В мире, где информация — это валюта, ее защита становится приоритетной задачей для любого бизнеса. Однако, что если контролируемая утечка информации — всего лишь инструмент для достижения стратегических целей?
В этой статье рассказываем, что такое контролируемые утечки, как их использовать, и как отличить специально инициированную утечку от реальной.
Контролируемая утечка информации — это преднамеренное разглашение ограниченной части конфиденциальной информации для достижения конкретных целей. Звучит парадоксально, но в некоторых ситуациях такой подход может быть выгоден.
Например:
Но чаще всего контролируемые утечки информации — это эффективный маркетинговый инструмент. Не будем говорить об этичности его использования, но расскажем, для чего маркетологи могут создавать видимость утечки информации.
Дмитрий Саков
Руководитель группы испытательной лаборатории Лиги Цифровой Экономики
Можно выделить три сценария использования контролируемых утечек:
Любой из названных сценариев предполагает, что в итоге компания получит какую-либо выгоду. Например, для сервиса доставки товаров нет никаких преимуществ в утечке базы данных пользователей. Напротив, результатами подобного инцидента могут стать длительные судебные разбирательства и большие штрафы.
- проверка кибербезопасности;
- реклама;
- дезинформация с целью повышения конкурентоспособности на рынке.
Реакция на утечку также довольно показательна. Чаще всего при реальных инцидентах компании стараются решить проблему, не привлекая внимания, чтобы сохранить репутацию. Если же организация активно дает комментарии СМИ и рассказывает подробности произошедшего, велика вероятность, что таким образом она стремится повысить свою узнаваемость.
Многое зависит от репутации компании. Если организация известна нестандартными маркетинговыми ходами, нельзя исключать, что она намеренно публикует «конфиденциальную» информацию в рамках стратегии продвижения.
Самая распространенная причина — создание шума вокруг бренда или продукта для привлечения внимания СМИ и общественности, повышение интереса к продукту или услуге.
Но важно понимать, что контролируемые утечки — это рискованный инструмент, который требует тщательного планирования и контроля. Неправильное использование может привести к серьезным последствиям, включая утрату доверия, финансовые потери и юридические проблемы.
Кирилл Лисовский
Руководитель группы аналитиков первой линии USSC-SOC, УЦСБ
Контролируемые утечки информации чаще всего имеют следующие отличительные особенности:
- Содержание утечки часто включает положительные или нейтральные данные о компании или продукте, подчеркивающие их конкурентные преимущества или стимулирующие интерес к новым продуктам.
- Реакция компании на утечку может быть недостаточно активной или уклончивой, если она не принимает серьезных мер для расследования или устранения утечки.
- Официальные комментарии могут быть слишком нейтральными или избегать прямого ответа на обвинения.
- Источник утечки может быть подозрительно надежным, имеющим историю сотрудничества с компанией или доступа к эксклюзивной информации.
- Форма утечки часто проходит через каналы, которые компания легко может контролировать, такие как избранные СМИ или блогеры. Утечка быстро распространяется и активно обсуждается в социальных сетях.
Зачастую контролируемая утечка может быть происками конкурентов, а целью — снижение доверия к бренду.
Александр Санин
Генеральный директор SafeTech Lab
Компании могут применять такой метод для повышения интереса к своей продукции. Не зря ведь придумали выражение: «Черный пиар — это тоже пиар!». В таких случаях «утечка» носит весьма умеренный характер, и, как правило, сопровождается информацией, что «уже все починили, всех виновных наказали и никакого ущерба нет». У таких контролируемых утечек нет явно выраженных пострадавших.
Но случаются контролируемые утечки, направленные против компании. Хотя тут уже, вероятно, стоит применять понятие целенаправленной атаки. Такие утечки контролируются какими-то третьими лицами (конкурентами, потенциальными покупателями бизнеса и др.), и могут иметь целью, к примеру, снижение капитализации, чтобы купить этот бизнес подешевле. Отличить такую утечку от реальной почти невозможно по каким-либо маркерам. Нужно обладать инсайдом.
В итоге контролируемые утечки информации — это инструмент, который нужно применять осторожно и только в определенных ситуациях. В большинстве случаев их использование связано с маркетинговыми целями, и это не всегда необходимый или этичный шаг.
Отличить контролируемую утечку информации от реальной — задача непростая, и часто это делается на основании косвенных признаков и анализа контекста.
Виктор Гулевич
Директор центра компетенций по ИБ Т1 Интеграция
Сегодня есть несколько маркеров, которые свидетельствуют о контролируемой утечке информации. Например, если информация выходит очень внезапно, и вы ее не ожидали, это может указывать на возможность контролируемой утечки. Есть случаи, когда утечка не наносит серьезного ущерба компании или имеет позитивные последствия. Иногда информация быстро становится вирусной и активно обсуждается в социальных сетях или СМИ в отношении информации об утечке. Последнее время можно наблюдать вбросы, когда идет активное обсуждение о том, что конкретное событие не может появиться.
Контролируемая утечка обычно имеет четкую цель и происходит в рамках определенного события или стратегии. Например, «утечка» информации о новой функции продукта может быть спланирована, чтобы создать ажиотаж вокруг его релиза. Реальная утечка, напротив, часто случается не по плану, может быть следствием небрежности, халатности или хакерской атаки. Цель реальной утечки может быть неочевидной или неизвестной.
Контролируемые утечки часто ограничены по масштабу и характеру информации. Они могут содержать неполные или искаженные данные, чтобы создать интригу, но не раскрыть все важные детали. Реальная утечка чаще масштабная, затрагивает большое количество информации, а данные могут быть полными и точными.
Контролируемая утечка часто инициируется изнутри, например, сотрудниками компании, которые знают о планах по утечке информации. Реальная утечка может быть инициирована извне, например, хакерами, которые взломали систему безопасности, или бывшими сотрудниками, которые раскрыли конфиденциальную информацию.
Организация может отреагировать на контролируемую утечку спокойно и контролируемо, возможно, даже подтвердив правдивость части информации. На реальную утечку организация может отреагировать беспокойством, провести расследование, ввести дополнительные меры безопасности и публично извиниться.
Помимо контролируемых утечек, случаются еще и фейковые. То есть заинтересованные лица подают факты таким образом, чтобы у общественности сложилось впечатление реальной или как минимум контролируемой утечки.
Никита Черняков
Руководитель отдела облачных технологий и сервисов компании Axoft
Фейковые утечки информации — это утечки, которых не было вовсе, либо утечки, в которых не было киберинцидента. Эти «утечки» могут происходить с различными целями и могут быть инициированы как владельцем информации, которая «утекла» (например, при проведении маркетинговой акции), так и третьей стороной. Например, молодая хакерская группировка может скомпилировать базу данных и выдавать ее за ворованную у большого банка для повышения своего авторитета, либо эти якобы данные могут использоваться как средства конкурентной и политической борьбы. Фейковые утечки, как правило, очень стараются быть похожими на настоящие.
Среди маркеров, позволяющих определить фейковую утечку, можно привести следующие:
- Качество фото и видео. Если «утекшие» фотографии нового смартфона выглядят так, как будто их снимали в фотостудии — скорее всего так и было.
- Источник информации. Анонимные источники — не самые надежные.
- Отсутствие явных последствий — расследований, заявлений, сообщений в профильных изданиях и источниках и т. д.
Кому и зачем это нужно? Ответ на этот вопрос напрямую связан с инициатором такой «утечки». Возможно, финансовая выгода или нанесение репутационного ущерба компании.
Главная задача тех, кто направляет информацию в массы под видом реальной утечки — сделать так, чтобы все поверили в это. Для этого используются разные методы.
Суть метода — создать «тайные» каналы для утечки информации, которые не видны обычными методами мониторинга безопасности. Это как построить секретный тоннель, который незаметен для охраны. Один из примеров — стеганография. Информация встраивается в другие файлы (изображения, аудио, видео), чтобы спрятать ее от непосвященных. Представьте, что важное сообщение спрятано внутри невинной картинки котика, и только тот, кто знает секрет, сможет его прочитать.
Другой способ — использовать специальные программы для шифрования и передачи данных по нестандартным каналам. Например, отправить письмо в зашифрованном виде, которое можно прочитать только с помощью особого ключа. Также можно воспользоваться физическими носителями — флешками, дисками или другими носителями для передачи информации в обход систем безопасности. Или даже передать секретную записку через почтового голубя — система безопасности не сможет ее перехватить.
Суть метода — создание ложных целей для хакеров, чтобы отвлечь их от реальной информации и получить о них информацию. Один из способов — приманка — размещение поддельной информации в легкодоступных местах, чтобы привлечь хакеров и отследить их действия. Еще один вариант — создание фиктивных серверов, которые выглядят как реальные, но содержат не ту информацию, которая нужна злоумышленникам. Также можно встроить в программный код специальные ловушки, которые активируются при попытке незаконного доступа и собирают информацию о хакерах.
Суть метода — искусственное создание утечек информации с целью вызвать определенную реакцию у конкурентов, клиентов или других сторон. Например, можно «случайно» устроить утечку в СМИ, чтобы проверить реакцию конкурентов или общественности. Или имитировать попытку промышленного шпионажа, чтобы выяснить, как компания реагирует на угрозы безопасности. Также можно искусственно создать атаку на собственную инфраструктуру, чтобы проверить эффективность систем безопасности и отработать алгоритмы реагирования.
Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»
Вброс информации — довольно простая задача. Специалисты готовят необходимые материалы, принимается решение, какие каналы использовать, а затем осуществляется передача информации. В отдельных случаях информация передается, например, популярным блогерам, освещающим события в индустрии, или, например, публикуются на профильных форумах под фейковыми учетными данными. А дальше уже глобальная сеть делает свое дело. Если информация была качественно подготовлена, она распространится по сети со скоростью лесного пожара.
Обычному пользователю может показаться, что подобное случается редко и мало, кто сталкивался с контролируемыми утечками. На самом деле, они случаются чаще, чем нам кажется.
Константин Ларин
Руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион»
В 2020 году перед выходом игровой консоли Xbox Series S в сеть утекла информация о технических характеристиках устройства. Данный «слив» мог быть контролируемой утечкой для ранней проверки реакции пользователей и рынка.
Перед официальным анонсом фильмов третьей фазы кинематографической вселенной Marvel произошли утечки, в которых раскрывались названия и сюжет некоторых будущих проектов. Они подогрели интерес к киновселенной и вызвали активные обсуждения как среди фанатов, так и в СМИ, что способствовало увеличению ожиданий и интереса к предстоящим релизам Marvel.
В 2019 году, незадолго до показа автомобиля Cybertruck, в сети появились рендеры и изображения дизайна автомобиля. Утечка вызвала большой интерес пользователей сети, что помогло Tesla привлечь внимание к предстоящей презентации.
Таким образом, контролируемые утечки информации — это инструмент, который часто применяется в самых разных сферах — от игр и кино до автомобилей. Хотя обычный пользователь может не догадываться о таких «случайностях», они оказывают существенное влияние на формирование общественного мнения и ожидания.
Контролируемые утечки информации могут быть эффективным в определенных ситуациях, но только при тщательном планировании и контроле. Необходимо взвешивать риски и преимущества, прежде чем использовать эту технику.
Риски, которые нужно учитывать:
Неправильное использование может свести на нет усилия по защите информации и сделать систему более уязвимой. Неосторожное использование может повредить репутации организации и вызвать недоверие у клиентов, партнеров и инвесторов. В некоторых случаях контролируемые утечки могут нарушать законодательство о защите информации и персональных данных, что чревато штрафами и другими негативным последствиям.
Чтобы избежать всего этого, необходимо наладить грамотную информационную защиту данных и информации, с которой работе персонал компании и которая может быть интересна третьим лицам.
Кай Михайлов
Руководитель направления информационной безопасности компании iTPROTECT
В рамках коммерческих организаций единственным способом определения утечек является контроль документов и информации, передающихся по техническим каналам (почта, мессенджеры, съемные диски, аудио/видеосъёмка).
Исторически для контроля конфиденциальных данных использовались DLP-системы, которые сильно ограничивали возможность выгрузки данных, но не убирали ее полностью. К тому же DLP-системы часто бессильны против обычной фотосъемки камерой, например, мобильного телефона.
Существуют модули, которые распознают факт наведения камеры смартфона на экран по видеопотоку с веб-камеры, но такой инструмент сложнее в использовании и требует организационных усилий.
Для расследования утечек в данный момент применяется подход персонификации документов для пользователей — в этом случае каждый сотрудник может обрабатывать одну и ту же информацию, но при этом документ будет персонифицирован. После утечки и появления в сети документа внутри по информационным меткам можно будет определить, от имени какого пользователя произошла утечка. Разумеется, определить полный путь, который проделал документ после утечки, не представляется возможным, но если удастся проанализировать его, то источник будет найден.
В рамках борьбы с защитой от фотографирования ИБ-системы позволяют управлять визуальными данными в документе, вплоть до межстрочного интервала и расстояния между символами, что дает возможность даже по фрагменту на фотографии установить принадлежность. Более грубым методом являются полупрозрачные водяные знаки, чаще в виде QR-кода, которые содержат информацию о пользователе, компьютере и времени. Такой подход хорошо себя показывает, когда для утечки важна не только информация на листе, но и сам его вид, например, внутренняя форма распоряжения какой-то государственной компании, такое фото может вызвать общественный резонанс в сети, а информация в отрыве от фотографии не произведёт должного эффекта.
С точки зрения определения принадлежности утечек, в каждом случае нужно разбираться индивидуально. Как функция — могут помочь дополнительные данные о контактах человека (например, были ли в письме, вызвавшем утечку, дополнительные внешние адресаты и насколько это зависело от пользователя). Сбором подобных данных как раз и занимаются DLP-системы.
Чтобы снизить риски, нужно четко определить цели и ожидаемые результаты, провести тщательный анализ рисков, разработать план минимизации ущерба, использовать только проверенные и безопасные методы, обеспечить контроль над процессом и отслеживать результаты. Также важно быть готовым к негативным последствиям и иметь план действий на случай непредвиденных ситуаций.
Таким образом, для эффективной борьбы с контролируемыми утечками информации необходим комплексный подход. Необходимо не только использовать современные ИБ-системы, но и проводить глубокий анализ рисков, определять ключевые точки уязвимости, а также обучать сотрудников правилам информационной безопасности. Только такой подход может гарантировать максимальную защиту от утечек информации и обеспечить безопасность бизнеса.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться