Удаленка обернулась для банков утечками
Примерно пятая часть участников опроса утверждают, что масштабные утечки в их банках обернулись для организаций крупными штрафами со стороны регуляторов. Менее 10% респондентов отметили случаи, когда утечка в банке не повлияла ни на сам банк, ни на ответственных сотрудников. Более 70% участников опроса рассказали, что утечки чувствительной информации являются основанием для привлечения ответственных сотрудников к дисциплинарным взысканиям, вплоть до увольнения.
В 2020 г. ситуация еще более осложнилась в связи с массовым переходом сотрудников финансовых организаций на удаленный режим работы. Абсолютное большинство участников опроса - 80% респондентов - отмечают увеличение объема утечек информации в результате перехода части сотрудников на удаленку.
Эксперты "Ростелекома" видят в этом сразу несколько причин. Во-первых, некоторые организации не смогли оперативно перевести работу систем защиты конфиденциальной информации на мониторинг удаленного персонала. Во-вторых, персонал компаний в условиях удаленки стал активнее использовать неконтролируемые каналы коммуникаций (внешние облачные хранилища, съемные носители и т.п.) для передачи конфиденциальных данных. Кроме того, в домашних условиях работники зачастую теряют бдительность и собранность. Все это повышает риск ошибочных действий сотрудников и приводит к росту числа непреднамеренных утечек.
По мнению участников исследования, утечки в банках в 2020 г. чаще случались по неосторожности, чем по злому умыслу. Об умышленных утечках в чистом виде заявили только 20% респондентов. 30% опрошенных убеждены, что утечки носят случайный характер. Примерами таких "случайностей" могут быть необдуманная отправка данных третьим лицам или публикация служебной информации в таких открытых источниках, как социальные сети или мессенджеры. Половина респондентов утверждают, что случайные и умышленные утечки происходят в их организациях в равном объеме.
Что касается каналов утечек, преобладающих в финансовых организациях, респонденты отметили шесть основных - это утечки через интернет (внешние облачные хранилища, интернет-почта и т.п.), мессенджеры, корпоративная электронная почта, съемные носители информации (USB и т.п.), печать на принтере и специализированные внутренние системы организации. На канал "утечки через интернет" приходится 33% инцидентов. В 28% случаев данные утекают из организации через мессенджеры. Еще примерно в 24% случаев - через корпоративную электронную почту. Остальные 15% приходятся на съемные носители информации, печать на принтере и внутренние системы банка.
Старший бизнес-аналитик "Ростелеком-Солар" Елена Черникова отмечает, что объемы утечек снижаться не будут, по крайней мере в России. "Ростелеком-Солар" прогнозирует рост в районе 10% по отношению к прошлому году.
"Ситуация не изменится в лучшую сторону, хорошо будет, если не изменится в худшую. Пока мы прогнозируем рост утечек, возможно, не по объему, поскольку с распространением систем защиты от утечек привлекать к себе внимание крупными кражами данных становится все опаснее, - но по количеству более мелких утечек. С другой стороны, пока мы не наблюдаем веских трендов, которые бы свидетельствовали, что может снизиться доля непредумышленных утечек. Третья волна COVID-19 опять вернула массовую удаленную занятость, при этом пока очень маленький процент работодателей стремятся объяснять сотрудникам "правила игры" в новом формате распределенного офиса. Например, какие риски может иметь пересылка на личную почту конфиденциальной коммерческой информации, ее распространение через мессенджеры или социальные сети. До тех пор, пока уровень общей ИБ-грамотности сотрудников остается невысоким, ожидать видимых изменений в массовом небрежном обращении со служебной информацией не приходится", - отмечает Елена Черникова.
Она не ожидает, что позиции в "рейтинге" каналов утечек принципиально изменятся. Естественно, что съемные носители информации и печать конфиденциальных данных на принтере будут постепенно уходить в небытие. Во-первых, потому что это отмирающие элементы бизнес-процессов. Ведь все меньше сотрудников используют какие-то внешние подключения к рабочей станции, если можно просто переслать с нее файлы на личную электронную почту или разместить их в облаке, доступ к которому не зависит ни от местоположения, ни даже от конкретного устройства. Данные и большинство файлов в облаке спокойно можно открыть и даже редактировать с мобильного.
Во-вторых, отмечает Елена Черникова, потому что это наиболее контролируемые каналы коммуникаций. Во многих компаниях по умолчанию установлен запрет на использование съемных носителей для копирования информации, а возможность печати документов также жестко регламентирована.
"Мы видим определенные риски в реализации новых схем утечек благодаря технологиям, которые стали доступны многим удаленным сотрудникам. Это, например, удаленное подключение к рабочему месту с любого устройства, на котором такой доступ возможен - например, с личного ноутбука или мобильного устройства. Контроль действий пользователей с личных гаджетов возможен только с их согласия и ведома, получить которое практически невозможно. Соответственно, личное устройство, с которого организован удаленный доступ к рабочему месту сотрудника, в этот момент, по сути, становится аналогичным флешке или google-облаку", - подчеркивает Елена Черникова.
Главный эксперт по кибербезопасности "Лаборатории Касперского" Сергей Голованов отмечает, что утечки через инсайдеров - это распространенная глобальная проблема, с которой сталкиваются и давно пытаются бороться финансовые организации по всему миру. Увеличение числа утечек если и идет, то в пределах статистической погрешности, на несколько процентов. Эта проблема сохраняется, потому что всегда остается человеческий фактор, которому практически невозможно противостоять исключительно техническими мерами.
Операционный директор глобальной штаб-квартиры Group-IB в Сингапуре Сергей Никитин отмечает, что "слив" базы данных клиентов или продажа на подпольных хакерских форумах может быть следствием как утечки от сотрудника - инсайдера, так и целевой атаки на инфраструктуру компании, например со стороны хакерских группировок. К примеру, в последнее время перед тем, как пошифровать серверы компании, операторы программ-вымогателей похищают чувствительные документы, чтобы, выставив их на аукцион, иметь дополнительный рычаг для шантажа. Бывают, впрочем, случаи, когда из-за халатности сотрудников или неправильной настройки программного обеспечения важные данные становятся доступны третьим лицам - специалисты по информационной безопасности (аудиторы, пентестеры) или злоумышленники обнаруживают их в открытом доступе и сообщают об этом в паблик.
Сергей Никитин, подчеркивает, что в России базы данных клиентов часто "утекают" в результате действий инсайдеров, то есть самих операторов данных, которые незаконно подрабатывают на сервисы пробива. В первую очередь речь идет о людях, которые работают с данными (администраторы баз данных, операционисты, менеджеры по продажам). Из-за того, что в ковидное время часть сотрудников перевели на удаленную работу из дома, количество утечек заметно увеличилось.
"Банки, разумеется, с этой проблемой уже столкнулись и приняли меры. Проблема в том, что использования технических средств только на стороне банка по мониторингу и борьбе с утечками недостаточно - инсайдер, может, например, сфотографировать данные на личный телефон. Да и халатность никто не отменял: сотрудник банка может использовать один и тот же аккаунт в мессенджерах для служебной переписки и передачи чувствительных данных на работе и дома. Если сеть банка защищена, то, к сожалению, дома очень многие люди редко соблюдают правила цифровой гигиены и легко могут стать жертвами атаки - от компрометации домашнего роутера до взлома аккаунта с помощью фишинга", - отмечает Сергей Никитин.
Эксперт считает, что российскому банковскому сектору необходим "взрослый" комплексный подход. Он должен включать в себя системы для обнаружения и остановки целевых атак, которые могут привести к утечке данных, системы для исследования и атрибуции кибератак и обнаружения признаков утечки данных в уникальных закрытых источниках (DarkWeb, Telegram-каналы), системы для борьбы с мошенничеством и утечками данных с онлайн-порталов компании и из мобильных приложений, анализ периметра защищенности компаний, аудит сайтов, приложений и расследование утечек, если они уже имели место.
Именно таким образом, уверен Сергей Никитин, можно обеспечить проактивный мониторинг, в том числе андеграундных площадок для того, чтобы предотвратить новые инсайды и угрозы для своих клиентов, поскольку данные, содержащиеся в базах, могут быть использованы, например, при телефонном мошенничестве.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что в 2020 г. рост утечек в российской финансовой сфере составил более 36%. Более 80% утечек из российских финансовых организаций в прошлом году произошли по вине внутренних нарушителей, тогда как в мире - немногим более 50%.
"Удаленка во многом способствовала еще большему развитию дистанционных услуг и, как следствие, росту утечек конфиденциальной информации на фоне появления новых уязвимых и трудно контролируемых точек входа в корпоративные системы. Во время пандемии мы также отметили усложнение вектора многих утечек - речь идет о сговоре внутренних и внешних нарушителей", - подчеркивает Андрей Арсентьев.
Как и во многих случаях, отмечает он, избежать утечек по различным каналам передачи конфиденциальных данных позволяет использование современных средств защиты информации, таких как DLP-системы при условии их корректной настройки. Поэтому тренд на снижение количества утечек может прослеживаться в случае укрепления инфраструктуры предприятий надежными техническими средствами.
Менеджер по информационной безопасности Accenture в России Марат Цихмистров считает, что есть несколько факторов угроз, связанных с удаленкой. Во-первых, опасность работы с домашних устройств (компьютеры, ноутбуки, планшеты): не секрет, что домашние пользователи редко озадачивают себя обеспечением безопасности, поэтому задача перехвата корпоративных данных или проникновения в сеть организации становится для хакера на порядок проще. Своей цели преступники могут достигать как с помощью массовых фишинг-рассылок, так и через "обработку" сотрудника компании, информацию о котором можно найти при помощи инструментов OSINT (разведка на основе открытых источников, в основном это соцсети).
Во-вторых, риски усиливаются из-за замедления скорости обнаружения и реагирования на компьютерные атаки. При массовой удаленной работе неизбежно теряется самый ценный ресурс - время обнаружения атаки, или это вообще становится невозможным, отмечает Марат Цихмистров.
"Если раньше системы мониторинга были заточены на защиту периметра компании, то с переводом сотрудников на удаленку понятия периметра стали более размытыми и сам периметр защиты увеличился. Теперь для эффективного противодействия злоумышленникам нужно контролировать каждого удаленного сотрудника и каждое его устройство, с которого он работает. При этом контролировать личные устройства гораздо сложнее, чем корпоративные, так как для этого требуется согласие сотрудника на передачу контроля над его устройством компании. Если в компании нет инструментов мониторинга и анализа действия пользователей, такого рода злонамеренные активности невозможно будет отследить", - подчеркивает Марат Цихмистров.
Ведущий системный инженер Varonis Александр Ветколь отмечает, что в 2020 г. наблюдался существенный рост утечек данных практически во всех отраслях. Ключевая причина в том, что 2020 г. вынудил многие организации (и финансовый сектор здесь не исключение) перейти на удаленную работу и в облако без должной готовности с точки зрения кибербезопасности. Это привело к экспоненциальному росту внутренних угроз, связанных в том числе с кражей данных.
"По нашему опыту, скрытой причиной таких "неумышленных" утечек данных может быть чрезмерный, избыточный, доступ сотрудников к данным. По результатам ежегодного отчета Varonis о рисках данных в финансовой сфере, в среднем у сотрудника финансовой компании появляется доступ почти к 11 млн файлов в первый же день работы. Для крупных организаций это число удваивается: 20 млн файлов открыты для всех сотрудников. На статистику утечек также влияют два фактора: во-первых, не обо всех инцидентах становится известно службе информационной безопасности, а во-вторых, имеет значение время реакции на инцидент", - подчеркивает Александр Ветколь.
Он отмечает, что в абстрактной компании, работающей в сфере финансов, уходит в среднем 233 дня на обнаружение и предотвращение утечки данных. В иных компаниях такие утечки могут и вовсе остаться незамеченными - такие случаи не учитываются при построении средней оценки. Иными словами, среднестатистическая финансовая компания устранит взлом, приводящий к утечке данных, только через восемь месяцев после его осуществления. Этого более чем достаточно, чтобы пробелом в безопасности можно было воспользоваться неоднократно за указанный период и вынести далеко не пару-тройку папок документов.
Александр Ветколь считает, что, когда у компаний есть очевидные пробелы в безопасности, такие как бессрочные пароли, открытые для всех папки с конфиденциальными данными, не устраняемое "сломанное наследование прав" при переносе папок и/или файлов, и многие другие "базовые" критерии оценки риска - количество случаев утечек данных будет возрастать из года в год. Необходима минимизация прав доступа к информационным системам и файловым хранилищам до строго необходимых для работы конкретных сотрудников компании (так называемое уменьшение площади атаки).
"Первое - важно убрать из оперативного файлового хранилища данные, которые находятся там по принципу "а вдруг пригодится", переместив их на долговременное хранение в другие места, доступные только администраторам систем хранения или кураторам управления жизненным циклом данных. Второе - нужно уменьшить количество открытых для доступа любого сотрудника компании папок, в первую очередь тех, куда они могут сами положить данные, во вторую - доступных всем для чтения. Третье - стоит выявить расположение конфиденциальных данных в хранилищах, в первую очередь для ограничения доступа, а также чтобы понять, кто фактически использует эти данные, не стоит ли отозвать доступ у тех, кто им не пользуется, на основе аудита и поведенческого анализа всех действий сотрудников с данными, хранящимися в информационных системах", - подчеркивает Александр Ветколь.
Заместитель генерального директора CorpSoft24 Михаил Папура отмечает общий тренд по увеличению количества утечек в компаниях разных отраслей, именно в связи с переводом сотрудников на удаленный режим работы. Причины - не обязательно халатность. У одних это недостаток самодисциплины, а у других растерянность от нарушения привычного порядка работы, смены организационного и системного окружения, приводящие к снижению внимания и утрате командного духа. Интересы компании у таких сотрудников постепенно отходят на второй план, и, как следствие, они перестают уделять должное внимание соблюдению регламентов работы с конфиденциальными документами.