Персонал корпорацій на службі у хакерів

Основна причина, по якій конфіденційні дані залишають периметр компаній, є дії співробітників. Експерти вважають, що в непростій економічній ситуації призведе до зростання інцидентів. Щоб поправити фінансову ситуацію в родині або «провчити» шефа за скорочення, деякі співробітники можуть стати інсайдерами. Зі злого наміру чи ні, але в 2014 р. з вини персоналу відбулося 35% від всіх витоків.

Коли «свій» виявився «чужий»

Кількість викраденої або скомпрометованої інформації в світі виросло на 78%. У світі зафіксовано 1,5 тис. Витоків інформації, підсумком яких стала компрометація майже 1 млрд облікових даних.

У 2014 році аналітичним центром InfoWatch зареєстровано 1395 (3,8 в день, 116 на місяць) випадків витоку інформації. Скомпрометовані виявилося 767 млн ​​персональних даних (записів ПДН), - номера соціального страхування, реквізити пластикових карт, інша критично важлива інформація.

Джерело: InfoWatch, 2015

Середній збиток, який завдає крадіжка інформації, оцінюється в $ 25,51 млн. Такі дані наводяться в Індексі критичності витоків даних (BLI; Breach Level Index). Сукупний збиток від витоків в світі, за даними Zecurion, становить $ 17,782 млрд. Реальні збитки підрахувати неможливо, так як всі факти про розкрадання інформації зібрати воєдино нереально.

Збитки від витоків інформаційної безпеки

ДЖЕРЕЛО: Zecurion, 2014

PwC більш гнучко ранжує масштаб фінансових втрат середнього бізнесу та корпорацій.
Так, найменше збитки зловмисники приносять порівняно невеликим організаціям.

Середній розмір фінансових збитків в результаті інцидентів інформаційної безпеки, 2013-2014 рр

Джерело: PwC, 2015

При цьому кількість значущих внутрішніх інцидентів інформаційної безпеки в 2014 році помітно скоротилося в порівнянні з попередніми роками. Очікується, що їх виявиться не більше 800. Реальна кількість витоків в світі значно більше: інформація ретельно приховується від преси і навіть від самих власників всередині корпорацій.

Кількість зареєстрованих інцидентів інформаційної безпеки

ДЖЕРЕЛО: Zecurion, 2014

Кількість витоків даних за підсумками 2014 р

Джерело: Gemalto, SafeNet, 2015

Згідно BLI, в 2014 р, під час здійснення атак, персональні дані залишалися основною метою кіберзлочинців. На частку таких інцидентів довелося 54%. Найчастіше інформацію крадуть з підприємств роздрібної торгівлі. Непідробний інтерес у хакерів викликають дані платіжних карт клієнтів. Зламавши системи безпеки рітейлера, зловмисники отримують різну інформацію: дані про платіжні картки, інформацію, зазначену при оформленні дисконтної або клубної картки, дані про місце проживання, номер мобільного телефону і т.д.

У щорічних оглядах інформаційної безпеки затверджується, що найбільш часто дані витікають завдяки власним співробітникам. Це відбувається або через злі наміри, або з необережності. Сторонні компанії-конкуренти крадуть інформацію також часто, як хакери.

Винуватці інцидентів інформаційної безпеки, 2013-2014 рр.

Джерело: PwC, 2015

У глобальному дослідженні витоків конфіденційної інформації аналітичний центр InfoWatch ранжуються і посади власних співробітників компанії, які допустили крадіжку конфіденційної інформації. Винуватця не вдалося встановити лише в 13% випадків.

Джерело: InfoWatch, 2015

Аналізуючи ситуацію з витоками всередині компанії, фахівці департаменту інформаційної безпеки можуть чітко розуміти, з яким сегментом співробітників необхідно провести профілактичну роботу. У деяких компаніях персонал зобов'язаний проходити регулярний тест з інформаційної безпеки. Тим самим організація мінімізує ризики витоку даних через необізнаність співробітників. Ще один інструмент департаменту інформаційної безпеки - вивчення каналів, що дозволяють конфіденційної інформації залишати периметр організації.

Джерело: InfoWatch, 2015

Зловмисники воліють американські компанії

Найбільше витоків інформації фіксується в США. Це пояснюється особливою педантичністю, з якої американці ставляться до своїх персональних даних.

Наприклад, в одному із закладів охорони здоров'я в США в березні 2014 р виявився інсайдер, який копіював персональні дані пацієнтів. Жертвами крадіжки інформації могли стати тільки чотири пацієнта, але в підсумку постраждало кілька тисяч пацієнтів, які зверталися в медустанову протягом декількох років, поки там працював інсайдер.

Географія витоків

* За 11 місяців 2014 року
ДЖЕРЕЛО: Zecurion, 2014

InfoWatch в щорічному дослідженні також називає США лідером з витоків в 2014 році (906 або 65% від усіх відбулися). Росія, за версією InfoWatch, як і за підсумками 2013 року, займає друге місце (167 витоків) На третьому місці опинилася Великобританія (85 витоків).

Джерело: InfoWatch, 2015

На думку Валентина Крохина, заступника директора Центру інформаційної безпеки компанії «Інфосистеми Джет», хакерам найбільш «цікаві» ті системи, в яких звертається більше число даних або фінансових коштів. Тому найчастіше атакують американські і європейські компанії.

Відповідно до щорічного звіту EY, в Росії необізнаність працівників в питаннях інформаційної безпеки - головна причина вразливостей корпоративних інформаційних систем. Найменше загроз для корпорацій представляють соціальні мережі.

Як і в усьому світі, атаки на російські підприємства проводяться виключно на «зарабативаеніе» грошей. Більшість кіберзлочинців, як зазначає Сергій Хайрук, аналітик компанії InfoWatch, давно «відсунули» ідеологічні мотиви на другий план. «Зловмисники працювали і працюватимуть з метою отримання матеріальної вигоди. Звичайно, якщо держава заплатить більше за атаку сусіда, хакери швидше за все, погодяться ».

Хакерів в Росії цікавить держсектор, банки і телеком

Що стосується Росії, то підвищений інтерес для зловмисників і раніше представляють держсектор, банківська та телекомунікаційна галузі та паливно-енергетичного комплексу - сфери, де кіберзлочини приносять найбільший дохід. Так вважає Дмитро Бірюков, керівник практики аудиту і консалтингу компанії «Астерос Інформаційна безпека» (група «Астерос»).

Сбербанк
У січні 2014 року в Іжевську розгорівся скандал: на місцевому звалищі були виявлені
конфіденційні документи з відділення Ощадбанку. Серед будівельного сміття знайшлися анкети з паспортними даними, відомості про вміст банківських сейфів, службове листування, копії трудових книжок та інших документів.

Як з'ясувалося, документи були вивезені з відділення банку, в якому проводилась реконструкція. Про результати розслідування не повідомляється. Аналогічний інцидент був зафіксований в 2013 році і в одному з московських офісів Ощадбанку. Тоді документи виявили в сміттєвих контейнерах недалеко від банківського відділення в Зеленограді.
Мабуть, за підсумками даного випадку не було вжито заходів для виключення подібних ситуацій в майбутньому.

Інші російські банки
Як стало відомо в січні 2014 року, від дій шахраїв постраждали клієнти відразу декількох російських банків. Всього учасники злочинного угруповання вивели з рахунків вкладників понад 70 млн руб.

У використовуваній схемі значна роль належала підкупленим співробітникам банків. Вони передавали зловмисникам відомості про великих вкладників, а також копії їх паспортів. Використовуючи наявну інформацію, шахраї виготовляли підроблені паспорти, заводили рахунки, на які згодом переводили кошти з основних рахунків вкладників і через які переводили в готівку гроші.

Щоб викликати менше підозр, весь процес монетизації був розтягнутий у часі, що в свою чергу викликає стурбованість, чому такий довгий час шахраям вдавалося діяти непоміченими. Клієнти банків напевно були стурбовані несанкціонованими списаннями. При цьому, очевидно, самі витоку інформації не були своєчасно виявлені службами безпеки банків.

Банк «Першотравневий»
Співробітниці банку «Первомайський» (Краснодарський край) протягом декількох місяців виводили гроші, використовуючи власне службове становище і доступ до конфіденційної інформації.

Жінки «видавали» кредити за персональними даними колишніх і нинішніх клієнтів банку. Примітно, що серед тих, на кого встигли оформити кредит, були й ті, що люди. Загальний розмір шкоди, які шахрайки завдали банку, оцінюється більш ніж в 2 млн руб. З огляду на, як довго діяли зловмисниці, розмір збитку міг бути ще більше.

Дмитро Медведєв
Історія витоку паролів до акаунтів прем'єр-міністра почалася з розміщення в твіттері Дмитра Медведєва повідомлення про відставку. Незабаром стало ясно, що повідомлення залишено іншою людиною, а у зловмисника є доступ не тільки до Твіттеру, а й іншим інтернет-сервісів чиновника.

Мова, зокрема, йшла про облікові записи в поштових сервісах, які прем'єр
використовував як для особистих цілей, так і для робочого листування, а також облікові записи, які використовувалися, імовірно, для читання записів політичних опонентів в соціальних мережах. На довершення всього, в Мережі з'явилися особисті фото Дмитра Медведєва, зроблені з його айфона.

Оскільки одночасний злом акаунтів малоймовірний, найбільш правдоподібним виглядає версія про те, що паролі злив знає їх людина, або зловмисникам вдалося отримати доступ до одного з критичних акаунтів, і з його допомогою увійти в усі інші облікові записи.

До речі, влітку 2014 року хакери зламали gmail-пошту віце-прем'єра Аркадія Дворковича. З опублікованого листування стало відомо, що державні чиновники навіть топ-рівня використовують публічні сервіси для вирішення службових питань.

поштові сервіси
«Яндекс.Пошта», Mail.ru, і Gmail - бази мільйонів користувачів з'явилися у відкритому доступі протягом трьох днів восени 2014 року. Відразу ж виникли гарячі суперечки про джерела появи даних. Компанії категорично заперечують факти витоку зсередини, і вказують на те, що бази були скомпільовані з різних джерел. Частина інформації була скомпрометована раніше, інша отримана шляхом фішингу та за допомогою шкідливих програм, які збирали інформацію протягом декількох років.

Про готовність провести перевірку інтернет-компаній заявив Роскомнадзор, проте незабаром з'ясувалося, що логіни і паролі до персональних даних не мають відношення, і ніяких перевірок орган проводити не буде.

* QIWI
У січні 2014 року в компанії QIWI не дорахувалися 90 млн рублів. Такий результат дій хакерів. Відомо, що в системі безпеки платіжної системи зловмисники знайшли уразливість, що дозволило їм зробити аферу. У компанії відзначили, що зловмисникам вдалося зламати 687 акаунтів. Хакери поповнювали «вкрадені» гаманці без відома власників, а потім акумулювали коштів на своїх рахунках.
Джерело: Zecurion, 2014 року, * відкриті джерела

При цьому 99% інформації про великі фінансові і політичних ущербах від кібератак, як в Росії, так і за кордоном, недоступні громадськості. Надбанням народу стають тільки соціально значимі атаки або ті, про які повідомляють самі хакери. Російське законодавство ліберально налаштована по відношенню до організацій, в яких виникли інциденти інформаційної безпеки. Поширювати відомості про злом, крадіжки фінансів у компаній немає необхідності до тих пір, поки про це не стане відомо широкому колу осіб. В іншому випадку інформація про витік залишиться всередині організації, а розслідуванням і відшкодуванням коштів, наприклад, виведених незаконним шляхом у вкладника, без розголосу для преси займеться служба безпеки банку.

Дмитро Бірюков керівник практики аудиту і консалтингу компанії «Астерос Інформаційна безпека» (група «Астерос») вважає, що якби законом регламентувалися дії жертв хакерів (наприклад, набір вимог щодо обов'язкового інформування регулюючих органів і громадськості), то число загальновідомих великих витоках фінансової та іншої інформації зросла багаторазово.

Не існує і ефективного транснаціонального законодавства, що регулює питання кіберзлочинності. Пояснюється це дуже просто: наявність «сірої зони» дозволяє багатьом країнам проводити різні спецоперації в мережі. Валентин Крохин додає, що ще однією з ключових проблем є регулювання правового статусу самого інтернету: «Всі спроби передати його у відомство структур ООН закінчилися нічим».

Мережева злочинність кордонів не має, а ось у борців з хакерами є поділ на свою і не свою територію. І поки незрозуміло, як і на якому рівні організувати протидію кіберзлочинцям в глобальному масштабі, вважає Сергій Хайрук з InfoWatch. «Для ефективного впровадження законодавчої бази слід розуміти, що вважати місцем злочину: мета в країні перебування або місце, звідки здійснено атаку?», - додає експерт.

Кіберзлочинці інвестують в кризу

Опитані «Компьютерра» експерти в області інформаційної безпеки зійшлися на думці, що основним трендом, який буде визначати інвестиції в проекти з боку російських замовників найближчим часом - це фінансова криза.

Несприятлива економічна ситуація призведе до того, що кількість розкрадань даних з компанії, відведення клієнтів, шахрайство, багаторазово зросте. Як правило, саме такими подіями супроводжується будь-яка стагнація в економіці. Таємно працюючи на компанію-конкурента, недобросовісні співробітники просто підстраховуються від можливих фінансових труднощів, впевнений Сергій Хайрук.

Очевидно, що ринок, в першу чергу, сконцентрується на оптимізації витрат, а також точковому фінансуванні найбільш актуальних проектів. «Фінансуватися буде тільки те, що дійсно необхідно. Ми бачимо, що зберігається (і навіть збільшується) попит на DLP-системи і системи, пов'язані з контролем персоналу. Також відчутно збільшується затребуваність антіфрод-рішень, рішень щодо захисту веб-додатків (перш за все WAF і захист від DDoS) », - каже Валентин Крохин.

При цьому особливу увагу організації приділятимуть безпосередньо планування діяльності щодо забезпечення ІБ, а також питань стратегії в умовах, що змінюються.

Експерти вважають, що в спектр розглянутих рішень будуть частіше потрапляти продукти вітчизняних виробників. Ті компанії, які готові забрати частку ринку у зарубіжних вендорів, повинні зайнятися поліпшенням лінійки засобів захисту інформації. В іншому випадку, не знайшовши ефективної альтернативи закордонному продукту, російські замовники будуть орієнтуватися не на ціну, а на продуктивність пропонованих рішень.