Как снизить утечки данных ИТ-компаниям?

В 2022 году, по подсчетам ГК InfoWatch, утекло более 660 миллионов записей с персональными данными из российских компаний. Согласно исследованию Positive Technologies, за третий квартал 2023 года больше половины (56%) успешных инцидентов были связаны с кражей информации. Методы киберпреступников становятся более продуманными и опасными.

Это мотивирует организации внедрять новые ИБ-решения и развивать культуру безопасности внутри. В этой статье вместе с Антоном Башариным, техническим директором Swordfish Security, мы поговорим о том, что приводит к утечкам, какие векторы атак используют хакеры и с какими последствиями сталкивается бизнес, а также рассмотрим актуальные направления защиты от кражи данных.

Как хакерам удается завладеть данными компании?

Рассмотрим ключевые причины, по которым конфиденциальная информация компании может попасть в «плохие руки»:

1. Человеческий фактор. Если в компании плохо развита культура безопасности и нет серьезных санкций за инциденты, то любой ее сотрудник может стать причиной «апокалипсиса». И либо инсайдеры отдадут информацию на сторону за вознаграждение, либо же вследствие халатности данные отправятся туда же. Среди главных каналов утечек в 2023 году специалисты называют: облачные хранилища, файлообменники, социальные сети, мессенджеры и электронную почту, а также флэш-накопители и мобильные устройства. Перечисленным сегодня пользуются все, избежать инцидентов практически невозможно, если не разграничивать доступ, не проводить регулярное обучение и не наказывать виновных.

Схемы социальной инженерии также продолжают работать. Целевые атаки на корпоративный сегмент сейчас преобладают, и методы становятся все более изощренными. Например, получив письмо от “шефа” и звонок от его “заместителя”, сотрудник, не разобравшись, отправляет денежный перевод на крупную сумму. Или же передает базу заказчиков или чувствительные данные по тендеру. Результаты опросов показывают, что даже в банковской сфере около трети сотрудников готово открывать фишинговые письма.

Чтобы избежать инцидентов такого рода, необходимо регулярно проводить обучение сотрудников, тренинги и даже специальные учения по информационной безопасности, имитирующие реальные события. С подробным разбором ситуаций и последствий от них.

2. Технические “слабости”. К этой группе причин можно отнести сразу несколько факторов, включая некорректные настройки ПО и оборудования, использование устаревших версий программ, а также отсутствие должного контроля за работой систем.

Помимо этого, все чаще причинами утечек информации становятся уязвимости в программном обеспечении. Они появляются в процессе разработки ПО или случайно или намеренно встраиваются туда сторонними специалистами (если речь идет об опенсорсном ПО, например). Если не выявить такие проблемы безопасности и не устранить вовремя, однажды может произойти серьезный инцидент.

С каждым годом становится больше новых уязвимостей, большая часть которых остается не исправленной, а иногда и незамеченной. А пример эксплуатации уязвимости, зачастую, появляется уже через 12 часов. Не удивительно, что банальные ошибки, такие как некорректная настройка доступа или старая версия программного продукта, могут повлечь за собой кражу информации и серьезный ущерб для компании. Так, в мае 2023 года из-за кибератаки на систему «1C-Битрикс» в сеть утекли данные клиентов сетей магазинов «Ашан», «Твой дом» и Gloria Jeans.

Методы атак на инфраструктуру компаний

По данным Positive Technologies, в третьем квартале 2023 года злоумышленники чаще всего атаковали компании через фишинговые сайты (54%), письма на почту (27%) и преступные схемы в социальных сетях (19%) и мессенджерах (16%). Усложняется ландшафт нападений – организации чаще сталкиваются с серьезными комплексными ударами.

Эксплуатация уязвимостей стала лидирующим вектором атаки на инфраструктуру компаний. С ее помощью хакеры получают доступ к конфиденциальным данным и коммерческой тайне и пытаются нанести максимальный вред организации вплоть до полного отказа систем обслуживания. Также киберпреступники стали активнее применять в своей деятельности искусственный интеллект. С его помощью они взламывают пароли, создают фейковые письма, изображения, видео- и аудиоконтент для рассылки персоналу компаний. Злоумышленники даже создали собственную нейросеть WormGPT для проведения фишинговых атак: с ее помощью они могут легко поддерживать переписку на разных языках.

Если попытки подобраться к большой компании напрямую безуспешны, мошенники могут использовать уязвимости их слабо защищенного партнера и похитить данные через него. Также бывают случаи, когда киберпреступники предлагают сотрудникам нужной им организации «слить» доступ к корпоративной почте или базе данных за денежное вознаграждение.

Какие последствия для бизнеса?

Утечки данных наносят компаниям серьезный финансовый и репутационный ущерб. Клиенты недовольны, что их личная информация «гуляет» по сети, теряют доверие к организации и уходят к конкурентам. Громкие инциденты освещаются в СМИ и портят имидж бренда.

По данным InfoWatch, пятая доля крупных и средних предприятий и финансовых организаций оценивает свой ущерб от кражи информации свыше 1 миллиона рублей. Также ужесточается законодательство: Минюст собирается ввести штрафы за утечку данных размером до 3% от годового оборота компании.

Восстановить конкурентоспособность и расположение клиентов может быть очень трудно, поэтому компаниям стоит заранее выстраивать надежную систему кибербезопасности.

Актуальные методы защиты

Количество утечек данных в России непрерывно растет с начала 2022 года. Не дожидаясь, когда власти, наконец, решат эту проблему, бизнес также может внести свою лепту в снижение числа инцидентов. Компаниям важно осознавать необходимость защиты информации и применения методик безопасной разработки. Вот основные шаги, которые компания любого масштаба может предпринять, чтобы минимизировать количество утечек данных:

• Если в компании ведется разработка программного обеспечения, то важно внедрять ИБ-практики во все этапы жизненного цикла его создания. Помочь в этом могут либо нанятые в штат DevSecOps-инженеры, либо внешние эксперты.
• Разграничение и контроль доступа к чувствительным данным. Чем меньше сотрудников имеет доступ к конфиденциальной информации и чем строже контролируется доступ к ней, тем меньше утечек будет происходить.
• Применение DLP-систем (Data Loss Prevention). Они предоставляют возможность создать политики использования конфиденциальной информации с целью избежать кражи данных.
• Регулярное повышение осведомленности сотрудников через проведение обучающих курсов и кибер-учений. Важно делать это на регулярной основе.
• Расширение штата ИБ-специалистов. По возможности, необходимо привлекать квалифицированных сотрудников к обеспечению ИБ компании, не ограничиваясь лишь сторонними консультантами.

Итог

Утечка данных всегда бьет по репутации и бюджету компании, ведет к потере клиентов и партнеров, остановке операционных процессов и судебным разбирательствам. Количество инцидентов и пострадавших от хакерских нападений организаций увеличивается с каждым годом, поэтому компаниям важно прямо сейчас выстраивать прочную систему защиты. Злоумышленники постоянно совершенствуют свои методы атак, и бизнесу также стоит улучшать способы обороны. Разработчики также могут внести свой вклад в минимизацию утечек за счет выстраивания процесса безопасной разработки с применением передовых практик, которые помогут выпускать защищенные цифровые продукты без уязвимостей. И, конечно, нужно обучать культуре и мерам безопасности всех сотрудников, имеющих доступ к конфиденциальной информации.

Автор: Антон Башарин, технический директор Swordfish Security.