На форуме Kazan Digital Week неоднократно обсуждался вопрос безопасности личных данных, сейчас он наиболее остро стоит для тех секторов бизнеса, в которых сосредоточено самое большое скопление личных данных, это подтверждают и наши эксперты. Так лидерами стали финансовые организации, а также компании по здравоохранению и страхованию. Однако в последние пять лет участились нападения на ритейл и сферу услуг.
«Если говорить о том, где чаще всего происходят сливы, то это организации, оказывающие различные услуги. Например, в феврале 2022 года произошел крупный слив данных пользователей «Яндекс Еды», когда в открытом доступе оказались номера телефонов и информация о заказах, включая, например, адреса. В 2019 и 2022 годах хакеры сливали в сеть данные пользователей OZON. Эти сервисы имеют не такой высокий уровень информационной безопасности, как, например, банки, что делает их более привлекательной добычей для злоумышленников», — обозначил проблему эксперт департамента противодействия киберугрозам «Информзащиты» Анатолий Песковский.
Значительное количество жителей РФ хоть раз совершали покупки в интернет-магазинах и оставляли свои персональные данные, объясняет причины заместитель директора центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар» Александр Вураско. «Человек может всю жизнь быть клиентом одного банка, но количество сайтов, на которых он совершает покупки, вряд ли будет равняться одному. Именно поэтому ритейл и лидирует традиционно в рейтинге утечек», — резюмирует эксперт.
Наличие проблемы подтверждает и ведущий юрист Staffcop (“Атом безопасность” входит в ГК СКБ Контур) Ольга Попова. По ее словам, с помощью парсинга (автоматический процесс сбора данных через скрипты — прим. ред.) злоумышленники могут собирать информацию, которую пользователь вводит на различных сайтах, использовать ее в своих целях. «Несмотря на усиление защиты в различных информационных ресурсах, мошенники находят уязвимости и используют слабые места в системах хранения персональных данных», — заметила юрист.
Люди — уязвимое звено
Полностью искоренить сливы персональных данных невозможно, говорят эксперты. У этого есть две причины: недостаточная защита компаний и человеческий фактор. Разберем их по отдельности.
Как правило атаки происходят со стороны внутреннего, либо внешнего злоумышленника. Злоумышленники могут не сообщать об успешных атаках и продолжать незаметно находиться в инфраструктуре жертвы, постоянно получая обновляемые данные. Это придает ценность информации, поскольку позволяет составить полный актуальный портрет каждой жертвы. «Можно говорить о том, что сливы обогащают друг друга – если год назад утекли ваши данные из интернет-магазина, пол года назад – из банка, а вчера – из сети фитнес-клубов, то у злоумышленников просто более полная картина о вас», — отмечает руководитель группы защиты инфраструктурных ИТ Сергей Полунин.
«Основной проблемой является человеческий фактор: большое количество рядовых сотрудников имеют доступ к персональным данным клиентов в силу специфики работы. Квалификация таких работников в области интернет-безопасности, как правило, недостаточна в силу объективных причин», — рассказывает архитектор решений по информационной безопасности компании «Тринити» Андрей Поцелуев. Основное, что в данном случае может предпринять компания — снизить уровень прав доступа рядовых сотрудников к конфиденциальным данным клиентов на минимально необходимый для работы уровень, делает вывод эксперт. Однако у мошенников есть разные сценарии как проникновения, так и взаимодействия с массивами информации внутри взломанной системы.
«Если мы говорим географически, то российские компаний взламывают зачастую российские же хакеры, а также украинские. Еще в последнее время мы фиксируем активизацию группировок из Юго-Восточной Азии и Китая», — делится данными эксперт департамента противодействия киберугрозам «Информзащита» Анатолий Песковский.
Злоумышленники практикуют и длительные атаки, которые с точки зрения данных более эффективные, чем внезапные и «шумные». Хакерские группировки используют такой подход: долгое время находятся в инфраструктуре компании, не подавая никаких сигналов о вредоносной активности, заметая следы и закрывая бекдоры, чтобы, по совершению атаки, стало практически невозможно отследить канал утечек и дыры в инфраструктуре, обозначил сценарий заместитель директора департамента кибербезопасности IBS Сергей Грачев. «Поэтому мы всегда предлагаем смотреть в сторону проактивной архитектуры ИБ», — предложил решение спикер.
Самая популярная ловушка от мошенников — это фишинг. «Если мы говорим с технической точки зрения, то началом атаки чаще всего становятся фишинг, через который пользователь устанавливает вредоносную программу либо делится своими данными для доступа к корпоративной сети, а также уязвимости в ПО, которых всегда остается много», — обозначил уязвимости Анатолий Песковский. Хакерам даже не нужно взламывать программное обеспечение внутри самой компании, говорит эксперт, они могут взломать, например, интернет-провайдера и действовать через него.
Куда утекают данные?
Личные данные утекают в сеть с пугающей регулярностью, однако не всегда ясно, с какой целью их используют мошенники. Зачастую после крупных сливов пользователи отмечают участившееся спам-звонки и попытки проникнуть в аккаунт в WhatsApp или другой мессенджер. В некоторых случаях использование слитой информации приводит к более серьезным последствиям, но как отмечает Александр Вураско, многое зависит от поведения человека при контакте со злоумышленником.
«Основной вектор использования украденных персональных данных – это попытки войти в доверие и использовать информацию в процессе социотехнических атак. И в ходе таких атак практически всегда последнее слово остается за жертвой. Большую часть попавших в открытый доступ персональных данных невозможно использовать в отрыве от взаимодействия с человеком», — объясняет эксперт.
Сами данные чаще всего публикуют на платформах, где контроль и блокировка затруднены — например, в телеграм-каналах или на форумах даркнета. «Не редко для доступа на ресурсы, где размещается информация об утечках, требуется использования VPN, что также затрудняет их обнаружение», — резюмирует эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity (ГК Softline) Максим Грязев.
Наши телефоны (не) виноваты
Причастны ли телефоны к сливам персональных данных? Мнение экспертов разнится. С одной стороны, поисковые системы будто бы «слышат» о чём мы говорим, чтобы затем предложить услугу или товар. Это наводит на мысль о неполной конфиденциальности. С другой стороны, обеспечить полную анонимность в современном цифровом мире практически невозможно, рассуждает Ольга Попова.
Никаким устройствам нельзя доверять на 100% независимо от операционной системы, говорят в «Тринити». В контексте сбора информации любые устройства и приложения, работающие с персональными данными, производят их сбор, например, в целях маркетинга, и не могут гарантировать должный уровень безопасности. «При использовании в служебных целях риск утечки, конечно, возрастает», — резюмирует эксперт. Это связано с уже упомянутым человеческим фактором.
По словам Анатолия Песковского, каждое ПО имеет уязвимости, которые могут стать источником атаки. Чаще всего человек сам становится причиной, когда, например, скачивает файлы из интернета без разбора. «Скачанные вредоносные программы затем используют уязвимости, чтобы украсть данные. Поэтому в первую очередь для безопасного использования смартфона человек должен сам быть внимателен к тому, как он с ним обращается, что и откуда устанавливает и так далее», — перечислил общие правила спикер.
Причем виноваты скорее не сами смартфоны, производители которых стараются максимально обезопасить устройство, а именно программы. Как показывает практика, даже самый «безопасный» мессенджер при умелом подходе становится открытой книгой для заинтересованных лиц, по словам Сергея Грачева, и не важно на какой операционной системе он установлен.
У проблемы есть решение
Существует масса решений, направленных на снижение угрозы возможной утечки данных, начиная аудитом информационной безопасности и мониторинга внешних цифровых угроз, и заканчивая решениями, обеспечивающими контроль за движением чувствительных данных и предотвращающих утечки, говорит Александр Вураско.
Бизнесу прежде всего необходимо инвестировать в информационную безопасность, потому что от нее зависят и репутация организации, и ее функционирование — на этом сходятся все эксперты. «Наиболее эффективные решения - это MFA, то есть мультифакторная аутентификация, которая затруднит доступ к чувствительным данным, даже если хакер уже получил доступ в систему. Также важны правильная сегментация доступа и политики доступа», — предлагает решения «Информазащита». Методы позволяют дать пользователю работать только с той информацией, которая ему нужна для выполнения своей трудовой обязанности, что также снижает риск доступа к чувствительным данным при взломе. Endpoint protection — также очень важное решение, которое позволяет защищать конечные точки: компьютеры, маршрутизаторы и другие. Именно они зачастую становятся источником атаки. «И в целом организациям стоит иметь свой или пользоваться услугами коммерческого центра мониторинга и противодействия киберугрозам (SOC). Они помогут вовремя найти уязвимости, увидеть начало атаки и предотвратить ее или минимизировать последствия», — заключает эксперт.