Данные в утечках заметно посвежели
По данным отчета "О значимых утечках данных в России" от Kaspersky Digital Footprint Intelligence, в январе-октябре 2023 г. зафиксировано 133 случая публикаций в открытом доступе баз данных российских компаний, которые содержали более 5000 записей или их публикация вызвала широкий резонанс. По сравнению с 2022 г. самих объявлений об утечках стало меньше на 6%, но объем опубликованных злоумышленниками данных вырос на 33%.
"По сравнению с предыдущими годами количество публикаций в открытом доступе полных файлов утечек заметно сократилось. Однако нельзя с уверенностью сказать, что самих утечек стало ровно на столько же меньше. В 2022 г. хактивисты с высокой регулярностью размещали в открытом доступе ПДн (персональные данные) тысяч клиентов различных компаний, преследуя при этом разные цели, в том числе нанесение репутационного урона российским компаниям и создание массового недовольства в обществе", - обращает внимание руководитель Центра противодействия киберугрозам Innostage CyberART Максим Акимов.
"По данным центра мониторинга внешних цифровых угроз Solar AURA ГК "Солар", с января по октябрь 2023 г. в публичный доступ попали данные более 330 российских организаций. Первое место по количеству опубликованных данных в этом году заняла ИT-отрасль (4,09 млрд строк), крупная утечка произошла в сентябре этого года. На втором месте оказались услуги (209,23 млн), на третьем - ретейл (187,66 млн). Финансовый сектор (157,76 млн) и игровая индустрия (48,05 млн) расположились на четвертом и пятом местах соответственно", - отметила пресс-служба ГК "Солар".
Где больше течет
По количеству утечек лидирует сегмент малого и среднего бизнеса (87 инцидентов), однако более двух третей объема пришлось на крупные компании. "Инвестиции в защиту данных в компаниях СМБ редко превышают базовые, а самый частый способ их взлома - социальная инженерия. Если же мерить в количестве утекших данных, то тут в лидерах не компании СМБ (среднего и малого бизнеса), а крупные корпорации и госструктуры. Основная причина инцидентов в них - неправильное проектирование и эксплуатация сложной гибридной инфраструктуры", - комментирует заместитель генерального директора ГК "Гарда" Рустэм Хайретдинов.
"Утечки чаще случаются у средних и небольших компаний. На сегмент крупного бизнеса приходится до 19% утечек, в то время как на средний и малый бизнес - 43% и 38% соответственно. Лидеры рынка стараются выстраивать киберустойчивую ИТ-инфраструктуру и минимизируют такие бизнес-риски", - привел статистику Максим Акимов.
"Можно предположить, что из компаний СМБ действительно утекало чаще. Во-первых, таких организаций намного больше, чем крупных. Во-вторых, не все имеют специальные службы информационной безопасности, а компетенций или ресурсов айтишников, на которых могут возлагать такие задачи, часто не хватает. В-третьих, для небольших компаний может быть дорого внедрение специализированных технических средств контроля информационных потоков, - полагает руководитель аналитического центра Zecurion Владимир Ульянов. - Однако по объемам информации и ее критичности утечки из крупных компаний могут иметь несоизмеримо больший эффект. Даже на уровне инцидентов, которые стали публичными, утечки многомиллионных баз впечатляют".
"В целом это логично. В таких компаниях хранятся огромные массивы клиентских данных, а внимание информационной безопасности в них уделяется меньше, так как требование регуляторов к хранению и обработке данных для СМБ ниже, - обращает внимание руководитель отдела аналитики ООО "СерчИнформ" Алексей Парфентьев. - Кроме того, в небольших компаниях зачастую просто нет средств, защитных решений и профильных специалистов, чтобы качественно закрывать задачи ИБ. Отсюда высокие риски утечек данных".
Новые тенденции 2023 г.
71% скомпрометированных данных датируются текущим годом. При этом более половины (55%) изученных баз становились публичными в течение месяца после предполагаемой даты выгрузки из пострадавшей компании. Ровно две трети баз злоумышленники размещали в Telegram. По мнению аналитика сервиса Kaspersky Digital Footprint Intelligence Игоря Фица, популярность этого ресурса начала стремительно расти с марта 2023 г., когда был закрыт популярный форум Breached, куда обычно хакеры выкладывали украденные ими данные.
Чаще всего размещенные на специализированных площадках сообщения указывали на утечки из организаций в сфере ретейла, финансов, карьеры и образования, а также из интернет-сервисов и ИТ-компаний. Наиболее значительный рост публичных инцидентов, связанных с утечками информации в 2023 г., произошел в сфере финансов, ИТ и медицины. По мнению Игоря Фица, существенный рост утечек чувствительных медицинских данных может стать источником большой опасности - в частности, появления новых мошеннических схем, в том числе таргетированных.
Алексей Парфентьев назвал основными тенденциями 2023 г. в плане утечек два фактора - ускорение цифровизации и издержки импортозамещения: "Увеличение количества утечек прежде всего связано с ускоренными темпами цифровизации. И из года в год эта тенденция не меняется. Информация во всем мире становится цифровой, появляется все больше новых хранилищ данных, которые порождают дополнительные угрозы утечек ПДн. К примеру, в госорганизациях в 80,3% случаев основными каналами утечек становились интернет-ресурсы - облачные хранилища, файлообменные сервисы, социальные сети. В уходящем году добавилась еще одна тенденция - импортозамещение. Если для госструктур установлен четкий дедлайн по миграции на отечественное ПО, то для частного бизнеса, в том числе крупного, никаких требований по внедрению отечественных продуктов в последние годы не было. И этот процесс "переезда" сейчас для множества компаний становится весьма болезненным. И если компания не может обновить операционную систему, которая патчами закрывает проблемы безопасности, соответственно с каждым днем множатся и угрозы утечек данных".
Руководитель отдела реагирования и цифровой криминалистики Angara Security Никита Леокумович обращает внимание на значительный рост атак на цепочки поставок в 2023 г.: "Основные способы взлома и причины последующих утечек информации - это фишинговые атаки на сотрудников и клиентов, использование уязвимостей цифровых сервисов и клиентских платформ и взломы через дочерние компании, подрядчиков и субподрядчиков, которые занимаются ИT-разработкой. Например, в первой половине 2023 г. доля таких взломов через третьи компании (по цепочке поставок) выросла на 30% по сравнению с 2022 г. При этом часто подрядчики получают удаленный доступ к критической инфраструктуре, информационная безопасность этих компаний не регулируется, они не подпадают под требования ГосСОПКА и зачастую ФСТЭК".
"Значительная часть утечек в 2023 г. происходила в результате эксплуатации уязвимостей в системе разработки и управления сайтами. Злоумышленники могут использовать скомпрометированные учетные записи для получения доступа к корпоративным ресурсам компаний-жертв. Мы рекомендуем бизнесу заранее разработать план по реагированию на случай кибератаки или публикации украденных данных, чтобы снизить ущерб в случае инцидента, а также регулярно проводить для сотрудников тренинги по повышению цифровой грамотности", - рекомендует Игорь Фиц.
Никита Леокумович также называет атаки на веб-сайты с использованием уязвимостей систем управления контентом весьма распространенным явлением: "Каждый сайт управляется CMS, обычно это Wordpress и Bitrix. Эти системы очень похожи, и зачастую у них общие уязвимости. Разработчики их регулярно устраняют, но мы часто наблюдаем, что компании не обновляют приложения ИT-инфраструктуры. Мы часто сталкиваемся с уязвимостями, датированными 2018 г. или 2019 г. Далее отметим несколько классов критичных уязвимостей, содержащих среды программирования сайтов, которые могут привести к утечке данных, переходу прав администратора от компании к злоумышленникам и пр. Например, в PHP есть такие уязвимости: кросс-сайт скриптинг (XSS), SQL-инъекции, уязвимости, связанные с загрузкой файлов, авторизацией и др.".
"В большинстве случаев хакеры получили доступ к массивам данных в ходе успешных кибератак на инфраструктуры компаний, - считает пресс-служба ГК "Солар". - В последнее время цели злоумышленников изменились: если до 2022 г. подавляющее большинство баз выставлялось на продажу с целью монетизации, то сегодня минимум две трети данных хакеры выкладывают бесплатно на всеобщее обозрение, чтобы нанести максимальный репутационный и финансовый ущерб российским организациям".
Изнутри или снаружи?
"Подавляющее число утечек спровоцировано действиями внешних злоумышленников: таргетированными атаками и проникновениями через уязвимости в системе с прицелом именно на кражи баз данных. Первым шагом нередко бывает захват корпоративных аккаунтов методами социальной инженерии. С повышением цифровой гигиены, которую необходимо прививать сотрудникам, таких случаев должно стать в разы меньше", - убежден Максим Акимов.
Однако, как показало исследование, проведенное ГК InfoWatch совместно с ассоциацией BISA в сентябре-октябре 2023 г., лишь 59% компаний, где произошли утечки, расследовали их причины. Еще меньше - 51% проводит мероприятия, направленные на устранение причин данных инцидентов. При этом в 87% утечек данных виновниками были или действующие, или бывшие сотрудники компаний, в ряде случаев вступившие в сговор с внешними хакерами.
https://www.comnews.ru/content/229878/2023-11-01/2023-w44/1010/organiza…
По результатам исследования интегратора "Инфосистемы Джет", также выросли угрозы со стороны инсайдеров: по итогам девяти месяцев 2023 г. рост составил 50% в годовом выражении и 25% с начала 2023 г. Главным залогом успеха посягательств на данные со стороны внутренних злоумышленников является то, что в 70% обследованных компаний есть серьезные недостатки в управлении доступом к корпоративным ресурсам.
https://www.comnews.ru/content/230205/2023-11-16/2023-w46/1010/koliches…
По мнению Алексея Парфентьева, на долю инсайдеров приходится до 80% инцидентов, связанных с утечками данных: "По данным наших исследований, в среднем восемь из 10 случаев - это утечки по вине внутреннего нарушителя, инсайдера. Чаще всего в инцидентах информационной безопасности замешаны линейные сотрудники - в 2022 г. на них приходилось 73% всех нарушений. Основная мотивация инсайдеров связана с получением личной выгоды. Хотя в 2022 г. треть опрошенных нами компаний столкнулись с ростом внешних атак, как правило, со стороны хактивистов".
"Чисто внешних атак практически не бывает - всегда есть внутренний "соучастник": либо программист написал уязвимые функции, либо администратор халатно отнесся к настройке и обновлениям ПО, либо сотрудник попался на фишинг. Если же называть внешними инцидентами любые взломы, где прямо не участвовали сотрудники компании, то таких инцидентов приблизительно половина", - считает Рустэм Хайретдинов.
Как повлияет ужесточение ответственности за утечки
По мнению Владимира Ульянова, рост штрафов на ситуации с утечками скажется слабо, прежде всего из-за сложности выявления виновников: "Увеличение штрафов окажет некоторое влияние, но не стоит его переоценивать. В конце концов и сейчас есть основания для привлечения к ответственности виновных в утечке информации. И не надо думать, что после изменения законодательства процесс станет простым. По-прежнему нужно будет собирать доказательную базу. Поэтому в данном случае скорее стоит рассчитывать на психологический эффект. Часть инсайдеров откажутся от намерения украсть данные или станут действовать более осторожно".
По мнению Максима Акимова, в малом и среднем бизнесе, с одной стороны, и крупном, с другой, влияние роста ответственности будет разным: "Угроза применения карательных мер, таких как штрафы и лишение свободы, призвана стимулировать к более ответственному обращению с информацией и ее защите. В крупных компаниях риск высоких штрафов может побудить руководство пересмотреть в большую сторону бюджет, выделяемый на ИБ. Таким образом, киберзащита критической инфраструктуры и клиентских сервисов усилится. А вот для среднего и малого бизнеса - скорее просто добавит проблем и рисков".
"Рост штрафов на ситуацию с утечками данных повлияет довольно быстро. Потому что сейчас они ни к чему не мотивируют: заплатить штраф в несколько десятков тысяч рублей в разы дешевле, чем выстроить надежную систему информационной безопасности. Внедрение средств защиты, их сопровождение и оплата труда специалиста требуют немалых бюджетов. Значительный рост штрафов за утечки данных мотивирует компании посчитать риски и заложить средства на защиту информации, - уверен Алексей Парфентьев. - Однако с введением уголовной ответственности нужно быть предельно аккуратным. Потому что будет абсолютно неправильно, если из-за разночтений в законодательстве пострадает хотя бы один невинный человек, который случайно отправил данные не туда, ошибся с настройками доступа к ним и т.д. Уголовная ответственность должна распространяться лишь на ситуации, когда группа лиц в сговоре и на регулярной основе совершала преступления".
Директор по сервисам ООО "Рукс солюшенс" (RooX) Егор Леднев уверен, что рост штрафов вынудит компании навести порядок в управлении данными заняться страхованием киберрисков: "Угроза введения оборотных штрафов за утечку персональных данных клиентов станет одним из факторов, стимулирующих бизнес мигрировать на более безопасные и надежные системы защиты информации и развивать их. Так, многие компании до законопроекта продолжали нарушать 152-ФЗ, а планируемые нововведения подстегнут их быстрее собирать команды и переходить на отечественное ПО. Кроме того, инициатива введения оборотных штрафов образовала новую статью в расходах бизнеса на ИБ - киберстрахование, в том числе от утечек персональных данных. Компании начинают интересоваться этой услугой и постепенно пользоваться ей. Согласно одному из опросов, в 2022 г. 6% российских компаний застраховали киберриски и еще 21% планировали воспользоваться этой услугой".
Однако по мнению Рустэма Хайретдинова и Игоря Фица, увеличение ответственности не скажется на частоте утечек.