Финансовый сектор страдает от утечек

Экспертно-аналитический центр группы компаний InfoWatch опубликовал результаты исследования утечек информации из организаций финансовой сферы.

По данным исследования, в 2019 г. более чем в 27 раз увеличился объем утечек персональных данных и платежной информации, скомпрометированных в результате неосторожности или неправомерных действий персонала банков, страховых компаний, иных организаций финансового сегмента, а также в результате активности внешних злоумышленников (хакерские атаки). По совокупности всех этих действий за год скомпрометировано более 1,04 млрд пользовательских записей (персональные данные и платежные сведения).

По данным экспертов, за прошедший год в мире зафиксировано 218 утечек конфиденциальной информации в финансовом секторе, что на 7,9% больше, чем годом ранее. Такое количество инцидентов составляет 8,7% от всех утечек, зарегистрированных в мире в 2019 г. В 2018 г. доля утечек из финансовых компаний в общем распределении была немного выше - 8,9%. Эксперты объясняют это тем, что "за последний год опережающими темпами росло число утечек в государственных и муниципальных организациях, а также в таких отраслях, как промышленность и транспорт".

В России количество утечек из финансовой сферы в 2019 г. выросло на 57,6%, а их доля составляет 13,2% от общего количества зафиксированных в стране утечек. "Очевидная разница в динамике российских и мировых утечек из организаций финансового сегмента объясняется, с одной стороны, сравнительно низкой "базой", с которой "растет" число утечек в России - утечки из банков и страховых компаний до недавнего времени фиксировались и публиковались нечасто, - отмечает ведущий аналитик ГК InfoWatch Сергей Хайрук. - С другой стороны, Россия показывает более интенсивный рост по сравнению с миром во многом за счет повышенного внимания к утечкам в финансовом секторе со стороны общественности".

Исследователи InfoWatch выяснили, что в финансовом секторе традиционно высока доля утекших платежных данных, то есть сведений банковских карт, необходимых для совершения транзакций. В мире среди всех скомпрометированных записей из финансового сектора она составляет 26,1%. В России эта доля почти вдвое ниже и составляет 13,5%. Утечки информации, содержащей персональные данные, для финансовых и страховых компаний в глобальном масштабе составили 64,5%, а в России этот показатель оказался выше на 12 п.п. В отчете отмечается, что менее чем в 10% случаев утечек в мировой сфере финансов были скомпрометированы сведения, составляющие коммерческую тайну.

Аналитики InfoWatch пришли к выводу о том, что основная часть утечек в финансовом сегменте происходит в результате умышленных действий или неосторожности внутреннего нарушителя. Такое положение характерно как для мира в целом, так и для России. "Однако стоит отметить, что среди зарегистрированных случаев доля утечек данных по вине внешнего злоумышленника (хакерские атаки и другие действия неизвестных лиц) в российском финансовом сегменте в четыре с лишним раза ниже, чем в мировом масштабе. При этом если в общей совокупности отраслей во всем мире доля утечек по вине или неосторожности внутреннего нарушителя в последние годы снизилась (2018 г. - 61%, 2019 г. - 54%), то в финансовой сфере наблюдается рост - 45% в 2018 г. против 63% в 2019 г.", - приводят они данные.

Авторы исследования говорят о том, что характер утечек в сфере финансов сильно зависит от используемых организациями технических средств. Подавляющее большинство утечек происходят по причине недостаточного контроля конфиденциальной информации, а также в связи с неисполнением правил работы с охраняемыми данными. Основным каналом утечки данных остается сеть. На долю этого канала в финансовом сегменте приходится 83,2% всех утечек, и она год от года растет.

Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций. Они оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена в семи из восьми проверенных организаций.

В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой. В случае, когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата и полного контроля инфраструктуры ему потребуется в среднем два дня.

Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в восьми из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows.

"Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, - рассказывает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. - Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга".

Заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин отметил, что увеличение объема утечек можно связать с ростом массива данных, которые финансовые организации собирают о своих клиентах, а также их передачей другим стейкхолдерам, например, для дальнейшего анализа. "В условиях более масштабной бизнес-цепочки, которая сопровождается сбором и обменом информацией, традиционные решения, такие как DLP-системы, чья цель - предотвращать потенциальные утечки, выглядят неэффективными, поскольку могут контролировать только узкий спектр технологических моментов, связанных с утечками данных, и бесполезны против инсайдеров, использующих, к примеру, личные устройства без DLP-агентов. К тому же сотрудники банков могут собирать данные, не только непосредственно выгружая их, а например, просто сделав фотографию экрана, на котором будут отражены нужные данные. Без радикальных решений наподобие запрета на пронос телефонов или раздачи корпоративных телефонов с DLP-агентами - DLP-системы едва ли действенны. Современные решения должны доказывать эффективность в условиях возросшего объема хранимых данных, обеспечивая безопасность по всему периметру информационной системы той или иной организации и обнаруживая потенциальное мошенничество еще на стадии его подготовки", - рассказал Сергей Никитин.

"Говоря о количестве утечек в России, их рост можно связать с безответственным отношением к обработке и хранению данных. Стоит лишь вспомнить, что персональные данные сегодня запрашивают на каждом шагу - для входа в любой бизнес-центр вас, скорее всего, попросят предоставить паспортные данные. Эта проблема имеет два измерения - это халатное отношение к хранению данных со стороны тех, кто их собирает, но также и со стороны пользователей, которые зачастую не задумываются о том, кому и зачем они дают разрешение на обработку и хранение своих персональных данных, - рассказывает Сергей Никитин корреспонденту ComNews. - Чтобы не сгущать краски, стоит отметить, что финансовые данные, с помощью которых реально украсть деньги, а именно данные банковских карт, CVV-коды, похищают реже. Как правило, утекают данные о клиентах финансовых организаций - их паспортные данные, актуальные номера телефонов и адреса электронной почты. Однако существует проблема корреляции баз данных: злоумышленники могут собирать как можно больше данных о конкретном пользователе из разных источников и использовать собранную информацию для того, чтобы войти в доверие к потенциальной жертве мошенничества".

Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов обратил внимание на то, что крупные российские финансовые организации очень ответственно подходят к обеспечению кибербезопасности, конфиденциальная информация хорошо защищается, доступ к ней строго ограничен. "Благодаря действиям регулятора и законодательным инициативам такие компании постоянно совершенствуют системы безопасности. В последний год, действительно, было много новостей об утечках данных из банков, однако часто настоящими источниками такой информации становятся не сами организации, а их поставщики и партнеры, где уровень кибербезопасности гораздо ниже. Сейчас у злоумышленников сохраняется интерес к персональным данным, поэтому количество таких инцидентов продолжит оставаться на высоком уровне", - прокомментировал Сергей Голованов.

Директор Центра информационной безопасности компании "Инфосистемы Джет" Андрей Янкин отметил, что статистика строится на данных об известных утечках (общественности и авторам таких исследований) путем экстраполяции на весь рынок. "Поэтому точных цифр тут в принципе быть не может. Многие компании предпочитают не рисковать репутацией и стремятся замалчивать факты утечки данных. Все, кто занимается ИБ, сталкиваются с этим явлением постоянно. Однако в целом с трендами, описываемыми компанией InfoWatch, мы согласны. Применение технических средств для контроля и блокирования утечек важно, но зачастую проблема лежит, скорее, в плоскости проверки и контроля персонала, тщательности внутренних расследований и неотвратимости наказания. После множества публикаций в СМИ об утечках данных число уголовных дел в отношении работников компаний, допустивших утечку, резко возросло. Раньше такие случаи гораздо чаще предпочитали замалчивать, чтобы не подмочить репутацию организации", - рассказал Андрей Янкин.