Тема утечек имеет самое прямое отношение к клиентским данным. Именно такого рода информация наиболее востребована на теневом рынке. И ситуация с утечками данных как в мире, так и в России не внушает поводов для оптимизма. Растет как количество инцидентов, так и их масштаб. А ущерб в денежном выражении измеряется десятками миллиардов долларов. При этом стоит иметь в виду, что достоянием гласности становится, по оценке генерального директора компании InfoWatch Натальи Касперской, десятая доля процента от всех произошедших утечек. Так что реальный ущерб от такого рода инцидентов измеряется уже триллионами, если не десятками триллионов долларов в мировом масштабе.
Что интересует злоумышленников?
По данным отчета InfoWatch за первое полугодие текущего года, в 90% случаев утекали персональные и платежные данные. Их можно получить не только из банков, но и из предприятий многих других отраслей, где скорее всего хуже защита и слабее контроль (рис. 1). Они пользуются спросом, так как активно применяются в различных мошеннических действиях, чаще всего для оформления кредитов, налоговых махинаций и прочего, что связано с так называемой «кражей личности». Раньше такого рода инциденты были характерны почти исключительно для США, но теперь злоумышленники и в России освоили подобные схемы.
Например, эти данные используются для кредитного мошенничества. Первые инциденты были отмечены несколько лет назад. Поначалу недобросовестные сотрудники банков пытались использовать персональные данные разного рода маргиналов: бродяг, лиц с алкогольной и наркотической зависимостью. Однако такие попытки очень быстро пресекались, часто на самой начальной стадии. Но появление на черном рынке больших объемов персональных данных вполне благополучных жителей России, причем из разных регионов, позволило существенно снизить риски для мошенников и при этом усовершенствовать используемые схемы. В итоге инцидент вскрывался спустя несколько месяцев, когда значительные объемы информации о действиях злоумышленников были уже безвозвратно утеряны. Плюс потери времени на преодоление всяческого рода барьеров, связанных со взаимодействием структур в разных регионах.
Немалые объемы утекают из медицинских учреждений. По данным InfoWatch, на этот сектор пришлось более трети всех утечек за первую половину текущего года. А медицинские данные представляют очень большой интерес для околомедицинских же мошенников. Тех, например, которые пытаются адресно продавать тяжелобольным людям биодобавки или различные шарлатанские снадобья по завышенным ценам. Такие попытки предпринимались и раньше, но поскольку данные о реальных больных мошенники могли получить только из профильных лечебных учреждений, масштабы их бизнеса были серьезно ограничены. Плюс высокая степень риска, так как приходилось каким-то образом получать доступ в регистратуру и выписывать нужные данные вручную, что требовало довольно много времени и усилий. При этом допускалось много ошибок. Доступ же к большим объемам медицинской информации открывает перед шарлатанами и аферистами просто гигантские возможности для развития их специфического бизнеса.
Клиентские данные широко используются и во всяческого рода мошеннических схемах. Так, по оценке InfoWatch, такие злоупотребления в первые полгода 2015-го происходили почти в 11% случаев попыток мошенничества. Очень широкое распространение получили, например, манипуляции со скидками: по наблюдениям одного из специалистов по борьбе с корпоративным мошенничеством, кассир в супермаркете в каждом втором случае проводил свою собственную карту лояльности при оплате товара, когда такой карты не было у покупателя. А бонусные баллы — это те же деньги. Другой схемой является перекрестный возврат. Проданная единица дорогостоящего товара якобы возвращается покупателем, а затем фиктивно продается, но уже со скидкой, благо у мошенника всегда имеется практически полный набор карт лояльности сети. И сумма скидки просто кладется в карман.
Не так давно достоянием гласности стал инцидент с оформлением недобросовестными сотрудниками одного из мобильных операторов дубликата SIMкарты, что позволило им получить полный доступ к электронному кошельку жертвы, который был привязан к мобильному номеру. Это позволило злоумышленникам совершить кражу довольно внушительных денежных средств.
Есть отдельные категории клиентских данных, которые являются ценным активом компании. А значит, в их получении могут быть заинтересованы конкуренты. И реальные случаи того, что такая информация утекает, фиксируются регулярно. Ущерб при этом очень большой.
Например, крупнейшей утечкой 2014 года в России стала кража данных о 100 тысячах безаварийных водителей из страховой компании. Ущерб был эквивалентен 100 млн долл. И это еще не предел. Бывший менеджер американского PNC Bank переманила 15 крупных клиентов, воспользовавшись данными с прежнего места работы. Ну а иногда добычей злоумышленников может стать и весьма деликатная информация из категории «скелетов в шкафу», особенно если их накопилось на целое кладбище. Тут показателен пример деятельности Генриха Кибера, который обнаружил, что клиентами банка LGT Treuhand, где он работал, являются террористы, наркоторговцы и просто злостные налоговые уклонисты из всей Европы. Данные об этих клиентах Кибер продал спецслужбам и правоохранительным органам ряда стран, так что в итоге разразился грандиозный межгосударственный скандал (см.: История двух инсайдеров//Intelligent Enterprise, 2008, № 19). Впрочем, случай с Кибером произошёл довольно давно, и ничего похожего с того времени не было. Однако нет гарантии, что подобное не может повториться, пусть и в другой стране.
Почему сотрудники решаются на кражи информации?
По данным InfoWatch, 58% утечек приходилось на низший и средний управленческий персонал. Руководители высшего звена стали виновниками лишь 1% инцидентов. При этом стаж работы сотрудника, по мнению Александра Писемского из аудиторской компании PwC, составляет не менее трех лет. В отдельную группу аналитики выделяют секретарей и помощников руководителей, через которых проходят весьма большие потоки данных, представляющие потенциальный интерес для злоумышленника. На ИТ-персонал приходится ничтожное количество утечек, однако тот факт, что именно данная категория сотрудников имеет полный легитимный доступ ко всем данным компании, делает ее крайне опасной.
Основная причина того, что сотрудники решаются на кражу чего-либо в компании и данных в том числе, — неудовлетворенность своим положением, прежде всего материальным. Известно, что лишь десятая часть персонала ни при каких условиях не будет предпринимать попыток поднять свое благосостояние за счет работодателя. Еще столько же неизбежно будут пытаться совершать всякого рода кражи и махинации. Оставшиеся 80% станут действовать по обстоятельствам. И нельзя исключить того, что попав в сложную ситуацию, они будут пытаться воровать, в том числе и информацию.
Стоит отметить, что материальные мотивы не всегда являются главными. Так, довольно часто данные похищаются из мести работодателю. В аналитическом отчете компании Zecurion приводится случай с одной британской розничной сетью, где уволенный сотрудник выложил на своей личной странице в социальной сети копию базы данных из HR-системы компании о ста тысячах сотрудников.
Во времена экономических неурядиц ситуация с внутренним мошенничеством обостряется. То, что заработки не растут, а порой и снижаются, вкупе с перспективой потерять работу многих вынуждает перейти на темную сторону. Однако и в относительно благополучное время не стоит забывать о сотрудниках с очевидными материальными проблемами — о закредитованных, о любителях азартных игр, о тех, в чьих семьях есть люди, злоупотребляющие наркотиками (см.: Проблемы с проблемным персоналом//Intellignet Enterprise, 2015, № 1). Разумеется, в период экономических неурядиц злонамеренная активность у этих категорий возрастает.
Растут посягательства и со стороны внешнего мира. Это касается, например, сотрудников аутсорсинговых компаний. На них приходилось более 6% инцидентов, связанных с утечками данных. Но перечень возможных злоумышленников ими не исчерпывается. Так, во многих российских регионах заметно участились кражи оборудования из офисов. Естественно, вместе с информацией, которая там хранится.
В результате количество попыток совершить кражу информации, как показывает статистика целого ряда поставщиков средств информационной безопасности, за последний год возросло как минимум втрое. Некоторые зафиксировали и более высокие темпы роста.
Последствия кризиса влияют и на ситуацию с неумышленными утечками, на которые пришлось больше половины инцидентов (рис. 2). Материальные неурядицы и страх за будущее ведут к стрессам, что в свою очередь многократно увеличивает количество пользовательских ошибок, к числу которых относятся и утечки данных. Ведь в статистику подобных инцидентов попадают и такие, когда электронное письмо или факсимильное сообщение отправляется не тому адресату. К категории неумышленных скорее всего относится и пренебрежение к регламентам по уничтожению данных на дисках выводимых из эксплуатации ПК, ноутбуков, серверов, внешних накопителей. Вместе с тем среди неумышленных утечек есть случаи вопиющей халатности. Например, в России как минимум дважды на обычной свалке оказывались документы немаленьких банков. Однако такие инциденты отмечались не только в России. Так, в США врач, ушедший на пенсию, выбросил в обычный мусорный контейнер регистрационные карточки своих пациентов.
Злоумышленник бывает не только внутренним
Довольно долгое время основное внимание сотрудники служб общей и информационной безопасности уделяли пресечению деятельности внутренних злоумышленников. И более того, для некоторых категорий компаний именно они представляют наибольшую опасность. Это стало ясно после целой волны громких взломов корпоративных сетей американских ритейлеров в 2009–2013 годах, когда добычей интернациональной банды хакеров стали реквизиты сотен миллионов платежных карт. Несколько весьма серьезных инцидентов было в 2014 году и в России.
Как показывают результаты мониторинга вендоров по информационной безопасности, на долю внешних атакующих за последние пять лет приходилось 32–40% от общего числа инцидентов, связанных с утечками данных. Но при этом, по оценке InfoWatch, внешние атаки следует признать наиболее эффективными: за первое полугодие нынешнего года из 262 млн утекших записей персональных данных 230 млн были скомпрометированы в результате действий хакеров. И именно внешние злоумышленники украли наиболее крупные массивы данных.
Технология проникновения в корпоративные сети у злоумышленников хорошо отработана. Для этого используется вредоносное ПО, которое с большой долей вероятности «заточено» под конкретную компанию, даже если она небольшая. За такую работу вирусописатели просят не очень большие суммы. Адаптация клиента ботсети для сбора информации по определенному шаблону, содержащей, например, те же персональные данные, реквизиты платежных карт или чтото другое, стоит на уровне розничной цены хорошего ноутбука. Использование таких инструментов автоматизации позволяет злоумышленникам решать проблему нехватки кадров, которая и у них имеет место.
Затем злоумышленники получают полный контроль над зараженным устройством, откуда они имеют доступ к информационным системам, файловым серверам и прочим ресурсам. В качестве плацдарма для такой атаки могут использоваться не только компьютеры и серверы, но и другое оборудование, скажем, принтеры или МФУ.
Деятельность злоумышленников была бы невозможна, не будь в корпоративных сетях разного рода уязвимостей. Согласно исследованию, проведенному в конце 2014 года по заказу HP, в среднем в мире те или иные уязвимости содержали 70% объектов ИТ-инфраструктуры. В России эти показатели, по данным аудиторов компании Positive Technologies, составляют 90%. Причем на половине таких предприятий взлом мог бы провести злоумышленник очень низкой квалификации. Впрочем, опять же это не является сугубо российской спецификой. Скажем, атаки на американские розничные и ресторанные сети, которые привели к баснословному ущербу, были проведены с помощью такого примитивного инструмента, как вардрайвинг. Атакующие с помощью простого оборудования выявляли элементы беспроводной сетевой инфраструктуры, где администраторы не успели заменить заводской пароль, и использовали их для проникновения в корпоративную сеть. Очень часто применяются также фишинг и всяческого рода манипулятивные технологии («социальная инженерия»).
Как предотвратить кражи и утечки данных?
Решить данную проблему невозможно без реализации целого комплекса мер, причем далеко не только технических. Да, каналы для потенциальной утечки можно перекрыть (рис. 3), но очень скоро хитроумные нелояльные сотрудники найдут другие. Да и просто технологии меняются, и со временем ситуация будет совсем другой по вполне естественным причинам. Так, раньше основным каналом утечек была электронная почта, на которую приходилось до 90% инцидентов, и контролируя её можно было предотвращать большую часть попыток «слить» информацию. Теперь всё совсем по-другому. К тому же есть каналы, которые просто невозможно перекрыть с помощью технических средств. Это, например, бумажные документы. Или использование мобильных устройств, которые, как признают поставщики систем защиты от утечек, на нынешнем технологическом уровне ни одно из DLP-решений контролировать не может.
Так что воспитательная и просветительская работа с персоналом может дать не меньше, а иногда и больше, чем внедрение очередной системы. Сотрудники также должны знать об основных уловках, которые используют злоумышленники при попытках занести в компанию то же вредоносное ПО.
Необходимо регулярно отслеживать свою ИТ-инфраструктуру на наличие уязвимостей, причем стараясь ничего не пропускать. Тут любая небрежность может обойтись очень дорого. Ущерб от того, что администратор забыл заменить заводской пароль в беспроводном маршрутизаторе, составил в одной торговой сети свыше миллиарда долларов. Тем более, что существует немало инструментов для выявления таких элементов, причём многие из них бесплатны или по крайней мере недороги. Во всяком случае по сравнению с тем ущербом, который может нанести атака. А атаковать в наше время пытаются практически всех.
Внедрение технических средств необходимо только для того, чтобы они обеспечивали реальную защиту. Это в свою очередь означает, что просто купить и поставить очередную программу или программно-аппаратный комплекс недостаточно. Необходимо настроить инструментарий для максимально эффективного использования. Причем скорее всего эту процедуру придется еще и несколько раз повторить, так как ситуация с угрозами регулярно меняется.
Приобретать нечто лишь с тем, чтобы добиться соответствия требованиям регулятора, наверняка будет пустой тратой денег. Сертификат не спасет от кражи или утечки данных в ходе хакерской атаки.