Утечки данных: ущерб и борьба российских компаний

Растет ли количество утечек данных в компаниях?

«Все больше россиян опасаются утечек данных. 85% опрошенных согласны с тем, что сегодня это один из самых значительных рисков для общества. 64% считают, что за последний год число таких инцидентов увеличилось. При этом 93% полагают, что компании уязвимы к кибератакам и утечке данных пользователей», – сообщает исследование PwC.

«Утечки данных из крупных компаний происходят постоянно, но последний год был особенно насыщен утечками конфиденциальной информации в банковской сфере и торговле, – согласился Дмитрий Березин, эксперт направления информационной безопасности КРОК. – Кроме того, 2018 год отметился такими крупными инцидентами, как несанкционированное распространение персональных данных 87 млн пользователей социальной сети Facebook, что привело к значительному снижению стоимости акций компании. Точное число инцидентов неизвестно, так как во многих странах на законодательном уровне отсутствует требование к раскрытию подобной информации. Однако тренд очевиден – в связи с размыванием границ периметра сети и распределенной обработки данных все более актуальным становится риск потери контроля и последующей утечки конфиденциальной информации».

«Технологии вошли в каждую сферу нашей жизни, зависимость от них с каждым годом растет. А значит, может быть причинен все больший ущерб деятельности организаций, – отметил Сергей Терехов, директор центра компетенций по ИБ компании «Техносерв». – В прошлом году мы стали свидетелями эпидемии вирусов-шифровальщиков, которые затронули более 250 тысяч компьютеров в 150 странах, но мало кто смог оценить ущерб. Например, на всемирном экономическом форуме глава крупнейшей в мире логистической компании A.P. Moller-Maersk заявил о полном выходе из строя всей ИТ-инфраструктуры в результате заражения вирусом NotPetya, что привело к ущербу в размере 300 млн долларов. Компания в течение 10 дней смогла вручную обеспечить 80% всей операционной деятельности, в рамках которой в порт каждые 15 минут заходил корабль с 20 тыс. контейнеров. Если бы не достаточно высокий уровень зрелости и наличие планов по реагированию на инциденты безопасности, более высокий срок простоя потенциально мог привести к катастрофическим последствиям для бизнеса компании. Этот публичный случай демонстрирует уровень цифровизации бизнеса в целом, смещение трендов значимости информационных технологий от банков и интернет-компаний в сторону классического бизнеса, основанного вне ИТ-сектора – производства, ТЭК, логистических компаний».

«Последние годы показали не столько возможность принципиально новых угроз, сколько смещение акцентов от финансового сектора в сторону предприятий из других сегментов экономики без понятной ранее модели прямой монетизации атаки. С каждым годом разрабатываемое вредоносное ПО становится все более профессионально сделанным. Оно умеет маскироваться в инфраструктуре до часа X, скрываться от механизмов обнаружения, применяемых «песочницами». Эксплоиты и вредоносное ПО стали доступнее и дешевле на теневом рынке, поэтому они могут оказаться в руках любого подростка, способного нанести большой ущерб для бизнеса крупной корпорации, не прикладывая больших усилий.

В то же время меняются и каналы доставки вредоносов в организацию. Вредоносное ПО может прийти к вам с официального сайта обновлений вашего любимого вендора, в письме якобы от регулятора или государственного органа либо с мобильных устройств ваших сотрудников», – добавил Сергей Терехов, директор центра компетенций по ИБ компании «Техносерв».

Сергей Кузнецов, руководитель отдела технического сопровождения продуктов и сервисов ESET Russia, согласился, что число утечек данных выросло и добавил: «При этом заметна позитивная тенденции – компании начали заниматься вопросами безопасности данных. То есть дело не столько в том, что данные чаще крадут, а в том, что компании обзавелись инструментами выявления и предотвращения утечек».

«Ежегодный рост количества утечек 5-10%. Причины разные. С одной стороны, DLP-системы расширяют каналы, которые можно контролировать. К ним относятся: мессенджеры, контроль отправки файлов в облака, мобильные устройства и т.д. А с другой стороны, меняется сам профиль злоумышленника», – добавил Борис Микулин, руководитель направления по DLP-системам, департамент информационной безопасности Softline.

«Безусловно, с повсеместным ростом информатизации растет и количество утечек данных, – согласился с коллегами Максим Малкиев, менеджер проектов компании «СКБ Контур». – Аналитические отчеты по информационной безопасности крупнейших IT-корпораций — тому подтверждение.

Злоумышленники совершенствуют методы обхода существующих методов и средств защиты информации. Одним из наиболее действенных и распространенных способов кражи данных сейчас является внедрение вредоносного ПО. Согласно докладу Cisco, с 2017 года разработчики вредоносного ПО начинают все активнее использовать шифрование для скрытия своей деятельности по командованию и управлению, что дает им больше времени для работы и нанесения ущерба. Также в 2017 году наблюдались крупные кибератаки, в которых использовались программы-вымогатели, шифрующие файлы на компьютере жертвы и требующие выкуп за ключи расшифровки.

Самыми популярными векторами атак для распространения вредоносного ПО по-прежнему остаются электронная почта и фишинговые компании, так как они могут доставить угрозу непосредственно на конечное устройство.

Специалисты по информационной безопасности прогнозируют, что в 2018 году злоумышленники будут использовать машинное обучение и искусственный интеллект для построения новых атак, возрастет число программ-вымогателей и появится новое вредоносное ПО под IoT и мобильные устройства».

Однако Роман Чаплыгин, директор отдела анализа и контроля рисков и информационной безопасности PwC, сообщил, что «в целом количество инцидентов за последний год снизилось на 50%, и только у 4 из 12 секторов заметен рост. В течение последних 5 лет мы видели наращивание инвестиций в информационную безопасность со стороны крупных компаний. И логично предположить, что эти инвестиции дают возврат и количество клиентов немного снижается.

К тому же с учетом развития технологий цифровизации, а также атак, их подготовка немного меняется. И подготовка крупных атак требует больше времени. В 2018 году количество инцидентов снизилось за счет лучшей защиты, но тем не менее, возможно, это признак подготовки других, более сложных и более массовых атак.

Основные внутренние причины инцидентов кибербезопасности: текущие и бывшие сотрудники. Внешние – злоумышленники-конкуренты и слабая защищенность партнеров и контрагентов, имеющих легитимный доступ к инфраструктуре крупной компании. Утечки зачастую происходят по последней причине».

«Судя по моим наблюдениям, правильнее будет говорить о том, что год от года повышается осведомленность об утечках данных и их последствиях, и растет стоимость такого события, – отметила Галина Шаблинская, директор по работе с клиентами BDO Unicon Outsourcing. – Утечки разного рода происходят практически постоянно, но если, скажем, пять лет назад о таких фактах легко было умолчать, то год от года информация об утечке распространяется среди клиентов и конкурентов все быстрее. И все проще становится воспользоваться данными, просочившимися в сеть. Все меньше данных хранится с помощью аналоговых способов и все больше – в цифровом виде. И одно дело – попытаться извлечь выгоду из случайно выброшенных папок с личными делами сотрудников, а другое – за 15 минут обработать данные клиентов конкурента, попавшие в интернет, и начать на них охоту».

Каков ущерб компаний от утечек данных?

Финансовый ущерб российских компаний от утечек данных возрос за последние полгода. Для крупного бизнеса он составил $246 тыс., на 2,5% больше, чем в прошлом году, говорится в исследовании «Лаборатории Касперского». Для среднего – вырос втрое – до $74 тыс.

«Финансовые потери от утечки могут быть прямыми и косвенными. К первым относятся: нарушение деятельности, санкции от контрагентов, штрафы от регуляторов. Непрямые негативные последствия связаны с оттоком клиентов, – разъяснил Роман Чаплыгин. – Основной посыл нашей фирмы в том, что в современном мире с учетом цифровизации именно доверие – один из залогов для развития бизнеса. А утечки подрывают больше всего доверия и репутации. Потому что если что-то произошло, например, компания подверглась DoS-атакам и перестала работать – это менее страшная проблема для потребителей и партнеров, чем утечка. Потому что при утечке происходит раскрытие информации. Она подвергается огласке, и за счет этого влияние на репутацию или, другими словами, доверие к компании сильно подрывается. А это в свою очередь приводит и ко второстепенным последствиям: отток клиентов, снижение доходов, расторжение партнерских соглашений».

«По статистике Ponemon Institute, 2/3 малых и средних компаний закрываются в течение полугода после утечки данных. Крупные компании в целом переживают подобные инциденты, но несут существенные финансовые потери. Средний ущерб от утраты конфиденциальных данных оценивается в 4 млн долларов, стоимость каждой украденной записи базы данных – от 160 долларов», – сообщил Сергей Кузнецов.

По словам Бориса Микулина, «цена утечки в разных организациях и отраслях разная. Порой утечки могут вести к репутационным рискам, крупным финансовым потерям и даже к банкротству организации, потере кадров, потере ноу-хау и т.п.».

Как бороться с утечкой данных?

«Можно выстроить эффективную работу с данными, но исключить утечку на все 100% невозможно. По данным того же Ponemon Institute, 61% сотрудников злоупотребляет доступом к конфиденциальным данным компании. Поэтому для защиты необходим комплексный подход – технологические средства защиты информации (продукты для офисного контроля и DLP-системы) и работа с персоналом (повышение лояльности, обучение основам безопасной работы с данными)», – отметил Сергей Кузнецов.

«Для эффективной защиты от утечек недостаточно провести установку какой-либо одной системы защиты. Требуется создание комплексной системы обеспечения информационной безопасности организации, включающей организационные и технические меры защиты. Технические меры защиты могут включать в себя классические механизмы безопасности и проактивные системы защиты. К первым относятся: межсетевые экраны, системы обнаружения вторжений, системы контроля и управления доступом к конфиденциальной информации. Ко вторым – системы защиты, анализирующие поведение сотрудников организации в разрезе различных бизнес-систем, баз данных, файловых ресурсов и других систем хранения конфиденциальной информации», – добавил Дмитрий Березин.

«Эффективную защиту можно выстроить, благодаря двум действиям:

1. Выявление ценных ресурсов и фокус инвестиций на защиту именно их.

2. Использование современных продвинутых инструментов защиты: Threat Intelligence; Security Operations Centres; продвинутая стратификация, в том числе использование поведенческих профилей пользователей; средства аутентификации и прогнозирования угроз уязвимостей. Кроме того, я бы отнес к хорошим инструментам тестирование защищенности. Он необходим, когда средства защиты приобретены и установлены в компании, для получения уверенности в том, что они настроены и правильно функционируют без сбоев», – рассказал Роман Чаплыгин.

Борис Микулин, руководитель направления по DLP-системам, департамент информационной безопасности Softline, тоже рассмотрел подходы к эффективной защите от утечек: «Раньше DLP-системы защищали только рабочие станции внутри организации: компьютеры и ноутбуки. 2-3 года назад бизнес начал активно переходить к мобильным устройствам, планшетам, облакам. Сотрудники работают удаленно, бывают в командировках, отпусках, порой им необходим доступ к файлам и документам, которые хранятся у работодателей.

Возьмем для примера файловую шару. Сотрудник может иметь доступ на устройствах к файловой шаре, где хранятся презентации, корпоративные документы и т.п., которые могут быть конфиденциальной информацией. Для того чтобы исключить утечки данных, DLP-вендоры разработали агент, который защищает каналы на мобильном устройстве. Контролируется почта, веб, мессенджеры, фото, но этот подход больше подходит для корпоративных устройств, так как ведется контроль за всеми каналами в том числе и личными, что нарушает закон. В российской экономике большинство заказчиков не используют корпоративные телефоны.

Для личных устройств есть другой подход – “защищенные витрины”. Это MDM-клиент, через который у сотрудника есть доступ к корпоративной инфраструктуре компании: почте, файловой шаре, календарю. Когда что-то скачивается, создаются теневые копии, которые далее отправляются в DLP-систему на анализ. Мы не можем контролировать личную информацию, мы работаем c “защищенной витриной”.

Можно подойти к защите глобально. Ведь сотрудник может прийти со своим телефоном и сфотографировать экран. Такие действия тоже можно ограничить, но необходимо применить не только технические средства, но и задействовать уровень физической безопасности. Например, во многих организациях личные устройства оставляют за периметром организации. И при входе в корпоративную сеть, дается корпоративный телефон. Плюс, если сотрудник все-таки как-то пронес устройство, камеры для наблюдения это фиксируют. Необходимо мониторить, что сотрудник, например, фотографирует экран.

Был случай, когда сотрудник банка до момента увольнения фотографировал на свое мобильное устройство экран монитора. И после увольнения передал информацию новому работодателю, и бывшая компания, PNC BANK, понесла ущерб.

Также есть дополнительные модули: DLP-системы, которые позволяют записывать видео с экрана монитора и дают возможность видеть активность пользователя: время прихода на работу, статистику посещаемых веб-ресурсов и приложении. Такие концепции в основном предназначены для HR-служб, чтобы отслеживать работоспособность сотрудника и его лояльность к организации.

Есть продукты, которые защищают от внешних атак, но не подходят для утечек, потому что чтобы от них защититься, нужно охранять инфраструктуру изнутри. DLP-системы контролируют рабочие станции, ноутбуки, удаленные рабочие места и мобильные устройства. Можно выстроить эффективную защиту от утечек, но нужно внедрять ее поэтапно на всех уровнях, не забывая о законодательстве, например, о дополнительном соглашении к трудовому договору с сотрудником», – добавил Борис Микулин.

«Важно выстроить и поддерживать баланс между постоянной работой с ИТ-инфраструктурой и с людьми. В первом случае нужно регулярно модифицировать железо и обновлять софт, анализировать возможные уязвимости и искать способы их предотвратить. Во втором: объяснять, каковы правила информационной безопасности, что может случиться, если их не соблюдать, оценивать возможные негативные сценарии.

В нашей компании, например, каждый сотрудник проходит обучение принципам информационной безопасности на адаптационном курсе. Мы регулярно обновляем знания сотрудников: проводим тренинги и учения, пишем об угрозах в интранете и корпоративной газете компании. Причем мы стараемся делать это интересно, чтобы информационная безопасность в глазах сотрудника не становилась таким же унылым и бесполезным знанием, как ОБЖ в школе: используем реальные ситуации из жизни, рисуем комиксы и т.д. Иначе даже при использовании самых передовых средств защиты разговоры о построении системы ИБ так и останутся только разговорами», – добавила Галина Шаблинская.

«Тренды в области информационной безопасности приводят к повышению спроса на такие технологии как SIEM, NBAD, IRP, SOC, BI, с важной составляющей в сторону визуализации, метрик результативности и процессов информационной безопасности. Однако единой “серебряной пули” от современных угроз и векторов атак не существует. Для каждого предприятия актуален свой набор механизмов защиты в зависимости от критичности бизнеса, ИТ-технологий, размера инфраструктуры, наличия прямого взаимодействия с бизнес-партнерами и конечными пользователями с использованием веб- и мобильных технологий и т.д.

Главное, что рынок понял, что можно серьезно пострадать от внешней атаки, не являясь ее целью. Ведь уязвимости, которые были использованы для массовых атак неуникальны, а патчи, устраняющие данные уязвимости, были доступны за несколько месяцев до первой атаки. Именно поэтому сейчас все чаще поднимается вопрос кадровых проблем, процессов информационной безопасности и эффективности применяемых защитных мер. Можно сказать, что рынок консалтинга в области информационной безопасности перерождается и сильно растет аналогично началу 2010-х на волне популярности персональных данных.

Главные угрозы для любого предприятия: нехватка ресурсов и квалифицированных кадров ИБ, отсутствие выстроенных процессов информационной безопасности, в первую очередь в части реагирования на инциденты информационной безопасности и управления уязвимостями. Кроме того, к ущербу для компаний может привести отсутствие правильно интегрированных между собой технологий, способных выявлять и предотвращать массовые и целенаправленные атаки.

Соответственно все самые опасные и распространенные угрозы можно закрыть только переосмыслением подхода к функции ИБ в организации – отдельно точечные решения уже не способны соревноваться в скорости с современной киберпреступностью», – заключил Сергей Терехов, директор центра компетенций по ИБ компании «Техносерв».

Поэтому информационная безопасность становится все более важной сферой в компаниях и все больше развивается. Этому способствует в том числе угроза утечек данных, которые могут привести к серьезному ущербу.

Источник: CFO-Russia.ru от 26 июня 2018 г.