
В распределении каналов случайных и умышленных утечек данных в 2018 году почти в два раза — до 16% сократилась доля случаев, когда сведения были скомпрометированы из-за случайной отправки электронной почты.
В результате 6,5 тыс. утечек скомпрометировано 5 млрд конфиденциальных записей
20 февраля 2019 года стало известно, что по данным, опубликованным компанией Risk Based Security, в 2018 году произошло более 6500 утечек корпоративных данных, что лишь на 3,2% ниже показателя за 2017 год.
В результате 5 миллиардов конфиденциальных записей попали в публичный доступ. 66% утечек пришлось на организации финансового сектора, технологические компании, ритейлеров и сегмент HoReCa.
В современном мире нельзя легкомысленно относиться к защите данных, и результаты исследования Risk Based Security лишний раз это подтверждают. При этом эффективная защита невозможна без мониторинга и полноценной аналитики. В 2018 году только 30% организаций, конфиденциальные данные которых были скомпрометированы, смогли обнаружить проблему своими силами, в то время как остальные 70% узнали о ней из внешних источников постфактум. |
Современные системы автоматической аналитики с использованием технологий ИИ и машинного обучения позволяют не только оперативно обнаружить «прорывы» в периметре безопасности, но также указывают на потенциальные угрозы.
Кроме того, в исследовании отмечено, что 57% скомпрометированных записей содержали данные о паролях пользователей. Чтобы вред от раскрытого пароля был минимальным, компаниям следует обратить внимание на системы с многофакторной аутентификацией, контекстным доступом к сети и поведенческим анализом. В этом случае, даже если киберпреступник получит пароль пользователя и узнает дополнительные данные для МФА, например, путем социальной инженерии, система ограничит его доступ к сети, как только его действия начнут отклоняться от определенного шаблона типичного поведения.
Три четверти утечек из транспортной сферы носят умышленный характер
11 февраля 2019 года аналитический центр компании InfoWatch сообщил основные данные об утечках из предприятий сферы транспорта: компании-перевозчики, аэропорты, вокзалы, морские и речные порты, каршеринговые компании.
Число утечек в данном отраслевом сегменте в 2018 году по сравнению с 2017 годом сократилось на 6%, при этом зарегистрировано на 75% больше скомпрометированных записей персональных данных. С 55% до 76% выросла доля умышленных утечек. В то же время почти втрое увеличилась доля умышленных утечек по вине руководителей и сотрудников: если в 2017 году умышленный характер имели только 18% внутренних утечек, то в 2018 году уже 50%. Существенно изменилась и структура скомпрометированных данных. Отметим, что в 2018 году доля персональных данных выросла с 71 до 79%, а доля ноу-хау и коммерческих секретов с 3,5% до 14%.
Большинство утечек в области транспорта пришлось на авиакомпании и аэропорты. В 2018 году самый крупный инцидент случился на азиатском континенте. Гонконгская авиакомпания Cathay Pacific (6-е место в мировом рейтинге воздушных перевозчиков) сообщила, что хакерам удалось похитить данные более 9 млн пассажиров: имена, даты рождения, номера телефонов, адреса электронной почты, паспортные данные. В частности, скомпрометировано более 860 тыс. паспортных данных.
Компания British Airways уведомила общественность, что украденными оказались платежные и персональные данные тех клиентов, которые заказывали билеты на официальном сайте и через приложение в период с 21 августа по 5 сентября 2018 года. Вначале авиакомпания объявила об утечке данных 380 тыс. пассажиров, но позже обнаружила, что инцидент затронул личную информацию еще 185 тыс. человек. Киберполиция Украины разоблачила хакера, на компьютере которого найдена полная база данных одной из международных транспортных компаний. Утверждается, что база содержит персональные данные более 120 тыс. человек. Индийская авиакомпания-лоукостер GoAir подала в суд на своего бывшего управляющего директора Вольфганга Прок-Шауэра (Wolfgang Prock-Schauer), обвинив его в хищении конфиденциальной информации. Прок-Шауэр в феврале 2018 году возглавил конкурента GoAir – индийскую авиакомпанию IndiGo. Юристы GoAir представили в суде ряд документов, утверждая, что бывший топ-менеджер похитил данные, представляющие коммерческую тайну, перед тем, как перейти на другую работу.
Зафиксировано более 5 тыс. утечек из-за действий инсайдеров
28 декабря 2018 года аналитический центр компании InfoWatch представил результаты глобального исследования утечек конфиденциальных данных, которые произошли из-за действий внутреннего нарушителя в организациях за последние пять лет. За это время в мире было зафиксировано более пяти тысяч утечек данных из-за действий инсайдеров: сотрудников организаций, топ-менеджеров, подрядчиков. Почти две трети таких «внутренних» утечек были случайными, в результате более 95% от всех пострадавших из-за действий сотрудников записей данных были скомпрометированы по неосторожности, незнанию правил обращения с информацией или из-за сбоя в системах обработки данных. С 2014 по 2018 год существенно изменилось в пользу «внутренних» по сравнению с «внешними» инцидентами ИБ соотношение мощности утечек — объема скомпрометированных записей данных в расчете на одну утечку.
Рядовые сотрудники на протяжении всего исследуемого периода являлись наиболее «проблемным» звеном в системе информационной безопасности организаций — на долю непривилегированного пользователя ежегодно в среднем приходилось около 80% от общего числа «внутренних» утечек.
Картина современных `внутренних` утечек примерно такова: это компрометация огромных объемов данных из-за ошибок легитимного пользователя или сбоев автоматизированных систем обработки. Есть все основания полагать, что утечки, совершенные по вине инсайдеров, не менее опасны, чем хакерские атаки. Это связано с увеличением объемов данных, обрабатываемых в компаниях, ростом числа каналов передачи информации, а также повышением ликвидности самих данных. В ряду инцидентов информационной безопасности, влекущих компрометацию данных, внутренние утечки остаются наиболее сложными звеном и требуют особого внимания от специалистов по информационной безопасности. Наиболее эффективной для организаций становится гибридная модель защиты, когда внимание офицера безопасности будет сосредоточено и на безопасности данных, и на поведении пользователя, осуществляющего обработку данных. Последняя задача может быть решена, например, с помощью технологий предиктивной аналитики. Сергей Хайрук, аналитик ГК InfoWatch
|
В пятилетнем распределении «внутренних» утечек по типам скомпрометированных данных большая часть инцидентов приходится на персональные данные (ПДн). Вместе с тем, в динамике за последние пять лет доля ПДн и финансовых данных в общей выборке снижается, при этом существенно растет доля утечек наиболее критичной информации — гостайны, коммерческой тайны, секретов производства и ноу-хау.
С точки зрения умысла за исследуемый период также увеличилась доля совершенных умышленно утечек наиболее критичных типов данных — государственной и коммерческой тайны и ноу-хау, в то время как утечки превалирующего типа данных — ПДн и платежной информации — все чаще происходили в результате непреднамеренных действий персонала.
Случайная утечка — это прямая финансовая угроза бизнесу, поскольку утекает, как привило, важная личная информация — персональные и платежные данные. Компании обрабатывают все больше данных, ошибки персонала при работе с информацией обходятся все дороже, причем не только в переносном смысле — компрометация заметного объема данных непременно приводит к крупным денежным штрафам и выплате компенсации пострадавшим. Умышленные утечки информации происходят на порядок реже, но они могут касаться наиболее ликвидных данных, так как внутренние злоумышленники имеют прямой доступ к самой чувствительной корпоративной информации, секретам производства и ноу-хау, и у них есть время и возможности для подготовки и обхода систем защит. Сергей Хайрук, аналитик ГК InfoWatch
|
Как отмечают авторы исследования, утечки, совершенные по неосторожности, происходят чаще всего в организациях тех отраслей, где уделяют недостаточно внимания вопросам цифровой грамотности, а направление информационной безопасности совершенствуется медленнее. За последние несколько лет большинство случайных утечек ПДн происходили в сфере медицины, образования, государственных и силовых структурах.
Случайные утечки, как правило, происходят через распространенные каналы передачи информации, такие как интернет-ресурсы, в том числе из-за неверных настроек облачных хранилищ и шибок при публикации данных на сайтах компаний и ведомств, электронная почта и бумажные документы.
Умышленные утечки чаще всего происходят в организациях тех отраслей, где данные наиболее ликвидны — это организации финансового сектора, промышленные предприятия, компании сферы ИКТ и госструктуры. Злоумышленники, которые хотят украсть информацию у своего работодателя, как правило, избегают контролируемых каналов коммуникации — всего 10% от общего числа «внутренних» утечек через сетевой канал носили умышленный характер. Чаще всего внутренние нарушители выносят ценные для организации документы на съемных носителях или заявляют о потере или краже корпоративного оборудования.
В 2017 году на долю привилегированных пользователей — топ-менеджмента и системных администраторов, пришлось 8,5% от всех умышленных `внутренних` утечек. Высшие руководители и иные лица с неограниченным доступом к информационным активам компаний намного чаще, чем рядовые сотрудники, допускают умышленные утечки. За пять лет в среднем от 40% до 75% утечек, спровоцированных привилегированными пользователями, носили умышленный характер.
Кроме того, среди привилегированных сотрудников традиционно выше, чем среди рядового персонала, доля «квалифицированных» утечек данных, которые сопряжены с мошенничеством и неправомерным доступом к информации.
В первом полугодии 2018 года зафиксировано 1039 случаев утечки данных
21 сентября 2018 года аналитический центр компании InfoWatch представила результаты глобального исследования утечек конфиденциальной информации в первом полугодии 2018 года. Всего за исследуемый период было зарегистрировано 1039 случаев утечки конфиденциальной информации, что на 12% больше, чем годом ранее. В частности, объем информации, скомпрометированной по вине хакерских и иных атак под воздействием внешнего нарушителя, уменьшился в десять раз, составив только около 0,5 млрд записей. При этом в результате нарушений внутри организаций пострадали более 1,5 млрд записей данных, включая персональные и платежные.
Картина утечек меняется, на первый план выходят инциденты с участием инсайдеров. Злоумышленники больше не стремятся завладеть данными просто ради данных — в неагрегированном виде их стоимость минимальна. Однако знания, которые можно извлечь из этих данных с помощью современных технологий, имеют большую ценность. Организации в основном оперируют большими объемами структурированных данных, стремятся укрупнять хранилища информации. Результаты нашего исследования показывают, что наибольший риск компрометации информации связан с умышленными утечками, воздействием изнутри. Непреднамеренные утечки чаще всего автоматически фиксируются системой, но в случае с умышленными действиями инсайдера, который располагает достаточным технологическим и временным ресурсом, предотвратить утечку данных сложнее. Сергей Хайрук, аналитик ГК InfoWatch
|
Количественно на внутренних нарушителей пришлось две трети случаев утечки информации в первой половине 2018 года — 651 инцидент. По вине внешнего злоумышленника произошло 358 утечек.
В целом ряде отраслей, таких как банковский сектор и промышленность, 60% и более утечек персональных данных носили умышленный характер.
За исследуемый период зафиксировано 15 утечек информации, объемом более миллиона записей, и еще 21 мега-утечка, объемом более 10 млнзаписей. На мега-утечки пришлось 2,3 млрд записей или 97% совокупного объема украденных в мире.
По-прежнему в мире преобладает сетевой канал утечек данных (70%). Через сеть чаще всего реализуются сложные умышленные атаки, которые влекут наибольший ущерб для организаций, на долю контролируемых каналов передачи информации, таких как почтовые сервисы и бумажные носители, приходится небольшой процент умышленных утечек — чуть более 10%. Случайные утечки, для совершения которых не нужна специальная подготовка, происходят по различным каналам — наряду с сетевым каналам, здесь также зафиксирована большая доля утечек через бумажные носители, электронную почту и при потере или краже оборудования.
В распределении категорий по виновникам утечек преобладают рядовые сотрудники — 56%, в то время как на долю привилегированных пользователей — руководителей и системных администраторов, приходится около 4% инцидентов. Еще более 3% утечек пришлось на подрядчиков, 38% на внешних по отношению к организации злоумышленников.
Большую часть объема утечек, как и годом ранее, составляет наиболее чувствительная информация — персональные и платежные данные — 90% инцидентов.
По прежнему в распределении по характеру преобладают «неквалифицированные» утечки, которые не сопряжены с превышением прав доступа к информационным системам или использованием данных в целях мошенничества. Совокупная доля «квалифицированных» утечек в первом полугодии 2018 года не превышает 15%.
Наибольшее количество утечек происходило в высокотехнологичных компаниях (21,3%), медучреждениях (19,5%) и госорганах (13%). По объему больше всего записей было скомпрометировано в сферах, где чрезвычайно высока ликвидность данных, с которыми работает персонал: в секторе высоких технологий, включая интернет-сервисы и крупные порталы (25,6%), в государственных органах (13%) и муниципальных учреждениях (20%).
InfoWatch: Каждый второй случай кражи корпоративных данных связан с их передачей третьим лицам
Согласно данным аналитического центра компании InfoWatch, в 2017 году более половины инцидентов в области безопасности корпоративной информации были связаны с неправомерным копированием корпоративной информации и передачей ее третьим лицам — в том числе конкурентам компании. Такие данные были получены по итогам глобального исследования публичных инцидентов безопасности, связанных с деструктивными действиями увольняющегося или увольняемого сотрудника в отношении работодателя, сообщили 17 июля 2018 года в InfoWatch.
Сотрудник, который принял решение об уходе из компании, часто пытается использовать информацию компании в своих интересах, — отметил аналитик ГК InfoWatch Сергей Хайрук. — Это всегда имеет негативные последствия в виде материального ущерба и репутационных потерь. Прямой ущерб компаниям-работодателям в результате деструктивных действий увольняющихся или увольняемых сотрудников зафиксирован более чем в 50% исследованных инцидентов. |
По наблюдениям авторов исследования, особую опасность при подготовке к увольнению представляют действия нелояльных сотрудников из числа привилегированных пользователей. Топ-менеджеры, руководители отделов и системные администраторы имеют доступ к широкому спектру корпоративных данных, к которым относится, например, коммерческая тайна и производственные ноу-хау, они хорошо знают бизнес-процессы предприятия и могут применить эти знания, нанося максимальный вред бывшему работодателю.
В 2017 году привилегированные пользователи стали причиной 19% нарушений, связанных с компрометацией корпоративных данных, более 80% случаев произошли по вине рядовых сотрудников. Чаще всего при краже корпоративной информации персоналом движет мотив личной выгоды или работа на конкурентов, в то время как руководители в большинстве случаев идут на нарушения из чувства мести или руководствуются другими некорыстными мотивами.
Более четверти нарушений, повлекших ущерб для работодателя, совершались сотрудниками менее чем за неделю до увольнения — на этот временной интервал пришлось 28,6% случаев. Еще около 20% нарушений происходили за несколько недель до ухода. В большинстве случаев — 52,4% инцидентов — деструктивные действия в отношении работодателя сотрудник совершал более чем за месяц до запланированного увольнения.
Примерно в каждом втором случае увольняющийся сотрудник забирал с собой или просматривал базы данных с персональной информацией коллег, клиентов или партнеров. Треть изученных инцидентов была связана с кражей из компании коммерческих секретов и ноу-хау.
Наибольшее количество случаев деструктивных действий персонала при увольнении зафиксировано в учреждениях медицинской сферы (27,8%) и организациях государственного сектора (19,4%). Реже всего увольняющиеся сотрудники похищали информацию предприятий сферы торговли (2,8%) и транспортного комплекса (2,8%).
Более 60% случаев неправомерного использования корпоративной информации при подготовке сотрудником к увольнению были совершены в компаниях со штатной численностью от 100 до 500 человек.
Модель поведения персонала при использовании корпоративных информационных ресурсов не поддается анализу с помощью традиционных систем защиты, которые не учитывают субъективные факторы, не могут прогнозировать уход сотрудника из компании и связанные с этим риски, — добавил Сергей Хайрук. — Однако развиваются средства прогнозной аналитики, которые используют базу данных компании, включая информационные потоки, и благодаря технологиям искусственного интеллекта и машинного обучения научились обрабатывать и анализировать накопленные компанией большие данные. Эти инструменты способны с высокой степенью точности предугадывать поведение персонала, например, заблаговременно определять сотрудников, которые намереваются уйти из компании, и предотвращать кадровые и финансовые риски для предприятий. |
2017
InfoWatch
Объем скомпрометированной в Retail & HoReCa информации превысил 100 млн записей данных
29 ноября 2018 года InfoWatch представил результаты глобального исследования утечек конфиденциальной информации в компаниях сферы розничной торговли, гостиничного бизнеса и общественного питания (Retail & HoReCa). Эксперты Аналитического центра изучили более 300 случаев утечек данных из предприятий отрасли, которые произошли в 2016-2017 годах. Объем скомпрометированной в отрасли Retail & HoReCa информации за исследуемый период превысил 100 млн записей данных, при этом в 2017 году произошел резкий рост числа инцидентов, связанных с утечкой платежной информации— до 60% против 40% годом ранее. Это самый высокий показатель доли утечек финансовых данных среди всех отраслей в мировом распределении.
Доля утечек платежных данных в сегменте ключевых потребительских услуг – розничной торговли, гостиничном бизнесе и общественном питании – даже выше, чем в организациях финансово-кредитной сферы, которая традиционно считалась главной мишенью для похитителей чувствительной информации. Резкий рост утечек платежных данных в ритейле связан с тем, что отрасль находится в активной фазе цифровой трансформации, когда внедряются другие формы оплаты и взаимодействия с клиентом, а объемы информации, которые обрабатываются в торговых сетях, отелях, ресторанах и кафе, стремительно увеличиваются. Укрупнение хранилищ таких данных повышает интерес к ним со стороны злоумышленников. Сергей Хайрук, аналитик ГК InfoWatch
|
55% инцидентов в исследуемой отрасли в мире были сопряжены с внешними атаками, которые в 70% случаев приводили к утечке платежных данных. По вине инсайдеров произошло 45% от общего числа инцидентов, из них около половины были связаны с утечкой финансовой информации. При этом наиболее чувствительная информация — коммерческая тайна и ноу-хау — утекала из-за действий сотрудников организаций сферы Retail & HoReCa в пять раз чаще, чем по вине внешних по отношению к этим организациям злоумышленников.
Значительная доля инцидентов в сфере Retail & HoReCa в 2017 году пришлась на умышленные утечки — 65% зафиксированных в мире случаев.
При этом по результатам исследования, примерно каждая десятая утечка данных из организаций сфер ритейла, гостиничного и ресторанного бизнеса в мире признана «квалифицированной», то есть была сопряжена с мошенническими действиями на основе данных или получением нелегитимного доступа к информации с целью получения личной выгоды.
Почти три четверти инцидентов в мире в предприятиях сферы Retail & HoReCa пришлись на сетевой канал, в таких случаях данные были скомпрометированы через браузер или облачный ресурс.
Атаки на организации отрасли ритейла, гостиничного и ресторанного бизнеса совершаются со стороны внешних и внутренних злоумышленников практически с одинаковой частотой, и в обоих случаях в основном страдают наиболее чувствительные данные. Внешние злоумышленники чаще всего нацеливаются на наиболее ликвидную платежную информацию, которую можно получить относительно несложными способами, например, с помощью фишинговых писем, скимминга или сайтов-подделок. Инсайдеры же имеют доступ к наиболее ценной внутренней информации и, как правило, обладают достаточными временными и техническими ресурсами для подготовки и обхода сложных систем защиты данных в организациях. Поэтому внутренние злоумышленники опасны для наиболее критичной бизнес-информации, куда помимо финансовых и персональных данных, также входит коммерческая тайна и ноу-хау предприятия. Сергей Хайрук, аналитик ГК InfoWatch
|
Доля России в общемировой выборке утечек из организаций сфер розничной торговли, гостиничного и ресторанного бизнеса составила около 10%. Все инциденты в исследуемой отрасли, которые были зафиксированы в нашей стране, произошли по вине внутренних нарушителей. На долю умышленных утечек пришлось 42% случаев. При этом в России, по сравнению с мировой выборкой, в два раза выше доля случайных и в четыре раза — квалифицированных утечек. По мнению авторов исследования, большая доля случайных утечек может быть связана с относительно невысоким уровнем цифровой грамотности и кибергигиены как самих пользователей, так и поставщиков товаров и услуг в сфере HoReCa, при этом значительная доля квалифицированных утечек свидетельствует о недостаточности текущих мер и уровня защиты. Кроме того, отметили эксперты, процесс цифровизации российского ритейла все еще находится в стадии становления, так, в половине случаев кража корпоративных данных осуществлялась при помощи бумажных носителей.
Глобальный объем утечек информации вырос в четыре раза
Объем скомпрометированных в мире в результате утечек записей данных, в том числе номеров социального страхования, реквизитов пластиковых карт и иной критически важной информации, в 2017 году вырос по сравнению с предыдущим годом более чем в четыре раза - с 3,1 млрд до 13,3 млрд записей. Всего за год в мировых СМИ и других открытых источниках был зафиксирован 2131 случай утечки данных из организаций — это на 37% больше, чем в 2016 году, следует из данных исследования InfoWatch.
Около 13 млрд записей или почти 99% совокупного объема украденных в мире данных, пришлись на 39 мега-утечек объемом от 10 млн записей каждая. По сравнению с 2016 годом число таких утечек в мире сократилось на 12%, при этом объем скомпрометированных записей в расчете на одну мега-утечку увеличился почти в пять раз до 336 млн записей.
"Рост объема скомпрометированных записей данных и увеличение "мощности" утечек превзошли все самые смелые прогнозы, что во многом связано с изменением подхода к хранению и обработке данных. Если раньше информация о клиентах, сотрудниках, гражданах хранилась и обрабатывалась разрозненно, в филиалах и подразделениях организаций, то с развитием технологий государства и компании стремятся обеспечить централизованный сбор информации, чтобы максимально эффективно использовать возможности и вычислительные мощности для извлечения новых знаний из больших массивов данных", - отметил аналитик InfoWatch Хайрук Сергей.
До 54% в 2017 году возросла доля мега-утечек, которые были вызваны действиями внутренних нарушителей, годом ранее этот показатель находился на уровне 13%. Именно внутренние нарушения стали причиной около 60% всех случаев утечек. Большая часть из них пришлись на рядовых сотрудников — около 53% случаев, что на 10 п.п. выше, чем в 2016 году. По вине привилегированных пользователей, к которым относятся топ-менеджмент, главы подразделений, а также системные администраторы, произошло около 3% случаев утечек. Внешние злоумышленники стали причиной 41,7% утечек. При этом по характеру инцидентов около 83% случаев пришлись на неквалифицированные утечки, которые не были сопряжены с превышением прав доступа или использованием данных в целях мошенничества.
86% утечек были связаны с кражей персональных данных и финансовой информации, однако их доля снизилась на 7 п.п. по сравнению с 2016 годом. При этом доля утечек платежных данных за год возросла на 13,8 п.п., превысив 20% в общем распределении.
За 1-е полугодие скомпрометировано 7,78 млрд записей с персональной и платежной информацией
10 октября 2017 года стало известно о 8-кратном росте объема утечек конфиденциальной информации в мире. Причем почти все данные были скомпрометированы в результате 20 масштабных инцидентов.
По данным компании InfoWatch, специализирующейся на информационной безопасности, в первой половине 2017 года произошла утечка 7,78 млрд записей с персональной и платежной информацией в глобальном масштабе против 1,06 млрд записей по итогам аналогичного периода предыдущего года. Кроме этого, это вдвое больше количества данных, которые попали в руки третьих лиц за весь 2016 год (3 млрд записей).
98% данных было утеряно в результате крупных инцидентов, которые InfoWatch называет «мегаутечками», когда в распоряжении третьих лиц оказывалось более 10 млн записей конфиденциальных данных. Всего в компании зафиксировали 20 таких случаев.
Общемировой тренд на увеличение числа утечек и объемов скомпрометированных данных, по нашему мнению, задают не особенности отдельных регионов, а новые возможности, которые связаны с использованием информации в цифровом мире, такие как перевод услуг в электронный вид, e-commerce, электронные деньги, объекты исключительных прав (интеллектуальная собственность) в цифровом виде, — говорится в исследовании InfoWatch. |
За первое полугодие 2017 года произошло 925 утечек конфиденциальных данных, что на 10% больше, чем за аналогичный период 2016 года. 384 таких инцидента произошли из-за внешнего вмешательства (в частности, из-за хакеров). Причиной еще 520 утечек стали внутренние нарушения (например, по вине сотрудников компаний). Причину еще 21 утечки установить не удалось.
Индекс Gemalto за 1-е полугодие: 918 утечек скомпрометировали 1,9 млрд. записей
В первой половине 2017 года 918 утечек привели к тому, что было скомпрометировано 1,9 млрд. записей по всему миру. По сравнению со вторым полугодием 2016 года количество утерянных, украденных или скомпрометированных записей увеличилось на 164% − это число не может не шокировать. Большая часть данных была украдена вследствие наиболее масштабных утечек, насчитывающих 22 случая, каждый из которых привел к более чем миллиону скомпрометированных записей данных. Из 918 утечек более чем в 500 случаях (59% от всех прецендентов) количество скомпрометированных записей осталось неизвестным или не было зафиксировано[12].
Согласно Breach Level Index, с 2013 года было обнародовано более 9 млрд. записей данных с момента начала оценки опубликованных утечек данных при помощи индекса. На протяжении первого полугодия 2017 года были скомпрометированы или подвержены этому риску более десяти миллионов записей ежедневно, или сто двадцать две записи ежесекундно, включая медицинские данные, финансовые данные и/или данные кредитных карт, а также идентификационные персональные данные. Это особенно настораживает, поскольку менее 1% украденных, утерянных или скомпрометированных данных использовали защиту с помощью шифрования, позволяющую превратить их в бесполезную информацию, и этот показатель снизился на 4% по сравнению со вторым полугодием 2016 года.
Основные источники утечек данных
Большая часть утечек данных (74%), отражающая рост случаев на 23%, произошла вследствие злоумышленных действий. Однако этот источник зафиксировал лишь 13% всех украденных, утерянных или скомпрометированных записей данных. Внутренние атаки злоумышленников составляют только 8% от всех утечек, а количество скомпрометированных записей с 500 тыс. увеличилось до 20 млн., что превышает показатель прошлого полугодия более чем на 4,114%.
Главенствующие типы утечек данных
На протяжении первого полугодия 2017 года основным типом утечек было хищение идентификационных данных, которое составляло 74% всех утечек, что на 49% больше, чем в прошлом полугодии. Количество скомпрометированных данных в результате хищения идентификационных данных увеличилось на 255%. Наиболее значительные изменения произошли в категории досадных утечек, которые составляют 81% всех утерянных, украденных или скомпрометированных записей. Однако количество зафиксированных случаев таких досадных атак составляет только немногим больше 1% всех утечек. Количество скомпрометированных данных в результате атак на доступ к учетным записям снизилось на 46%, что произошло после значительного роста, согласно годовому отчету Breach Level Index за 2016 год.
Наиболее крупные предприятия, пострадавшие от утечек данных
У большинства предприятий, отслеживаемых Индексом критичности утечек данных, количество скомпрометированных, украденных или утерянных записей данных увеличилось более чем на 100%. В сфере образования был зафиксирован один из наибольших показателей роста утечек (103%) с увеличением количества скомпрометированных записей более чем на 4,000%. Это является результатом внутренних атак злоумышленников, которые скомпрометировали миллионы записей в одной из наиболее крупных частных образовательных компаний Китая. В сфере здравоохранения наблюдался относительно похожий показатель утечек данных в сравнении со вторым полугодием 2016 года, но количество украденных, скомпрометированных или утерянных записей увеличилось и составило 423%. В числе пяти объектов, наиболее пострадавших от масштабных утечек данных за первое полугодие, находится Национальная служба здравоохранения Великобритании, где число скомпрометированных записей превышает 26 млн. В финансовой сфере, правительственном секторе и сфере развлечений также наблюдалось значительное увеличение количества утечек записей данных. За первое полугодие 2017 года в сфере развлечений было зафиксировано на 220% больше случаев утечек записей данных.
Территориальное распределение утечек данных
Северная Америка все еще остается лидером по общему количеству утечек данных и скомпрометированных записей, оба этих показатели превышают 86%. Количество утечек данных в Северной Америке увеличилось на 23%, а количество скомпрометированных записей стремительно растет, увеличившись на 201%. Традиционно в Северной Америке всегда фиксировали наибольшее количество опубликованных утечек и соответствующих записей, однако эта ситуация изменится в 2018 году, когда войдут в силу глобальные нормативно-правовые акты о защите данных, такие как «Генеральный регламент по защите данных в ЕС» (European General Data Protection Regulation, GDPR) и поправки к закону о нераспространении конфиденциальной информации Австралии (Australia’s Privacy Amendment Act (зарегистрированные утечки данных). В настоящий момент в Европе было зафиксировано только 49 утечек данных (5% от общего количества), что на 35% меньше по сравнению с аналогичным периодом прошлого полугодия.
2016
Более 2 млрд записей ПДн утекло из высокотехнологичных компаний
Аналитический центр InfoWatch в конце ноября 2017 года опубликовал итоги исследования утечек данных из организаций сферы высоких технологий. Число таких утечек в мире за 2016 год увеличилось примерно на треть, а объем скомпрометированной информации вырос более чем в восемь раз. На долю высокотехнологичных компаний пришлось почти три четверти всех скомпрометированных в мире данных — около 2,3 млрд записей, из которых 87% составили персональные данные (ПДн) граждан.
Мы наблюдаем рост числа утечек и объема скомпрометированных данных высокотехнологичных компаний, для которых информация, в том числе клиентская — это, как правило, ключевой актив, поэтому любая утечка оказывается весьма чувствительной для бизнеса, — отметил аналитик ГК InfoWatch Сергей Хайрук. — В 2016 году были похищены данные сотен миллионов пользователей таких популярных ресурсов, как Facebook, Foursquare, GitHub, iCloud, LinkedIn, MySpace, Snapchat, Telegram, Tumblr и Twitter. Хакеры с успехом атаковали крупнейшие почтовые сервисы — Gmail, Hotmail, Yahoo, Mail.ru, похищали данные клиентов телекоммуникационных компаний, в том числе Deutsche Telekom, Three UK, Verizon и других операторов. |
Компрометацию более 95% данных в сфере высоких технологий в 2016 году вызвала 31 «мега-утечка» с ущербом более 10 млн записей каждая. В структуре утечек существенно вырос объем пострадавших ПДн граждан, сократились доли платежной информации, коммерческой тайны и ноу-хау.
Несмотря на рост числа утечек по вине внешнего нарушителя, случаи утечек внутри компаний высокотехнологичного сегмента также очень опасны. Так, количество утечек по вине внешнего злоумышленника в сфере высоких технологий увеличилось за год почти на 15%, в то время как изменение в распределении ущерба в зависимости от вектора воздействия минимально.
В 2016 году в организациях сферы высоких технологий увеличилось число случаев умышленных утечек информации, а также доля квалифицированных утечек, которые связаны с мошенничеством или превышением прав доступа.
Агрегируя большие объемы пользовательских данных, игроки ИТ-рынка охотно используют технологии анализа структурированной и неструктурированной информации — Big Data и другие средства, технологический уровень и функционал которых существенно вырос, — пояснил Сергей Хайрук. — Но по мере увеличения объемов генерируемой, обрабатываемой и хранимой информации повышаются и риски внешних атак на корпоративные ресурсы. Одновременно с этим растет влияние внутренних нарушителей, а значит, ИТ-компаниям требуются не только средства защиты от хакеров, но и современные многофункциональные DLP-системы для предотвращения утечек информации. В связи с ростом числа квалифицированных утечек необходимо задуматься и о включении в арсенал защиты функций UBA — поведенческого анализа пользователей. |
Треть утечек на Ближнем Востоке связана с коммерческой или гостайной
Аналитический центр InfoWatch 16 ноября 2017 года опубликовал результаты исследования утечек конфиденциальной информации из организаций в странах Ближнего Востока за девять месяцев 2017 года. В фокус исследования попали сообщения о компрометации данных коммерческих и некоммерческих организаций, а также государственных органов, которые были опубликованы в СМИ и иных открытых источниках.
В подавляющем большинстве случаев утечки конфиденциальной информации в странах Ближнего Востока произошли вследствие внешних атак. Если в общемировой выборке они стали причиной 40% случаев компрометации данных, то в исследуемом регионе на долю внешних атак пришлось 80% инцидентов.
При этом внутренним нарушителем зачастую являлся привилегированный пользователь — системный администратор или иной технический сотрудник с расширенными правами доступа к информации. На долю такого злоумышленника в странах Ближнего Востока пришлось почти 12% случаев утечек конфиденциальной информации, в общемировой выборке эта цифра составила всего 1%.
Распределение утечек по типам скомпрометированных данных и пострадавшим отраслям в странах Ближнего Востока также отличается от общемировых тенденций. Каждый четвертый случай утечки в исследуемом регионе касался информации, связанной с коммерческой тайной (ноу-хау), в то время как в мире этот показатель не превысил 3%. На долю утечек государственной тайны пришлось 12,5% случаев, на общемировой выборке число подобных инцидентов не достигло и 4%.
Половина всех утечек данных на Ближнем Востоке пришлась на организации финансового сектора и промышленной отрасли. В мире этот показатель не превысил 16%.
Как и во всем мире, самыми популярными каналами утечек данных в исследуемом регионе оказались веб-браузер и облачные хранилища — на них пришлось 82% случаев. Второй по популярности канал утечек информации — съемные носители. Остальные инциденты связаны с кражей и потерей оборудования, бумажных документов или утечкой данных через электронную почту. В общемировой выборке на утечки конфиденциальной информации через браузер и облачные хранилища пришелся 61% инцидентов, через электронную почту — 23% случаев, на кражу бумажных документов — 8% утечек.
InfoWatch: За 2016 год скомпрометировано 3 млрд записей ПДн
По данным аналитического центра InfoWatch, в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных (ПДн) и платежной информации. Всего за 2016 год в мире было скомпрометировано более 3 млрд записей ПДн, что в три раза превышает аналогичный показатель за 2015 год.[13]
По мнению международных экспертов в области информационной безопасности, пользователи давно потеряли контроль над своими данными. Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек ПДн, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией.
Индекс Gemalto за год: 1792 инцидента скомпрометировали 1,4 млрд записей (+86%)
В 2016 году в мире было зафиксировано 1792 инцидента, которые привели к компрометации 1,4 млрд записей данных, что на 86% выше по сравнению с 2015 годом. Кроме того, отмечается, что хищение персональных данных стало наиболее распространённым видом утечек. В 2016 году – на долю таких атак приходилось 59% всех зафиксированных инцидентов. Кроме того, в 52% случаев при публикации информации об утечке в 2016 году компании не сообщали о количестве скомпрометированных записей[14][15].
В результате атаки на базу учётных данных пользователей AdultFriend Finder было скомпрометировано 400 миллионов записей, а сам инцидент получил максимальный балл (10) в Индексе критичности утечек. Среди других крупных утечек, зафиксированных в 2016 году, – атака на Fling (BLI: 9,8), утечка в избирательной комиссии на Филиппинах (COMELEC) (BLI: 9,8), 17 Media (BLI: 9,7) и Dailymotion (BLI: 9,6). Фактически, на долю 10 самых крупных и масштабных утечек пришлось более половины всех скомпрометированных записей данных. В 2016 году интернет-гигант Altaba (ранее Yahoo) сообщил о двух крупных утечках, в результате которых было скомпрометировано 1,5 миллиарда учётных записей пользователей, но эти утечки не вошли в индекс BLI за 2016 год, поскольку инциденты датировались 2013 и 2014 годом.
В России среди всех утечек данных, можно выделить несколько наиболее значимых. Самой крупной среди них является атака на базу учетных данных Mail.ru (BLI: 9,0), в ходе которой было скомпрометировано более 25 миллионов записей. Данные включали в себя имена пользователей, email-адреса, зашифрованные пароли и даты рождения, в некоторых случаях злоумышленникам также удалось узнать IP-адреса пользователей и их телефонные номера. Среди других утечек, зафиксированных в 2016 году на территории РФ – атака на мультипортал KM.ru (BLI: 8,1) и компанию по разработке программного обеспечения Nival (BLI: 8,1). Доля похищенных данных в обоих случаях составляет более 1,5 миллиона учетных записей.
Утечки данных по типу
В 2016 году наиболее распространённым видом инцидентов стало хищение персональных данных – на долю таких атак приходилось 59% всех утечек данных, что на 5% выше, чем в 2015 году. Вторым по распространённости типом утечек данных в 2016 году стали утечки учётных записей пользователей. Хотя число утечек такого типа сократилось на 3%, на их долю приходилось 54% всех скомпрометированных записей, что на 336% выше по сравнению с прошлым годом. Это свидетельствует о новой тенденции, когда злоумышленники переориентируются с атак с целью получения финансовой информации на атаки на крупные базы данных с большими объёмами идентификационных и персональных данных. Ещё одним распространённым типом инцидентов стала категория незначительных атак (nuisance category), число инцидентов в которой увеличилось на 102%, но на долю которых приходится 18% от всех скомпрометированных записей данных, что на 1474% выше по сравнению с 2015 годом.
Утечки данных по источнику
Наибольшее число утечек было организовано злоумышленниками, действующими извне организаций – на долю таких атак приходилось 68% всех инцидентов, что на 13% выше, чем в 2015 году. Количество скомпрометированных записей данных в результате действий сторонних злоумышленников увеличилось на 286% по сравнению с 2015 годом. Количество утечек данных, организованных хакерами-активистами, также увеличилось в 2016 году – на 31%, но на их долю приходится лишь 3% всех зафиксированных в прошлом году инцидентов.
Утечки данных по отрасли
В разбивке по отраслям наибольший рост числа утечек в 2016 году пришелся на технологический сектор. Количество инцидентов выросло на 55%, но тем не менее на их долю приходилось лишь 11% всех утечек за минувший год. Почти 80% всех инцидентов в этом секторе связаны с хищением учётных записей и персональных данных. Кроме того, на их долю приходится 28% всех скомпрометированных записей данных в 2016 году, что на 278% выше, чем в 2015 году.
На предприятия отрасли здравоохранения пришлось 28% всех утечек данных, что на 11% выше, чем в 2015 году. Однако количество скомпрометированных записей данных в этой отрасли снизилось на 75% по сравнению с 2015 годом. В секторе образования количество утечек данных за год снизилось на 5%, а количество скомпрометированных записей данных упало на 78%. На долю государственных учреждений приходилось 15% всех утечек данных в 2016 году. Однако количество скомпрометированных записей данных выросло на 27% по сравнению с 2015 годом. На долю компаний финансового сектора приходилось 12% всех утечек данных, что на 23% ниже по сравнению с прошлым годом.
На долю других отраслей приходилось 13% всех утечек данных и 36% скомпрометированных записей данных. В этой категории общее количество утечек данных снизилось на 29%, однако количество скомпрометированных записей выросло на целых 300% по сравнению с 2015 годом. При этом большинство утечек данных приходилось на социальные сети и сайты компаний из отрасли развлечений.
В 2016 году количество инцидентов, затрагивающих полностью или частично зашифрованные данные, составляло 4,2% от общего числа инцидентов, тогда как в 2015 году эта цифра составляла лишь 4%. В части этих утечек зашифрованным был только пароль, а остальная информация не была зашифрована. Однако из почти 1,4 миллиарда скомпрометированных, утраченных или похищенных записей данных в 2016 году полностью или частично зашифровано было лишь 6% (в сравнении с 2% в 2015 году).
InfoWatch зарегистрировал 1556 случаев утечек в мире
По результатам глобального исследования утечек конфиденциальной информации в 2016 году Аналитическим центром InfoWatch было зафиксировано 1556 случаев[16] утечек данных из организаций — на 3,4% больше, чем в 2015 году. Из традиционной тройки стран с наибольшим количеством утечек, существенный всплеск наблюдался только в России, где было зарегистрировано 213 утечек конфиденциальной информации — на 80% больше, чем годом ранее. По числу утечек, зарегистрированных аналитическим центром InfoWatch, Россия находится между США и Великобританией, где количество утечек осталось примерно на том же уровне, что и в 2015 году — 838 и 67 утечек соответственно.
В глобальной структуре скомпрометированной информации преобладают данные о пользователях: 93% утечек были связаны с кражей персональных данных (ПДн) и платежной информации.
За исследуемый период в мире было скомпрометировано более трех миллиардов записей ПДн — в три раза больше, чем в 2015 году. Так же более чем в три раза, до двух миллионов, выросло среднее число записей, украденных в результате одной утечки.
Большая часть украденных персональных данных, а именно 94,6%, пришлась на 44 «мега-утечки», в результате каждой из которых «утекло» не менее 10 млн записей ПДн. В 2016 году число «мега-утечек» выросло более чем вдвое. Зафиксировано 79 утечек объемом более одного миллиона записей каждая.
В 2016 году в мире количество утечек персональных данных увеличилось в 4 раза по сравнению с прошлым годом и составило почти 3,1 млрд записей.
В 2016 году в мире эксперты зафиксировали рост случаев утечки персональных данных на 300% по сравнению с предыдущем годом. Количество похищенных записей составило 3,1 млрд.
Количество утечек, которое нам удалось собрать, выросло незначительно. Зато очень значительно выросло количество утекших записей персональных данных — на 300% рост. 3,1 млрд записей было потеряно в прошлом году из-за утечек персональных данных». Так, в 2016 году было зафиксировано 44 «мегаутечки», в результате которых было украдено более 10 млн записей, в 2015 году таких случаев было вдвое меньше.
По мнению Натальи Касперской, киберпреступники воруют массивы данных для того, чтобы выгодно продать их. Также она отметила, что в последнее время наблюдается тенденция – увеличение количества утечек в результате внешних кибератак.
Возросло количество случайных утечек данных
13 декабря 2016 года аналитический центр InfoWatch представил результаты сравнительного исследования утечек данных в организациях. Исследование включило утечки с 2013 по 2015 год, определенные, как действия внутренних нарушителей.
Аналитики отметили рост доли утечек данных в исследуемом периоде на 34 процентных пункта (п.п.) - до 79,7%, в результате случайных действий сотрудников. В 2013 году основная масса чувствительных данных, к коим относятся персональные данные (ПДн), платежная информация, государственная и коммерческая тайна, а также секреты производства, была скомпрометирована в организациях в результате совершения умышленных утечек. В 2014–2015 годах большая часть потерь критичной для бизнеса информации произошла вследствие непреднамеренных действий сотрудников.
По сравнению с 2013 годом, в исследуемый период в структуре внутренних утечек возросла доля платежной информации — более чем на восемь п.п., коммерческой тайны — более чем на пять п.п., при этом более чем на 10 п.п. снизилась доля утечек ПДн.
За прошедшие три года "внутренние" утечки не стали менее опасны, но изменилась их природа. Это связано с увеличением объемов данных, обрабатываемых в компаниях, ростом числа каналов и способов передачи, а также возросшей ликвидностью самих данных. Большая часть утечек происходит из-за ошибок персонала. В результате могут быть скомпрометированы абсолютно любые данные, включая наиболее критичные и чувствительные, а размер нанесенного ущерба ограничен только объемом хранимой информации. Для минимизации рисков, связанных с информационной безопасностью, необходимо обеспечивать блокировку случайных утечек, контроль сотрудников как в "зоне риска", куда относятся сотрудники с особыми правами доступа, новички или единожды "провинившиеся", так и вне ее. |
В 2015 году доля внутренних утечек данных от общего числа известных случаев утечек конфиденциальной информации составила 65% и 72,8% годом ранее. Средний объем данных, скомпрометированных в результате каждой внутренней утечки, достиг 347 тыс. и 340 тыс. записей в 2014 и 2015 годах, соответственно. Авторы исследования отметили снижение доли утечек информации, произошедших по вине «привилегированных» пользователей, включая руководителей и системных администраторов организации более чем на девять п.п. Их неправомерные действия по-прежнему приводят к гораздо более серьезным последствиям, чем действия рядовых сотрудников.
В период с 2013 по 2015 год снизилась доля случайных утечек данных через электронную почту, бумажные и съемные носители, а доля утечек посредством сетевых каналов, интернет возросла. В результате случайных утечек через сетевой канал в 2015 году скомпрометировано ~295 млн записей, категорий ПДн и финансовой информации, количество таких записей в 2013 и 2014 годах достигло ~97,9 млн и ~118,2 млн соответственно.
Глобальное исследование утечек конфиденциальной информации в I полугодии 2016 года
ГК InfoWatch объявила в сентябре 2016 года о том, что рост числа утечек конфиденциальной информации за первые шесть месяцев 2016 г. составил 16% по отношению к соответствующему периоду прошлого года. Такие данные приводит аналитический центр InfoWatch в отчете по результатам «Глобального исследования утечек конфиденциальной информации в I полугодии 2016 года». За исследуемый период было скомпрометировано более 1 млрд записей персональных данных (ПДн) — больше, чем за весь 2015 г. Таким образом, среднегодовое значение числа украденных записей ПДн в два раза превышает аналогичный показатель 2015 года[17].
Наибольшее количество утечек информации было зафиксировано в США: 451 случай, или 54% от всех произошедших утечек. Россия со 110 утечками данных традиционно занимает второе место, сохраняя его более трех лет. Далее идет Великобритания, где было обнаружено 39 утечек. Всего за январь-июнь 2016 г. экспертами аналитического центра InfoWatch зарегистрировано 840 случаев утечек конфиденциальной информации.
В двух третях случаев утечки данных происходили по вине внутренних нарушителей. На внешние атаки пришлась только одна треть всех утечек информации, но ущерб от них по-прежнему оценивается выше: в среднем на каждую внешнюю и внутреннюю утечку приходилось по 2,4 млн и 0,8 млн скомпрометированных записей ПДн соответственно.
Кроме того, было зафиксировано 23 «мега-утечки», на которые пришлось 92% всех украденных записей ПДн. Ущерб каждой из них составил более 10 млн ПДн, 16 из 23 «мега-утечек» пришлись на внешние атаки. Без учета «мега-утечек» наибольший объем записей — более 45 млн ПДн — был украден у компаний высокотехнологичного сектора, включая интернет-сервисы и веб-порталы.
Эксперты аналитического центра InfoWatch отметили сокращение числа утечек с помощью передачи данных через сетевой канал, хотя на этот способ, включая отправку через браузер, а также облачные хранилища, все еще приходится до половины всех случаев утечки данных. Возросла доля краж информации по электронной почте и на съемных носителях. Снизились доли утечек в результате кражи/потери оборудования и бумажных документов. Меньше всего утечек произошло с использованием мобильных устройств.
Наиболее уязвимыми в первом полугодии 2016 г. были организации медицинской сферы, где утечки данных фиксировались чаще всего (23% всех утечек), наименее уязвимыми — муниципальные учреждения (менее 3%).
Самыми привлекательными для злоумышленников стали компании сферы торговли, финансового и банковского сектора. В них доля умышленных утечек ПДн, потребовавших взлома систем информационной безопасности, составила 70% и более.
2010: InfoWatch: В мире за 1-е полугодие произошло 382 инцидента
Компания InfoWatch представила в конце 2010 года результаты исследования утечек конфиденциальной информации за первое полугодие 2010 года, согласно которому за данный период (181 день) было зарегистрировано 382 инцидента (2,1 утечки в день).
По данным отчета 169 инцидентов от общего числа зарегистрированных инцидентов составили умышленные утечки (44,2%), а 185 – случайные (48,4%). При этом число умышленных утечек по сравнению с аналогичным периодом прошлого года сократилось на 11,7%, что связано с активным внедрением в корпоративном секторе решений для защиты конфиденциальной информации. Общее число скомпрометированных записей в первой половине 2010 года составило более 539 миллионов.
Количество случайных утечек в первой половине 2010 года по сравнению с тем же периодом 2009 года возросло на 9,4% (185 инцидентов против 161 утечки в 2009 году). Аналитики InfoWatch связывали данный рост с тем фактом, что до сих пор наиболее популярным каналом для случайных утечек остаются мобильные носители информации (ноутбуки, флеш-накопители, мобильные коммуникаторы и др.), поскольку пользователи подобных устройств зачастую пренебрегают средствами шифрования данных.
Другой частой причиной случайных утечек становился бумажный носитель: его проконтролировать сложнее, чем электронный. Например, после выхода листа из принтера следить за ним можно лишь «вручную»:
«Контроль за бумажными носителями слабее контроля за компьютерной информацией. Многие средства защиты от утечек (назвать их полноценными DLP-системами нельзя) не контролируют канал вывода информации на принтер – так конфиденциальные данные легко выходят за пределы организации»,– сообщал Федотов Николай, главный аналитик компании InfoWatch.
Решить данную проблему позволяли многофункциональные DLP-системы, которые блокируют отправку на печать недозволенной информации и проверяют соответствие почтового адреса и адресата.
Основными источниками утечек конфиденциальной информации в первой половине 2010 года по-прежнему оставались коммерческие (73,8%) и государственные (16%) организации. Около 8% утечек происходят из образовательных учреждений. Характер утекающей конфиденциальной информации – персональные данные (почти 90% всех информационных утечек).
Лидерами по утечкам в мире тогда были США и Великобритания (также в пятерку стран по наибольшему количеству утечек входили Канада, Россия и Германия с существенно более низкими показателями), что связанно с особенностью законодательства данных стран, предписывающего сообщать обо всех инцидентах утечки конфиденциальных данных. Аналитики Infowatch прогнозировали в будущем году сокращение доли случайных утечек и рост доли умышленных.
Каналы потенциальной утечки данных
Методы работы злоумышленников
«Скупка» данных в регионах
- Интервьюирование несправедливо уволенных / обиженных
- Финансирование инсайдеров
- Оцифровка бумажных носителей
Удаленный мобильный доступ
- Создание вредоносного ПО
- Перехват полезного траффика
- Использование штатных инструментов удаленного доступа
«Переработка» мусора
- Восстановление данных
- Сбор и перепродажа случайных, неформатированных и/или неактуальных данных
Несанкционированная съемка
- Распознавание снимков
- Удаленный доступ к мобильным устройствам
- Взлом социальных сетей
Классический взлом
- Поиск новых и эксплуатация известных уязвимостей в ПО
2022: Способ похищения данных с изолированных ПК с использованием SATA-шлейфа
Исследователи из Университета имени Бен-Гуриона (Израиль) предложили оригинальный способ дистанционного хищения информации с неподключенного к сети персонального компьютера. Об этом стало известно 19 июля 2022 года. Это могут быть пароли или другая конфиденциальная информация.
Описанный учеными метод предусматривает использование интерфейсного SATA-кабеля в качестве антенны радиопередатчика, излучающего сигнал в диапазоне 6 ГГц.
Атака осуществляется с применением исключительно программных средств – с помощью специального софта, который может быть запущен как в пользовательском пространстве операционной системы, так и в отдельной виртуальной машине. При этом необходимость в модификации «железа» атакуемого ПК отсутствует.
Шина SATA, как и остальные интерфейсы, генерирует слабое электромагнитное излучение в нормальном режиме работы. Исследовательская группа под руководством Мордехая Гури (Mordechai Guri) разработала технику, позволяющую управлять характеристиками этого излучения и формировать с его помощью сигнал, который можно принять и обработать на другом устройстве.
Для этого специалисты написали вредоносную программу и установили ее на целевой ПК. На первом этапе она, не привлекая к себе внимание, в фоновом режиме подготавливает (кодирует) информацию, которую необходимо похитить. Затем отправляет серию запросов к файловой системе (на чтение или запись) таким образом, чтобы кабель излучал «разборчивый» радиосигнал достаточной мощности, который можно принять с помощью расположенного поблизости устройства и расшифровать.
Как отмечают исследователи, лучше всего при этом подходят операции считывания, поскольку позволяют добиться более сильного сигнала (до 3 дБ). К тому же они, как правило, не требуют повышенных системных привилегий, в отличие от операций записи.
Ученые заявляют, что предложенный ими метод применим в условиях фонового взаимодействия других приложений с файловой системой, однако в периоды особо интенсивного обмена данными с диском передача «по воздуху» может быть затруднена. Поэтому вредоносное ПО должно уметь приостанавливать ее в подобные моменты.
В работе также отмечается, что техника хорошо сочетается с применением кейлогеров – инструментов, регистрирующих различные действия пользователя, например нажатия клавиш. Таким образом, их совместное использование может позволить украсть у жертвы пароли и другую ценную информацию.
Стандарт SATA получил большое распространение – накопители, относящиеся к нему, используются в миллиардах компьютеров по всему миру, отмечает Tom’s Hardware. В теории на любой из них можно осуществить атаку по методике израильских ученых. На практике же ее применение, вероятно, окажется сопряжено с целым рядом серьезных проблем, что значительно сократит число сценариев, подходящих для ее использования.
Во-первых, поскольку компьютер жертвы по условиям эксперимента изолирован от сети, для установки на него вредоносного ПО злоумышленнику или его сообщнику понадобится физический доступ к машине. Во-вторых, низкая мощность сигнала, генерируемого импровизированной антенной, позволяет принимать его лишь на очень небольшом расстоянии – в радиусе не более одного метра. То есть «шпионское» оборудование – в данном эксперименте это SDR-приемник (программно-определяемая радиосистема), подключенный к ноутбуку – должно располагаться в непосредственной близости к компьютеру жертвы.
Кроме того, согласно выводам израильских ученых, существует несколько мер, которые способны обезопасить изолированную машину от атак такого рода. В частности, можно улучшить экранирование оборудования – непосредственно SATA-кабеля или всего корпуса компьютера. Кроме того, существует специальное ПО, которое способно выявлять и необычную активность в файловой системе, наличие которой может указывать на присутствие в системе шпионского софта.
Однако наиболее эффективной линией защиты от таких кибератак, по мнению исследователей, является выстраивание в организации продуманной политики безопасности. К примеру, можно ввести запрет на использование любого радиооборудования в зоне расположения компьютеров, хранящих ценные данные[18].
2020: Метод хищения данных с изолированных компьютеров посредством отслеживания небольших изменений в яркости ЖК-экрана
6 февраля 2020 года стало известно, что специалисты израильского Университета имени Бен Гуриона изобрели метод хищения данных с инфицированных, но физически изолированных компьютеров, не требующий подключения к сети или физического доступа к устройству. Как пояснили исследователи, данная техника основана на отслеживании невидимых глазу небольших изменений в яркости ЖК-экрана.
Для этой цели они создали скрытый оптический канал, который может использоваться даже в том случае, если пользователь работает за компьютером. Метод работает следующим образом: вредоносное ПО на скомпрометированном компьютере извлекает важные данные (пароли, файлы, изображения, ключи шифрования и т.д.), кодирует их, а затем модулирует информацию в виде сигналов «0» и «1». Далее атакующий использует незаметные глазу изменения в яркости экрана для модуляции двоичной информации в виде подобному морзе кода.
В ЖК-экранах каждый пиксель представляет собой комбинацию цветов RGB, которые производят требуемый составной цвет. В предложенной модуляции цветовой компонент RGB каждого пикселя немного изменяется, - поясняют авторы исследования. |
Данные изменения незаметны для пользователя, однако злоумышленник может отслеживать этот поток данных, используя видеозапись экрана скомпрометированного компьютера, сделанную при помощи местной камеры наблюдения, камеры смартфона или web-камеры, а затем воссоздать извлеченную информацию, используя техники обработки изображений[19].
2016
Как предотвращают утечки в России: исследование SearchInform
1 февраля 2017 года компания «СёрчИнформ» сообщила о результатах анализа ситуации в сфере защиты конфиденциальной информации среди организаций РФ в 2016 г.
Все чаще защиту информации поручают ИБ-специалистам – 42% российских компаний нанимают профессионалов для ИБ-задач. Для сравнения: в 2015 году показатель достигал 22%. В остальных компаниях защитой занимаются ИТ-отделы или руководители.
Чаще всего ИБ-отделы представлены в компаниях Оренбурга (52%), [[Москва|Москвы[[ и Казани (48%), Хабаровска (47%).
Чуть больше половины (63%) сотрудников отделов информационной безопасности имеют профильное образование. Чаще всего профессиональные кадры нанимают организации: Иркутска – 98%, Краснодара – 95%, Оренбурга – 86%, Омска – 82% и Екатеринбурга – 71%. Реже всего профильных специалистов можно встретить в организациях Уфы – 18%.
34% российских компаний не защищают свои конфиденциальные данные. Остальные более бдительны и используют различные инструменты для защиты от утечек:
С каждым днем растет количество каналов, через которые происходит обмен информацией. В 2016 году компании России в первую очередь защищали электронную почту, внешние носители и документы, отправленные на печать - этот показатель вырос на 3%. В остальных случаях внимание к популярным каналам передачи информации снизилось:
- Почта - 29% (-4%)
- Внешние устройства - 20% (-1%)
- Документы в печать 12% (+3%)
- Интернет-мессенджеры - 11% (-3%)
- Skype - 8%
- Облака - 7%
Часть компаний считают, что лучший способ избежать утечек информации по определенным каналам – запретить их – так делают 53% опрошенных компаний.
47% компаний считают, что запрет каналов не остановит инсайдера, и оставляют все каналы открытыми, предпочитая контроль.
- 46% компаний не оповещают сотрудников о наличии систем контроля и защиты.
- 30% – сообщают и предлагают подписать допсоглашение.
- 24% организаций извещают работников, но никаких бумаг с ними не подписывают.
75% российских компаний проводят инструктаж по правилам информационной безопасности. В прошлом году этот показатель был меньше на 3%.
86% российских компаний предлагают своим работникам подписать соглашение о неразглашении конфиденциальных данных.
Данные InfoWatch
В 62% случаев причиной утечки стали внутренние нарушители в организации, при этом было точно установлено, что более трети случаев утечек произошли по вине сотрудников, привилегированных пользователей, включая руководителей, системных администраторов. Доля утечек информации на стороне подрядных организаций составила 6%.
По-прежнему преобладают утечки данных через сетевой канал, доля которого выросла на 11,6 процентных пункта (п. п.) до 69,5%. Доли утечек через съемные носители, мобильные устройства остались на уровне 2015 года. На семь процентных пунктов (п. п.) до 10,8% сократилась доля утечек информации на бумажных документах, в два раза до 4,8% — в результате потери оборудования и на 1,1 п. п. до 8,5% — по электронной почте.
В 2016 году распределение утечек между средними (до 500 ПК) и крупными (более 500 ПК) организациями получилось примерно равным как по числу утечек, так и по объему скомпрометированных данных.
Чаще всего утечки данных происходили из организаций медицинской сферы (25,8%), высоких технологий (14,9%), госорганов и силовых ведомств (13,8%), и образовательных учреждений (10,6%). Реже всего — из муниципальных учреждений (4,4%), промышленности и транспорта (3,9%).
Наибольший объем скомпрометированных персональных данных пришелся на организации, которые системно используют персональную информацию в своей работе: компании высокотехнологичного сектора (73,6%), торговые компании, отели и рестораны (11,9%). На государственные органы и муниципальные учреждения пришлось 9,9% всех украденных ПДн.
Наиболее привлекательными для злоумышленников, как и годом ранее, оказались торговые и транспортные компании, к которым в 2016 году добавились также финансовые организации. В этих отраслях более половины утечек, сопровождавшихся кражей ПДн, носили умышленный характер.
Каждая четвертая утечка данных в финансовых организациях происходит из-за потерянных устройств
Причиной каждой четвертой утечки данных, произошедшей в финансовых компаниях и банках США за последние несколько лет, являются потерянные мобильные устройства, и только каждая пятая утечка произошла в результате хакерской атаки. 14% инцидентов произошли по случайности, а еще 13% были вызваны инсайдерами. Причиной ряда утечек также стала потеря бумажных документов.
Как сообщает издание The Register со ссылкой на ИБ-экспертов компании Bitglass, за последнее десятилетие свыше 60 организаций финансового сектора (в том числе крупнейшие банки) регулярно становились жертвами утечек. В 2015 году финансовые компании столкнулись с 87 утечками данных – на 42 больше, чем в 2014 году. В первой половине 2016 года об утечках уже успели сообщить 37 банков (5 из них входят в двадцатку крупнейших банков США)[20].
Одна из крупнейших финансовых организаций США, JP Morgan Chase, с 2007 года регулярно сталкивается с утечками информации. В 2014 году организация сообщила о наиболее масштабной за всю историю ее существования атаке, ставшей причиной утечки данных 83 млн клиентов JP Morgan Chase.
Отчет Bitglass составлен на основе сведений, полученных с 2006 года из открытых БД и правительственных официальных документов.
Банковские утечки: инсайдеры, внутренние нарушители, бумага
8 июня 2016 года аналитики InfoWatch сообщили о росте доли банковских утечек более чем в 37 раз, за последние два года: с 0,3% до 11,2%[21].
Самая распространенная причина утечки - действия инсайдера, который ее инициирует. В России, при этом, ситуация с финансовыми утечками одна из худших в мире: по их количеству страна занимает второе место.
Согласно заключению аналитиков InfoWatch, около 45% всех утечек приходится на небольшие банки - такая доля получается, если не учитывать самые крупные утечки. Крупные банки получили большую долю в числе утечек, но маленькие банки не защищены от проблем.
В 2015 году от утечек пострадали крупнейшие игроки финансового рынка: Bank of Scotland, Banque Cantonale de Geneve (BCGE), Citibank, Equifax, Federal Reserve Bank of New York, HSBC, JPMorgan Chase, Lloyds Bank, Morgan Stanley, PayPal, UniCredit, Wachovia Bank (Wells Fargo Bank) и ряд других.
По итогам 2015 года Россия заняла второе месте по числу утечек в финансовом секторе, к тому же доля банковских утечек в РФ больше, чем в среднем в мире: 16% против 8,6%.
В 73% случаев потерянными оказались персональные данные клиентов российских банков. В InfoWatch отметили вероятность серьезных последствий в результате утечек такого типа: "только в результате инцидентов, получивших огласку в СМИ, утекло свыше 22,5 млн записей персональных данных".
В 70% случаев «врагом» становился так называемый внутренний нарушитель – один из сотрудников банковской организации. Это касается, как случайных, так и продуманных краж персональных данных.
Самый распространенный путь утечек – отправка полученных данных через сетевые сервисы. Так передаются платежная информация, номера счетов, данные баланса, реквизиты платежных карт, персональные данные клиентов и так далее. На этот канал пришлось 35,7% всех утечек
«Сетевые» утечки характеризует высокий уровень критичности данных и огромные объемы скомпрометированной информации, отметили аналитики компании-исследователя.
Второй по популярности канал утечек – традиционная бумага. В 13,2% случаев злоумышленник банально печатал украденные данные и уносил их. Остальные 51,1% утечек пришлись на менее популярные каналы: кража или потеря оборудования, копирование данных на съемные носители и т.п.
В банковском секторе отмечается рост не только утечек, но и инцидентов информационной безопасности в целом. Несмотря на то, что финансовый сектор – один из самых регулируемых с точки зрения защиты данных, ситуация остается сложной: из банков похищают и денежные средства, и персональные данные, и платежную информацию. Сейчас банкам очень важно предпринимать реальные меры, направленные на снижение рисков информационной безопасности: внедрять средства защиты, выстраивать сопутствующие защитные процессы, обеспечивать своевременный контроль и реагирование на допущенные инциденты. Причем все эти меры должны применяться комплексно. |
По сведениям Zecurion Analytics, на третьем месте среди отраслей, наиболее подверженных утечкам, банковская сфера. На долю банков по итогам 2015 года приходится 12,9% всех утечек. Первое место занимают госструктуры (17,9%), а второе – ритейлеры (13,1%). При этом среди скомпрометированных типов информации почти вдвое выросла доля финансовых данных физлиц: номера кредитных карт, денежные вклады, операции по счетам. Доля таких данных достигла 19,1% от всех инцидентов за прошлый год. Остальные персональные данные, в том числе адреса электронной почты и паспортные данные, по-прежнему лидируют среди типов информации, доля которых 58,2%.
2013
Шифрованная почта, соцсети и USB-носители
Наиболее актуальными каналами потенциальной утечки данных стали:
- шифрованная электронная почта (в том числе личная, на бесплатных сервисах),
- социальные сети и
- USB-носители (флешки, внешние жёсткие диски и т.д.) (данные исследования компании «МФИ Софт», апрель 2013 года).
Несколько меньше ИБ-специалисты беспокоятся за принтеры и интернет-мессенджеры (исключая Skype).
При выборе систем DLP (защиты от утечек информации) большая часть респондентов обращает особое внимание на скорость поступления уведомлений о нарушениях политики информационной безопасности – по мнению специалистов, система должна уведомлять оператора в режиме реального времени. Также отмечают важность простоты интеграции с другими элементами информационной безопасности (средствами шифрования данных, firewall и т.д.). Наименьший приоритет ИБ-специалисты отдают возможности блокировки действий пользователя, объясняя это опасениями за снижение скорости и качества работы и, как следствие, парализации системы защиты.
Когда сотрудники считают ворон, или защита от невнимательности
По статистике аналитического отдела компании Falcongaze, которая является разработчиком системы информационной безопасности SecureTower за 2013 год, около 57% всех утечек конфиденциальных сведений из компаний произошло по вине самих сотрудников. Сколько было и сколько еще будет случаев, когда бухгалтер, отвлекшись на разговор с коллегой, отправляет конфиденциальную финансовую документацию не тому собеседнику в Skype или когда сотрудник отдела продаж по электронной почте направляет клиентскую базу данных коллеге – и ошибается при вводе адреса? Что происходит дальше, представить нетрудно: сотрудники, совершившие оплошность, как правило, не спешат сообщать об инциденте руководству, в то время как любое промедление в таких ситуациях может стать для компании губительным.
Если же в организации используется система для защиты данных, то в подобных случаях ответственные сотрудники получают мгновенные уведомления об инцидентах и имеют возможность своевременно принять нужные меры. Такие инструменты в руках специалистов по информационной безопасности сегодня дают возможность контролировать различные каналы связи в компании: электронную почту, Skype, ICQ, социальные сети, чаты и многие другие. Они также позволяют осуществлять мониторинг документов, записываемых сотрудниками компании на флешки, внешние жесткие диски и распечатываемых на корпоративных принтерах.
Кроме невнимательности, утечки корпоративной информации происходят и из-за злонамеренных действий сотрудников. Сегодня никого не удивляют известия о случаях, когда бывшие работники, уходя, уносят с собой клиентские базы данных, новейшие проекты и разработки компании, персональные данные коллег и другую конфиденциальную информацию. По разным данным, это происходит в среднем в 34% случаев увольнений, связанных с утечками корпоративной информации.
Хотя убытки от утечки данных в денежном эквиваленте определить практически не представляется возможным, конкурирующие друг с другом компании наносят друг по другу удары, отражающиеся на финансовом положении и подвергающие деловую репутацию соперников серьезным испытаниям. В таких условиях программы для защиты информации приходятся как нельзя кстати, помогая выявлять нелояльных работников, готовых сотрудничать с «вражескими» организациями. Осуществляется это при помощи различных технических средств: к примеру, в системе для защиты данных SecureTower это можно сделать, настроив соответствующие правила информационной безопасности или ознакомившись со всеми контактами сотрудников, наглядно представленными в одном из модулей программы.
Обеспечить полноценную защиту корпоративных данных и соблюдение политики информационной безопасности гораздо проще, если в организации выстроены и налажены бизнес-процессы. Да, впрочем, и живется всем намного легче, когда должностные обязанности четко распределены, всем хорошо известно, кто за что должен отвечать и, как следствие, все задачи выполняются быстрее и качественнее.
При помощи современных систем информационной безопасности можно анализировать эффективность работы как отдельных сотрудников, так и целых отделов, осуществлять мониторинг того, каким образом расходуются корпоративные ресурсы, выявлять инциденты, связанные с непрофессиональными или некорректными действиями персонала компании, а также составлять отчеты по деятельности работников за любой промежуток времени. Все это помогает руководителям оперативно решать организационные вопросы, вносить необходимые корректировки, постоянно оптимизируя рабочие процессы в компании, – и в результате позволяет достичь четкости часового механизма.
Ниточки завязаны, все разложено по полочкам, потоки данных под надежной защитой – все в компании работает как отлаженный часовой механизм. Как в том сказочном королевстве: картина может показаться утопичной. Поэтому впадать в абсолютную сказку и забывать о реальности все же не стоит. Системы информационной безопасности эффективны, но лишь в той мере, насколько может быть эффективна бездушная программа. Это такое же орудие для специалистов по информационной безопасности и руководителей, как, скажем, программа 1С для современных бухгалтеров. Использовать программы для защиты данных следует вкупе с другими мерами и с учетом всех деталей, связанных со спецификой каждой отдельной организации. Лишь применяя комплексный подход к защите информации в организации, можно добиться ощутимого результата. Поэтому, прежде всего, следует помнить: дьявол кроется в деталях и возможные угрозы лучше встречать во всеоружии.
2012: Утечки данных через мобильные устройства
Утраченный смартфон легко заменить на новый, восстановить информацию сложнее, а предотвратить к ней несанкционированный доступ, подчас, и вовсе едва ли возможно. Обратить внимание рядовых и корпоративных пользователей на эти расхожие истины преследует цель исследование, проведенное в рамках проекта с необычным названием Smartphone Honey Stick. Его инициатором выступила компания Symantec, непосредственным исполнителем – Скотт Райт (Scott Wright), тренер, консультант, исследователь и основатель Security Perspectives.
Организаторы намеренно в течение несколько дней «растеряли/забыли» в окрестностях пяти крупных городов США и Канады (Вашингтон, Лос-Анжелес, Нью-Йорк, Оттава, Сан-Франциско) 50 смартфонов с заранее записанной на них информацией личного и корпоративного характера. Устройства оставляли в публичных местах с большим скоплением народа – лифтах, торговых центрах, заведениях общепита, на остановках общественного транспорта. Специальное ПО позволяло отслеживать перемещения аппаратов (все они поддерживали GPS) и записывать совершаемые действия с приложениями и данными.
«Забытый» смартфон
Источник: Symantec, 2012
Результаты оказались вполне предсказуемыми:
- 96% смартфонов попали в чужие руки;
- информация и приложения личного характера вызвали интерес в 89% случаев;
- информация и приложения корпоративного характера – в 83% случаев;
- информация и приложения личного и корпоративного характера – в 70% случаев;
- каждый второй смартфон предложили вернуть его законному владельцу.
Путь, проделанный одним из смартфонов, принимавших участие в эксперименте
Источник: Symantec, 2012
Учитывая то, насколько сильно в последнее время смартфоны интегрировались в нашу повседневную жизнь и как быстро они становятся неотъемлемой частью все большего числа бизнес-процессов компаний, задуматься, действительно, есть над чем. Список предлагаемых специалистами Symantec рекомендаций занимает не одну страницу финального отчета с результатами исследования. Самые важные и очевидные: корпоративным пользователям следует со всей серьезностью отнестись к составлению политик использования мобильных устройств сотрудниками, рядовым пользователям не стоит пренебрегать функцией блокирования экрана и надежными паролями.
DLP: Системы защиты от утечек данных
Рекомендации по предотвращению утечек
6 способов уменьшения риска
Учитывая последствия, вызванные нарушениями баз данных, становится очевидным высочайший приоритет стратегии аудита и защиты наиболее ценных сведений в базе данных предприятия. Никто не подаст в суд на компанию, если злоумышленник проникнет внутрь периметра сети и несколько персональных компьютеров превратит в спам-зомби. Но можно быть уверенным в неизбежности судебного процесса, если компания потеряет сотни тысяч записей клиентов, особенно если при этом произойдёт хищение личных данных.
В докладе издание рекомендует несколько технологий безопасности, в отношении которых следует рассмотреть возможность инвестиций, для снижения вероятности краж баз данных. Вкратце:
1. Мониторинг активности базы данных. Инструменты автоматизированного аудита доступа к базам данных, использования и выполнения запросов. Они особенно эффективны при обнаружении внутренних угроз доступа к конфиденциальным данным.
2. Технологии предотвращения утечки данных. Используемое в качестве последней линии обороны, хорошо настроенное DLP-устройство способно предотвратить некоторые случаи, могущие привести к нарушениям данных. При использовании в демилитаризованной зоне DLP-решения могут остановить утечку конкретных типов информации.
3. Управление идентификацией привилегий. PIM-продукты автоматизируют контроль над мощными административными учётными записями, разрешают такие проблемы, как общие административные учетные записи и пароли, излишние административные привилегии, разделение обязанностей и смена паролей. Они также обеспечивают индивидуальную отчётность и аудит, в доказательство применения политик и управления защиты.
4. Аудит Active Directory. Важно пользоваться более наглядной отчетностью в отношении пользовательских аккаунтов, чем это обеспечивает Windows Server. Действующие полномочия в руках даже хакера-новичка могут быть разрушительными. При наличии правильного аудита и удобной системы отчетности, будет возможность распознать беспорядочную аутентификацию и использование аккаунта, как только это случится.
5. Защитные шлюзы. Промежуточные средства (и сервисы) защиты доступа в интернет хорошо используются для защиты пользователей внутренней сети от вредоносных программ и вирусов. Но эти технологии могут также использоваться в качестве обратных прокси-серверов для проверки содержимого, отправленного на веб-сервер, доступный извне. Вместе с ростом атак XSS и SQL Injection, эти устройства является насущной необходимостью в качестве инструмента для отражения угроз из внешних источников.
6. Многофакторная аутентификация. Она предназначена в первую очередь для предотвращения доступа злоумышленников. Двухфакторная аутентификация не убережет базу данных от запросов, не помешает злоумышленнику, у которого уже имеется доступ. Однако, если база данных учетных записей находится под угрозой, как это было в случае с Gawker, обязательное применение двухфакторной аутентификации на уровне веб-доступа может предотвратить мошенническое использование учетных данных, даже если идентификатор пользователя и пароль стали известны. Многие банки уже начали применять онлайновую двухфакторную аутентификацию, особенно при проведении важных операций.
5 шагов на пути построения системы защиты от инсайдеров
Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам[22]:
- Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
- Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
- Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
- Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
- IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.
С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа.
Советы по защите данных
Многим компаниям неизвестно, что у них крадется самая важная информация, базы данных и интеллектуальная собственность. Но даже когда они это осознают, часто проходят недели и месяцы между первой атакой и обнаружением. Такие выводы сделаны в исследовании компании Verizon - Data Breach Investigation Report, в 2010 году. Более того, компании, как правило, узнают об этих нарушениях от третьих лиц, а не собственных служащих и технологий.
В базе данных онлайнового сервиса Privacyrights.org, ведущего статистику и хронику утечек данных всех типов, имеется более 11 млн. записей о кражах данных. Хотя последние несколько лет многие компании экономят на ИТ-бюджетах, расходы на обеспечение безопасности в целом остаются неизменными, и по прогнозам многих аналитиков значительно возрастут в ближайшие годы. Это не говорит о том, что у профессионалов в сфере безопасности недостаточно ресурсов, необходимых для защиты информации, скорее о том, что они не достаточно сосредоточены на защите баз данных.
Издание InformationWeek в собственном ежегодном исследовании утверждает, что последствия такого отношения к безопасности использования данных могут быть очень плачевными. В качестве одного из примеров в докладе приводится инцидент в компании Epsilon, произошедший в апреле 2011 года: были утеряны миллионы записей о клиентах, содержащие широкий спектр личных данных. Массированная атака на компанию электронного маркетинга Epsilon Interactive привела к хищению пользовательских адресов электронной почты, по крайней мере, 50 клиентов, в их числе компании JPMorgan Chase, Capital One, Marriott Rewards, US Bank, Citi, Ritz-Carlton Rewards, Walgreens, College Board и Home Shopping Network.
Это был второй серьёзный случай нарушения данных. В декабре 2010 несколько фирм, в том числе devianART, Honda, McDonald`s и Walgreens сообщили об аналогичных нападениях, в результате которых были украдены адреса электронной почты. К примеру, McDonald `s информируя общественность, заявила, что утечка «ограничилась адресами электронной почты, возможно именем, почтовым адресом, домашним или мобильным телефоном, датой рождения, полом и информацией о рекламных предпочтениях или заинтересованности в веб-информации». Этих данных достаточно для открытия счета кредитной карты и начала адресных фишинговых атак.
Подробная техническая информация о том, как именно были атакованы Epsilon и Silverpop недоступна. Но издание дает несколько важных советов по защите баз данных на основе того, что известно аналитикам:
1. Проверьте политики соблюдения и реализации систем безопасности поставщиками сервисов. Компания не может передать в аутсорсинг ответственность перед клиентами, и будет отвечать перед ними в вопросах безопасности обработки информации своих клиентов сторонними провайдерами. Необходимо выяснить, осуществляет ли поставщик услуг периодический аудит SAS70 и/или PCI. Анкетирование посредством вопросника Альянса Безопасности Облачной Инициативы (Cloud Security Alliance Consensus Assessments Initiative Questionnaire) является еще одним способом проверки программ соответствия у поставщика сервисов.
2. Сторонняя компания, с репутацией, оказывающая услуги обработки данных, может быть лучше подготовлена в вопросах безопасности. Тем не менее, она может стать более привлекательной целью для нападения, поскольку обладает большим количеством записей клиентов. Перед тем как принять решение об аутсорсинге, необходимо тщательно оценить стоимость/выгоду/риски управления источниками данных своими силами.
3. Необходимо требовать у поставщиков сервисов доказательств и демонстрации контроля используемых процедур и технологий для обеспечения безопасности источников данных.
Примечания
- ↑ Россия заняла первое место в мире по количеству слитых в даркнет баз данных
- ↑ Объем утечек персданных в мире вырос вдвое до 47.24 млрд записей
- ↑ Ransomware data leaks saw major surge in 2021
- ↑ Авиакомпания British Airways урегулировала дело об утечке данных данных клиентов в 2018 году
- ↑ Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета
- ↑ Kaspersky research finds 174 municipal institutions targeted with ransomware in 2019
- ↑ Сфера розничной торговли лидирует по количеству слабых паролей
- ↑ Хакеры взломали три антивирусные компании в США
- ↑ California Says Private Data for 600,000 People Exposed
- ↑ В Новосибирске закрылась управляющая компания — документы с данными жильцов выкинули в мусорный бак
- ↑ Big W customer data leaked due to printer repair mishap
- ↑ Breach Level Index – это глобальная база данных, которая отслеживает случаи утечек данных и определяет уровень их критичности на основании различных факторов, включая количество скомпрометированных записей, их тип, источник утечки, дальнейшее использование данных, а также наличие их шифрования. Исходя из оценки тяжести, присвоенной каждой утечке, Индекс предоставляет сравнительный список утечек, проводя различия между некритичными утечками и теми, которые нанесли серьезный ущерб
- ↑ InfoWatch: зафиксирован трехкратный рост количества утечек информации
- ↑ Индекс критичности утечек данных представляет собой глобальную базу утечек и обеспечивает оценку уровня той или иной утечки данных по различным параметрам, в том числе по типу данных и количеству похищенных записей, источнику утечки, характеру использования похищенных данных, а также по тому, были ли украденные данные зашифрованы. Каждая утечка получает определенный балл, таким образом, индекс критичности утечек данных представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых утечек (балл утечки варьируется от 1 до 10). Согласно Индексу критичности утечек данных, за период с начала составления индекса публично зафиксированных утечек в 2013 году, количество скомпрометированных записей данных превысило 7 миллиардов. Таким образом, в среднем в мире ежедневно компрометируется более 3 миллионов записей данных, или, грубо говоря, 44 записи каждую секунду
- ↑ Индекс критичности утечек данных за 2016 год
- ↑ База данных аналитического центра InfoWatch включает публичные сообщения об утечках информации из организаций, опубликованные официальными ведомствами, СМИ, авторами записей в блогах, интернет-форумах и иных открытых источниках на русском, английском и немецком языках
- ↑ InfoWatch зафиксировала двукратный рост числа украденных записей персональных данных в 2016
- ↑ Найден новый способ похищения данных с изолированных персональных компьютеров
- ↑ Ученые смогли украсть данные с физически изолированного ПК, отслеживая яркость экрана
- ↑ По материалам SecurityLab
- ↑ Банковские утечки: рост в 37 раз
- ↑ Club.CNews