Учиться на чужих ошибках: 7 кейсов, которые научат вас защищаться от утечек данных

Скрытая опасность

Когда речь заходит о кибератаках, первым делом на ум приходят хакеры. Именно эти истории попадают на страницы СМИ. На их фоне инциденты с участием внутренних нарушителей (инсайдеров) афишируют реже. Зачастую компании не хотят «выносить сор из избы». Однако, по нашей статистике, 72 % утечек в прошлом году произошли из-за халатности или намеренных действий сотрудников. Чаще всего организации сталкивались со сливами информации о клиентах (44 %) и персональных данных (36 %).

Начальник отдела безопасности «СёрчИнформ» Алексей Дрозд
Фото: «СёрчИнформ»

Случай из практики. Фельдшеру региональной городской больницы предложили подработать. Сотрудник за вознаграждение передавал ритуальным агентствам данные об умерших пациентах и их семьях. Также он «подрабатывал» выдачей больничных с недостоверными сведениями. В итоге фельдшеру назначили штраф в 200 тыс. рублей.

Корыстный мотив – частый, но не единственный. Нередко сотрудники вредят организации и идут на нарушения из мести.

Еще один пример из практики. Тестировщик сингапурской компании National Computer Systems (NCS) из мести к бывшему работодателю удалил 180 тестовых серверов компании при помощи скрипта. Общий ущерб от этого составил 678 тыс. долларов. Тестировщика Кандулу Нагараджу уволили за «неудовлетворительную работу». Факт увольнения расстроил бывшего сотрудника, так как он считал, что внес значительный вклад в работу NCS. После увольнения Нагараджу проверил старые учетные записи. Они оказались активны. Он решил воспользоваться этим, чтобы отомстить бывшему работодателю. И удалил 180 тестовых серверов компании. В итоге экс-сотрудника приговорили к 2,8 годам лишения свободы.

Нередко сотрудники допускают утечку случайно из-за незнания базовых правил кибергигиены.

К примеру, такой случай произошел в частной американской медкомпании Ascensio. Компания подверглась кибератаке из-за сотрудника, который случайно загрузил вредоносный файл. Но действие не было злонамеренным, так как сотрудник действительно считал, что скачивает безопасный файл. В результате хакеры получили доступ к файловым серверам и украли данные клиентов. Ascension пришлось приостановить некоторые бизнес-процессы и временно перейти на бумажный документооборот.

Уязвимости через подрядчиков

Злоумышленники атакуют крупные компании через подрядчиков. Недавно с этим столкнулся стриминговый сервис Netflix. В соцсети и на тематические форумы утекли будущие новинки Netflix. Медиагигант быстро отреагировал на утечку, сообщив, что «хакеры взломали одного из партнеров по постпродакшну». Компания попыталась удалить слитые в сеть данные, а также разместила новый трейлер новинок. Но это не помогло. Зрители уже увидели главные сюжетные спойлеры.

Еще один громкий ИБ-инцидент произошел с крупным облачным провайдером Snowflake. Неизвестный получил доступ к аккаунтам 165 клиентов компании и выгрузил терабайты данных. Среди пострадавших клиентов оказалось много брендов с мировым именем. По разным оценкам, эта утечка может стать одной из крупнейших в истории. Так, только у британского банка Santander в результате взлома Snowflake оказались скомпрометированы данные более 30 млн держателей карт. По одной из версии расследования, хакер утверждает (предполагаемый виновник задержан), что сначала взломал подрядчика, а затем через их аккаунты и Snowflake.

Ключевой проблемой стало то, что в клиентских и демо-аккаунтах не применялась многофакторная аутентификация (МФА). Это и позволило хакеру проникнуть в инфраструктуру. После инцидента Snowflake обновил политику безопасности аккаунтов — теперь МФА применяется по умолчанию для всех пользователей, а сервис требует сложные пароли.

В России подобные инциденты редко предаются огласке. Но не стоит думать, что их нет. Так, недавно национальный координационный центр по компьютерным инцидентам (НКЦКИ) сообщил об инциденте информационной безопасности в компании Rubytech. Потенциальной угрозе подверглись клиенты и партнеры Rubytech. Им рекомендовали выполнить ряд защитных мер: сменить пароли в системах, усилить мониторинг ИТ-инфраструктуры, проверить объекты, доступные подрядчикам и прочее.

Новые технологии, новые угрозы

Все чаще злоумышленники выполняют атаки с помощью Deepfake-технологий. Так при помощи «дипфейк-созвона» мошенники украли у гонконгской транснациональной компании более 25 млн долларов. Злоумышленник отправил сотруднику финансового отдела гонконгской транснациональной компании фишинговое письмо. В письме «финансовый директор британского филиала» пытался убедить коллегу срочно перевести большую сумму денег.

Сотрудник попросил «коллегу» подтвердить личность по видеосвязи. Мошенник согласился. В созвоне участвовало несколько человек — все они выглядели и говорили как сотрудники из британского офиса. Это убедило жертву, и он перевел 25,6 млн долларов. Обман раскрылся через несколько дней, когда сотрудник забеспокоился по поводу перевода и обратился в головной офис компании. Позже полиция Гонконга заявила, что это первый случай, когда мошенники использовали групповой дипфейк для обмана.

В России нет конкретной статистики по использованию дипфейков, и о масштабе проблемы можно судить лишь по косвенным признакам. Так в Госдуму уже внесли законопроект о наказаниях (до шести лет лишения свободы) за использование дипфейков.

Практические рекомендации

По нашим данным, большинство инцидентов случаются из-за того, что сотрудники получают неправомерный доступ к конфиденциальным данным, инфраструктура компании плохо защищена, а персонал не знает базовых правил информационной безопасности. Потому, чтобы избежать утечек данных, рекомендую:

• Использовать специальные инструменты защиты информации — DCAP- и DLP-системы. DCAP помогает узнать, в каких сетевых папках и на каких компьютерах лежит конфиденциальная информация, кто имеет к ней доступ, а также ограничить или полностью запретить доступ к этим данным. Таким образом у компании есть полная картина хранения и использования чувствительных к утечке данных.
• Система класса DLP помогает защитить компанию от утечек информации и корпоративного мошенничества. Программа контролирует популярные каналы передачи информации: электронную почту, мессенджеры, облачные хранилища. При необходимости система блокирует подозрительные действия сотрудников. А аналитические инструменты помогают провести расследование нарушения и найти виновников.
• Чтобы минимизировать ущерб от утечек через контрагента, обязательно применяйте многофакторную аутентификацию для всех контрагентов. Убедитесь, что учетные записи и пароли получают только уполномоченные сотрудники. Используйте сложные пароли, а также контролируйте доступ в вашу инфраструктуру.
• Проводите профилактические мероприятия: обучайте сотрудников правилам информационной безопасности, рассказывайте о последствиях утечки корпоративной информации. Подготовьте памятку с примерами, она поможет провести профилактику по ряду угроз: фишинговым письмам, взломам паролей, дипфейкам и так далее.
• Введите режим коммерческой тайны на предприятии с указанием перечня конфиденциальных сведений, их учета, хранения и использования. Также подпишите с сотрудниками документ о неразглашении информации. Они должны понимать степень ответственности за раскрытие критической информации. Более того, такой документ пригодится в суде, если инсайдер совершит нерегламентированное действие.

Итог

Эффективная защита данных требует комплексного подхода, учитывающего как внешние, так и внутренние угрозы. Значительная часть утечек и модификаций данных происходит по вине инсайдеров, намеренно или по неосторожности. Так, в России количество инцидентов в 2024 году увеличилось на 15 % по сравнению с 2023 годом. Ключевой угрозой остается социальная инженерия – 50 % случаев атак на организации. Утечки конфиденциальных данных – 52 % случаев. Поэтому, помимо защиты от хакеров, необходимо внедрять строгий контроль доступа, мониторинг активности пользователей и обучение персонала основам ИБ, чтобы минимизировать риски, связанные с внутренними угрозами.

Автор: Алексей Дрозд, начальник отдела безопасности «СёрчИнформ»