Киберпреступники расчехлили инструменты индивидуальных атак
Российский сервис разведки утечек данных и мониторинга даркнета DLBI провел исследование крупнейших утечек данных 2022 г. Проанализированы и резонансные инциденты, произошедшие в таких компаниях, как "Яндекс.Еда", СДЭК, "Гемотест", Школа управления "Сколково", и менее масштабные эпизоды, имевшие место в российских компаниях и интернет-сервисах.
По оценке DLBI, количество эпизодов за первое полугодие 2022 г. не изменилось по сравнению с аналогичным периодом прошлого года: их зафиксировано около 20. Но в текущем году доминировал новый источника утечек - взлом серверов баз данных, дампы (копии баз данных) которых хакеры выставляют на продажу. В общем числе утечек доля таких взломов составила 68%, а в общем объеме похищенных данных - 83%. Объем украденных данных вырос на порядок: 61 млн уникальных записей за шесть месяцев 2022 г. против 6 млн за тот же период 2021 г. Также в DLBI зафиксировали взрывной рост количества похищенных неуникальных данных (информация о транзакциях, логи действий), число которых достигло уже 2,4 млрд записей, что беспрецедентно для России.
По предварительным данным мониторинга InfoWatch за январь-июнь 2022 г., объем данных в ходе утечек вырос в 20 раз по сравнению с аналогичным периодом прошлого года. Число эпизодов также выросло на 80%, причем после двух лет неуклонного снижения. И эти данные предварительные - скорее всего, окончательный результат будет еще выше.
По мнению экспертов DLBI, похищенные данные пока используются для экспериментального обогащения баз данных и фишинга. Однако объединение баз нескольких крупных сервисов, таких как, например, СДЭК, "Яндекс.Еда", с данными операторов связи позволяет получить действительно конфиденциальную информацию о пользователях, такую как реальное место жительства, платежеспособность, круг знакомств и многое другое, что может стать основой для новых мошеннических схем.
Директор центра продуктов Dozor "РТК-Солар" Алексей Кубарев считает, что такие данные уже активно используются: "Компиляция данных из разных баз - реальность наших дней, и чем лучше обогащена компиляция, чем больше данных содержит, тем они дороже. Из актуальных признаков, что эти данные уже используются мошенниками, можно отметить точечные информационные атаки на граждан вследствие СВО. Например, отправка видео, текстов и другой информации с целью раскачивания обстановки в обществе. Или же реализация с помощью социальной инженерии различных мошеннических схем, нацеленных на кошелек граждан. Также эти данные активно используются для целевой рекламы товаров и услуг".
"Обогащения данных - это не теоретическая возможность, а реальная практика. Информация агрегируется и обогащается уже сейчас. Соединить данные из разных баз несложно, используя общие ключи - номера телефонов/адреса/имена и т.д.", - уверен руководитель аналитического центра компании Zecurion Владимир Ульянов.
При этом, по мнению заместителя руководителя центра предотвращения киберугроз CyberART ГК Innostage Максима Акимова, для проведения целого ряда мошеннических схем достаточно публично доступных данных вроде ФИО, номера телефона и адреса электронной почты.
По мнению основателя DLBI Ашота Оганесяна, доступ к серверам баз данных хакеры получают множеством способов: от заражения рабочих мест ИT-специалистов стиллерами (специализированным вредоносным ПО, ориентированным на кражу паролей и сессионных cookie) до поиска и эксплуатации уязвимостей в системах удаленного доступа (RDP и VPN-подключений), а также в самих SQL-серверах или CMS (системах управления контентом). Кроме того, все активнее используется анализ проектов компаний, выложенных на GitHub, в которых также нередко можно найти данные для доступа к внутренним ресурсам.
"При таком подходе опасности подвергаются в первую очередь крупные компании, имеющие множество сотрудников ИT-служб и обширную инфраструктуру с большим числом серверов и точек удаленного доступа", - добавил Ашот Оганесян.
Член СПЧ, управляющий партнер, генеральный директор компании "Ашманов и партнеры" Игорь Ашманов на пресс-конференции "Защита персональных данных россиян: достижения и проблемы" отметил, что нельзя сбрасывать со счетов и то, что администраторы баз данных сами могут "слить" практически любую информацию, которая находится в их распоряжении, при этом не оставляя следов. По его мнению, с подобного рода явлением можно бороться в том числе и техническими мерами - например, ограничив возможность выгрузки из баз данных.
При этом утечки данных несут и вполне осязаемый ущерб. Проблема заключается в том, что нет единого мнения, как такой ущерб рассчитывать. На это сетовал, в частности, председатель Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн и председатель Совета при президенте РФ по развитию гражданского общества и правам человека Валерий Фадеев. Именно данное обстоятельство, по их словам, является главным препятствием для того, чтобы виновников в случае краж данных привлекали по соответствующей статье 158 УК РФ, хотя понимание, что данные являются имуществом, у правоведов есть.
По мнению Максима Акимова, на сегодняшний день нет единой методики, которая позволила бы оценить ущерб от утечки данных: "Это сложный вопрос, и в большинстве случаев компаниям не удается подсчитать ущерб от инцидента. Эксперты рынка много спорят о выработке какого-то единого решения, но к существенным результатам эти разговоры пока не привели. В суде сейчас не так просто доказать причинение ущерба из-за утечки персональных данных. Проблема заключается в том, что большая часть потерь приходится на "косвенный" ущерб, а он практически не поддается прямой численной оценке. Условно в результате утечки данных в банке злоумышленники получили доступ к ФИО и телефонам клиентов. Полученную информацию они использовали для обмана и выманили у жертвы деньги. Кто виноват в этом случае? Предъявить ущерб банку, который допустил утечку, будет очень сложно".
Ведущий инженер CorpSoft24 Михаил Сергеев считает, что ущерб сводят к сумме штрафа, который выгоднее заплатить, чем защищать данные: "В данный момент ущерб от утечек данных оценивает российский суд. Так, например, после утечки базы данных "Яндекс.Еды" клиенты сервиса подали в Замоскворецкий районный суд Москвы коллективный иск и потребовали выплатить каждому их них по 100 тыс. руб. компенсации, так как после утечки персональных данных в интернет им начали поступать звонки с незнакомых номеров. В итоге суд оштрафовал сервис "Яндекс.Еда" всего на 60 тыс. руб. КОАП ч.1 ст.13.11 предусматривает максимальное наказание за утечку данных 100 тыс. руб. - интересно, что выгоднее: тратить миллионы на обеспечение безопасности персональных данных в РФ или по факту просто оплатить 100 тыс. если данные украдут?"
По оценке Александра Кубарева, методики оценки ущерба существуют, однако они довольно сложные и расчет зависит от многих факторов: "Методика оценки ущерба есть. Например, если речь идет об утечке персональных данных граждан, то ущерб сильно зависит от объема данных. Например, в России стоимость одной утекшей записи может составлять от рубля до нескольких десятков рублей. Стоимость зависит от количества уникальных атрибутов записи - например, номера телефона, e-mail, номера паспорта, хэша пароля и т.д. А также - от жадности продавца и спроса на конкретный вид данных".
Владимир Ульянов считает, что за основу можно взять методику Ponemon Institute, которая имеет целый ряд недостатков:" Единой общепринятой методологии нет. Чаще всего опрашивают представителей бизнеса, которые делятся своими оценками, однако эти цифры могут сильно отличаться от случая к случаю. Если возможности провести опрос нет, за основу часто берут исследования Ponemon Institute, которые делают оценку уже много лет, причем дают расклад не только по миру, но и по отдельным странам и регионам. Однако методология Ponemon тоже неидеальна. Оценки проводятся в основном в отношении утечек персональных данных, а в фокус исследования попадают преимущественно организации крупного бизнеса. При использовании оценок по методологии Понемона убытки прямо пропорционально зависят от объема утекших записей, хотя в реальности это не всегда так".