Обзор рынка информационной безопасности: кризис на службе у инсайдеров

Персонал корпораций на службе у хакеров

Основная причина, по которой конфиденциальные данные покидают периметр компаний, являются действия сотрудников. Эксперты считают, что в непростой экономической ситуации приведет к росту инцидентов. Чтобы поправить финансовую ситуацию в семье или «проучить» шефа за сокращение, некоторые сотрудники могут стать инсайдерами. По злому умыслу или нет, но в 2014г. по вине персонала произошло 35% от всех утечек.

Когда «свой» оказался «чужой»

Количество похищенной или скомпрометированной информации в мире выросло на 78%. В мире зафиксировано 1,5 тыс. утечек информации, итогом которых стала компрометация почти 1 млрд учетных данных.

В 2014 году аналитическим центром InfoWatch зарегистрировано 1395 (3,8 в день, 116 в месяц) случаев утечки информации. Скомпрометированными оказалось 767 млн персональных данных (записей ПДн), – номера социального страхования, реквизиты пластиковых карт, иная критически важная информация.

01
Источник: InfoWatch, 2015

Средний ущерб, который наносит кража информации, оценивается в $25,51 млн. Такие данные приводятся в Индексе критичности утечек данных (BLI; Breach Level Index). Совокупный ущерб от утечек в мире, по данным Zecurion, составляет $17,782 млрд. Реальный ущерб подсчитать невозможно, так как все факты о хищениях информации собрать воедино нереально.

Убытки от утечек информационной безопасности

02
ИСТОЧНИК: Zecurion, 2014

PwC более гибко ранжирует масштаб финансовых потерь среднего бизнеса и корпораций.
Так, наименьшее убытки злоумышленники приносят сравнительно небольшим организациям.

Средний размер финансовых убытков в результате инцидентов информационной безопасности, 2013-2014 гг

03
Источник: PwC, 2015

При этом количество значимых внутренних инцидентов информационной безопасности в 2014 году заметно сократилось по сравнению с предыдущими годами. Ожидается, что их окажется не более 800. Реальное количество утечек в мире значительно больше: информация тщательно скрывается от прессы и даже от самих владельцев внутри корпораций.

Количество зарегистрированных инцидентов информационной безопасности

04
ИСТОЧНИК: Zecurion, 2014

Количество утечек данных по итогам 2014 г.

05
Источник: Gemalto, SafeNet, 2015

Согласно BLI, в 2014 г., при осуществлении атак, персональные данные оставались основной целью киберпреступников. На долю таких инцидентов пришлось 54%. Чаще всего информацию крадут из предприятий розничной торговли. Неподдельный интерес у хакеров вызывают данные платежных карт клиентов. Взломав системы безопасности ритейлера, злоумышленники получают различную информацию: данные о платежных картах, информацию, указанную при оформлении дисконтной или клубной карты, данные о месте жительства, номере мобильного телефона и т.д.

В ежегодных обзорах информационной безопасности утверждается, что наиболее часто данные утекают благодаря собственным сотрудникам. Это происходит либо по злому умыслу, либо по неосторожности. Сторонние компании-конкуренты воруют информацию также часто, как хакеры.

Виновники инцидентов информационной безопасности, 2013-2014 гг.

06
Источник: PwC, 2015

В глобальном исследовании утечек конфиденциальной информации аналитический центр InfoWatch ранжируются и должности собственных сотрудников компании, допустивших кражу конфиденциальной информации. Виновника не удалось установить лишь в 13% случаев.

07
Источник: InfoWatch, 2015

Анализируя ситуацию с утечками внутри компании, специалисты департамента информационной безопасности могут четко понимать, с каким сегментом сотрудников необходимо провести профилактическую работу. В некоторых компаниях персонал обязан проходить регулярный тест по информационной безопасности. Тем самым организация минимизирует риски утечки данных по причине неосведомленности сотрудников. Еще один инструмент департамента информационной безопасности – изучение каналов, позволяющих конфиденциальным сведениям покидать периметр организации.

08
Источник: InfoWatch, 2015

Злоумышленники предпочитают американские компании

Больше всего утечек информации фиксируется в США. Это объясняется особой щепетильностью, с которой американцы относятся к своим персональным данным.

Например, в одном из учреждений здравоохранения в США в марте 2014 г. обнаружился инсайдер, который копировал персональные данные пациентов. Жертвами кражи информации могли стать только четыре пациента, но в итоге пострадало несколько тысяч пациентов, обращавшихся в медучреждение на протяжении нескольких лет, пока там работал инсайдер.

География утечек

09
* за 11 месяцев 2014 года
ИСТОЧНИК: Zecurion, 2014

InfoWatch в ежегодном исследовании также называет США лидером по утечкам в 2014 году (906 или 65% от всех произошедших). Россия, по версии InfoWatch, как и по итогам 2013 г., занимает второе место (167 утечек) На третьем месте оказалась Великобритания (85 утечек).

10
Источник: InfoWatch, 2015

По мнению Валентина Крохина, заместителя директора Центра информационной безопасности компании «Инфосистемы Джет», хакерам наиболее «интересны» те системы, в которых обращается большее число данных или финансовых средств. Поэтому чаще всего атакуются американские и европейские компании.

Согласно ежегодному отчету EY, в России неосведомленность работников в вопросах информационной безопасности – главная причина уязвимостей корпоративных информационных систем. Меньше всего угроз для корпораций представляют социальные сети.

Как и во всем мире, атаки на российские предприятия проводятся исключительно на «зарабатываение» денег. Большинство киберпреступников, как отмечает Сергей Хайрук, аналитик компании InfoWatch, давно «отодвинули» идеологические мотивы на второй план. «Злоумышленники работали и будут работать с целью извлечения материальной выгоды. Конечно, если государство заплатит больше за атаку соседа, хакеры скорее всего согласятся».

Хакеров в России интересует госсектор, банки и телеком

Что касается России, то повышенный интерес для злоумышленников по-прежнему представляют госсектор, банковская и телекоммуникационная отрасли и ТЭК – сферы, где киберпреступления приносят наибольший доход. Так считает Дмитрий Бирюков, руководитель практики аудита и консалтинга компании «Астерос Информационная безопасность» (группа «Астерос»).

развернутьсвернуть
Самые громкие утечки – 2014, ставшие достоянием публики

Сбербанк
В январе 2014 года в Ижевске разгорелся скандал: на местной свалке были обнаружены
конфиденциальные документы из отделения Сбербанка. Среди строительного мусора нашлись анкеты с паспортными данными, сведения о содержимом банковских ячеек, служебная переписка, копии трудовых книжек и других документов.

Как выяснилось, документы были вывезены из отделения банка, в котором проводилась реконструкция. О результатах расследования не сообщается. Аналогичный инцидент был зафиксирован в 2013 году и в одном из московских офисов Сбербанка. Тогда документы обнаружили в мусорных контейнерах недалеко от банковского отделения в Зеленограде.
Видимо, по итогам данного случая не были приняты меры для исключения подобных ситуаций в будущем.

Другие российские банки
Как стало известно в январе 2014 года, от действий мошенников пострадали клиенты сразу нескольких российских банков. Всего участники преступной группировки вывели со счетов вкладчиков более 70 млн руб.

В используемой схеме значительная роль принадлежала подкупленным сотрудникам банков. Они передавали злоумышленникам сведения о крупных вкладчиках, а также копии их паспортов. Используя имеющуюся информацию, мошенники изготавливали поддельные паспорта, заводили счета, на которые впоследствии переводили средства с основных счетов вкладчиков и через которые обналичивали деньги.

Чтобы вызывать меньше подозрений, весь процесс монетизации был растянут во времени, что в свою очередь вызывает обеспокоенность, почему такое долгое время мошенникам удавалось действовать незамеченными. Клиенты банков наверняка были обеспокоены несанкционированными списаниями. При этом, очевидно, сами утечки информации не были своевременно обнаружены службами безопасности банков.

Банк «Первомайский»
Сотрудницы банка «Первомайский» (Краснодарский край) на протяжении нескольких месяцев выводили деньги, используя собственное служебное положение и доступ к конфиденциальным сведениям.

Женщины «выдавали» кредиты по персональным данным бывших и нынешних клиентов банка. Примечательно, что среди тех, на кого успели оформить кредит, были и умершие люди. Общий размер ущерба, которые мошенницы нанесли банку, оценивается более чем в 2 млн руб. Учитывая, как долго действовали злоумышленницы, размер ущерба мог быть еще больше.

Дмитрий Медведев
История утечки паролей к аккаунтам премьер-министра началась с размещения в твиттере Дмитрия Медведева сообщения об отставке. Вскоре стало ясно, что сообщение оставлено другим человеком, а у злоумышленника имеется доступ не только к твиттеру, но и другим интернет-сервисам чиновника.

Речь, в частности, шла об учетных записях в почтовых сервисах, которые премьер
использовал как для личных целей, так и для рабочей переписки, а также аккаунтах, которые использовались, предположительно, для чтения записей политических оппонентов в социальных сетях. В довершение всего, в Сети появились личные фото Дмитрия Медведева, сделанные с его айфона.

Поскольку одновременный взлом всех аккаунтов маловероятен, наиболее правдоподобным выглядит версия о том, что пароли слил знающий их человек, либо злоумышленникам удалось получить доступ к одному из критичных аккаунтов, и с его помощью войти во все остальные учетные записи.

Кстати, летом 2014 года хакеры взломали gmail-почту вице-премьера Аркадия Дворковича. Из опубликованной переписки стало известно, что государственные чиновники даже топ-уровня используют публичные сервисы для решения служебных вопросов.

Почтовые сервисы
«Яндекс.Почта», Mail.ru, и Gmail — базы миллионов пользователей появились в открытом доступе в течение трех дней осенью 2014 года. Сразу же возникли горячие споры об источниках появления данных. Компании категорически отрицают факты утечки изнутри, и указывают на то, что базы были скомпилированы из различных источников. Часть информации была скомпрометирована ранее, другая получена путем фишинга и с помощью вредоносных программ, которые собирали информацию в течение нескольких лет.

О готовности провести проверку интернет-компаний заявил Роскомнадзор, однако вскоре выяснилось, что логины и пароли к персональным данным не имеют отношения, и никаких проверок орган проводить не будет.

*QIWI
В январе 2014 г. в компании QIWI не досчитались 90 млн рублей. Таков результат действий хакеров. Известно, что в системе безопасности платежной системы злоумышленники нашли уязвимость, что позволило им совершить аферу. В компании отметили, что злоумышленникам удалось взломать 687 аккаунтов. Хакеры пополняли «украденные» кошельки без ведома владельцев, а затем аккумулировали средств на своих счетах.
Источник: Zecurion, 2014, *открытые источники

При этом 99% информации о крупных финансовых и политических ущербах от кибератак, как в России, так и зарубежом, недоступны общественности. Достоянием народа становятся только социально значимые атаки или те, о которых сообщают сами хакеры. Российское законодательство либерально настроено по отношению к организациям, в которых возникли инциденты информационной безопасности. Распространять сведения о взломе, кражи финансов у компаний нет необходимости до тех пор, пока об этом не станет известно широкому кругу лиц. В противном случае информация об утечке останется внутри организации, а расследованием и возмещением средств, например, выведенных незаконным путем у вкладчика, без огласки для прессы займется служба безопасности банка.

Дмитрий Бирюков руководитель практики аудита и консалтинга компании «Астерос Информационная безопасность» (группа «Астерос») считает, что если бы законом регламентировались действия жертв хакеров (например, набор требований по обязательному информированию регулирующих органов и общественности), то число общеизвестных крупных утечках финансовой и иной информации выросло многократно.

Не существует и эффективного транснационального законодательства, регулирующего вопросы киберпреступности. Объясняется это очень просто: наличие «серой зоны» позволяет многим странам проводить различные спецоперации в сети. Валентин Крохин добавляет, что еще одной из ключевых проблем является регулирование правового статуса самого интернета: «Все попытки передать его в ведомство структур ООН окончились ничем».

Сетевая преступность границ не имеет, а вот у борцов с хакерами есть разделение на свою и не свою территорию. И пока непонятно, как и на каком уровне организовать противодействие киберпреступникам в глобальном масштабе, полагает Сергей Хайрук из InfoWatch. «Для эффективного внедрения законодательной базы следует понимать, что считать местом преступления: цель в стране нахождения или место, откуда совершена атака?», — добавляет эксперт.

Киберпреступники инвестируют в кризис

Опрошенные «Компьютеррой» эксперты в области информационной безопасности сошлись во мнении, что основополагающим трендом, который будет определять инвестиции в проекты со стороны российских заказчиков в ближайшее время – это финансовый кризис.

Неблагоприятная экономическая ситуация приведет к тому, что количество хищений данных из компании, увод клиентов, мошенничество, многократно возрастет. Как правило, именно такими событиями сопровождается любая стагнация в экономике. Тайно работая на компанию-конкурента, недобросовестные сотрудники просто подстраховываются от возможных финансовых трудностей, уверен Сергей Хайрук.

Очевидно, что рынок, в первую очередь, сконцентрируется на оптимизации затрат, а также точечном финансировании наиболее актуальных проектов. «Финансироваться будет только то, что действительно необходимо. Мы видим, что сохраняется (и даже увеличивается) спрос на DLP-системы и системы, связанные с контролем персонала. Также ощутимо увеличивается востребованность антифрод-решений, решений по защите веб-приложений (прежде всего WAF и защита от DDoS)», — говорит Валентин Крохин.

При этом особое внимание организации будут уделять непосредственно планированию деятельности по обеспечению ИБ, а также вопросам стратегии в изменяющихся условиях.

Эксперты полагают, что в спектр рассматриваемых решений будут чаще попадать продукты отечественных производителей. Те компании, которые готовы забрать долю рынка у зарубежных вендоров, должны заняться улучшением линейки средств защиты информации. В противном случае, не найдя эффективной альтернативы зарубежному продукту, российские заказчики будут ориентироваться не на цену, а на производительность предлагаемых решений.

Что будем искать? Например,ChatGPT

Мы в социальных сетях