Утечка данных: как случается и что с ними делать

Оглавление

1. Виновники утечки информации
   
2. Как утекают данные
   
3. Меры защиты
   
4. Что делать если утечка информации произошла
   

Утечка информации – это одно из наиболее «медийных» негативных событий с позиции ИБ. О них регулярно пишут в средствах массовой информации. В этом году внимание общества к теме утечек данных выросло до такой степени, что государственные органы решили пересмотреть существующие меры ответственности за утечку информации для компаний.

Наиболее громкие утечки информации связаны с персональными данными клиентов компаний, поскольку они затрагивают большое количество частных лиц и вызывают повышенное внимание рядовых граждан. Однако, для бизнеса зачастую куда более критична потеря не клиентских, а корпоративных данных, связанных со стратегией, финансовыми показателями или перспективными разработками.

Виновники утечки информации

Первоисточник любой утечки – это всегда человек. Условно, можно выделить два канала утечки информации:

1. Интервенты. Это внешний злоумышленник, который хочет получить конфиденциальную информацию. Хакер, фишер или представитель конкурирующей компании.

2. Инсайдеры. Это сотрудник компании, который обладает доступом к тем или иным данным. Он может как намеренно продать эту информацию, так и случайно передать злоумышленникам данные, которые помогут в получении искомых сведений.

К инсайдерам также можно отнести контрагентов, которые не представляют компанию, но имеют доступ к информации. Это может быть команда аутсорс-разработчиков или подрядная организация.

Андрей Слободчиков
Эксперт по информационной безопасности Лиги Цифровой Экономики

Утечки внутри организации можно разделить на две категории: умышленные и неумышленные. Первые организуют намеренно в корыстных целях, вторые происходят по неосторожности.

Основная причина случайных утечек — отсутствие системы корпоративного обучения информационной безопасности, в том числе инструкций по работе с документами и секретными данными. Часто сотрудники обмениваются паролями и конфиденциальной информацией прямо в мессенджерах. Так файлы могут попасть в третьи руки, в особенности если сообщения не защищены сквозным шифрованием. Кроме того, пользователи могут забыть обновить приложение на своих гаджетах и пропустить важные патчи с исправлением слабых мест. Это существенно увеличивает риск утечек.

Причины могут быть и проще — неосторожный разговор о рабочих проблемах в общественном месте или забытые документы на офисном принтере. Человеческий фактор может привести к утечке информации с технических устройств (серверов хранения, систем управления базами данных и т. п.) из-за ошибок во время их настройки и установки.

Умышленные утечки не всегда происходят по злому намерению. Иногда сотрудники не совершают вредоносных действий, а просто умалчивают о потенциальных угрозах, которые могут нанести серьезный ущерб компании. В остальных случаях персонал сливает данные из-за конфликта с руководством, сотрудничества с конкурентами или политических взглядов. Для решения подобных проблем важно создавать внутренние отделы информационной безопасности и повышать уровень осведомленности у всех сотрудников.

Как утекают данные

Причин, по которым данные могут попасть к третьим лицам, достаточно много. Их можно поделить на несколько больших групп:

1. Административные. Если у компании нет разнообразных регламентов, политик и инструкций по работе с данными и действиям при выявлении киберинцидента, либо эти данные существуют лишь для того, чтобы отчитаться перед регулятором – нет и реальной защиты данных.

2. Социальные. Наиболее часто встречающиеся «болячки» – это слабые либо скомпрометированные пароли, а также предоставление избыточных прав доступа и недостаточный уровень обучения основам кибербезопасности.

3. Технические. В любой инфраструктуре есть уязвимости, как минимум – 0-day. Но даже в случае с выявленными все не так просто, поскольку нужно своевременно устанавливать актуальные патчи и обновления, что тоже требует времени. Сюда же можно отнести эксплуатацию сетей, которые заражены ВПО.

Исходя из причин, можно выявить два наиболее популярных «орудия» злоумышленников: это эксплуатация уязвимостей и социальная инженерия. Иногда хакеры используют комбинированный подход. Как правило, при проведении целевых атак, поскольку они максимально ориентированы на конкретную компанию и могут идти одновременно по нескольким векторам.

Меры защиты

Защититься от утечки данных на все сто процентов практически невозможно, если не брать в расчет компании и учреждения, где безопасность данных превалирует над возможностью их эффективно использовать.

Однако, можно существенно снизить риск утечки. Первый шаг на этом пути – создание и адаптации «под реальную жизнь» политики безопасности, в которой закреплены роли, действия, инструкции и ответственность сотрудников. Важно чтобы этот набор документов не только соответствовал требованиям государства, но и имел «адаптированный» вариант, который сотрудник реально может изучить, не потратив на изучение одних только аббревиатур более недели.

Следующий шаг после создания нормативной документации – это обучение. Наибольшую эффективность показывает периодическое обучение, когда сотрудник проходит курс несколько раз в течение года, что позволяет ему получать актуальные знания о тенденциях и методах социальной инженерии. Наиболее показателен этот пример в контексте фишинга, где новые «методы воздействия» появляются едва ли не каждую неделю.

И третий шаг – это эффективное администрирование. Сюда можно отнести использование разных защитных инструментов, средств шифрования и анализа трафика. Минимальная мера, которую можно предпринять практически без затрат – это адекватное распределение привилегий в ИС компании.

Что делать если утечка информации произошла

Процесс реагирования на утечку данных затруднен тем, что компания может узнать о ней не в момент происшествия, а много позже, когда злоумышленники выложат данные в открытый доступ или обратятся к компании с требованиями выкупа за неразглашение данных.

Иван Король
Разработчик ПО Anwork

Ни в коем случае не стоит замалчивать факт утечки. Согласно исследованию PwC, большинство клиентов российских компаний обеспокоены хищениями своих личных данных и хотят знать о них. Согласно опросу, 88% пользователей перестанут приобретать продукцию или услуги организации, которая не заботится о сохранности персональной информации и скрывает проблемы безопасности от своих клиентов.

Чем более открыто будет действовать бизнес при утечке, тем больше доверия будет как со стороны клиентов, так и со стороны партнеров, т.к. на сегодняшний день от подобного риска не застрахована ни одна компания, в том числе и государственные сервисы. Особенно актуальна такая позиция для компаний, работающих в сфере здравоохранения, фармацевтики, услуг и IT, телекома и банковском секторе.

Самое важное – это выяснить алгоритм действий злоумышленников и «закрыть бреши», которые были найдены в защите. При этом, поспешные действия в ходе реакции на утечку могут только навредить. Например, развертывание бэкапа системы с большой долей вероятности сотрет все следы злоумышленника, и восстановить последовательность действий в ходе кибератаки станет гораздо труднее.

Также, важно уведомить профильные ведомства и компании, которые могут помочь нивелировать потенциальный ущерб от утечки. Например, если были похищены платежные данные клиентов, то стоит уведомить об этом банковскую службу. Помимо прочего, такой подход позволит снизить репутационные риски для компании.