Компании «КРОК» и EveryTag изучили наиболее популярные каналы инсайдерских утечек (исследование имеется в распоряжении «Известий»). Опрос финансового, промышленного, ритейл- и ИТ-сегментов показал, что 35% утечек приходится на фотографирование и скриншоты экрана. Еще 13% сотрудников делают физические копии документов. И только 30% сливов совершаются в текстовом формате через мессенджеры, e-mail и соцсети.
Как считают исследователи, благодаря распространению удаленной работы сотрудники компаний получили доступ к важным данным из дома, что открыло возможности хищения информации. Но из-за внедрения DLP-систем копирование документов на носитель информации (флеш-карту и т. п.) или отправка данных через мессенджеры перестали быть безопасными, поэтому «кроты» переключились на фотографирование.
76% организаций знают об утечках и пытаются расследовать их, показал опрос. У 21% компаний нет возможности найти инсайдеров. А 17% даже не отслеживают подобные инциденты.
Почти половина опрошенных заявляют, что классические инструменты защиты не могут спасти конфиденциальную информацию от копирования. В ход идут методы борьбы с инсайдерами, ранее использовавшиеся «серьезной» контрразведкой. Так, сотрудники одной добывающей компании сливали в Telegram-каналы документы, раскрывающие детали сделок по освоению месторождения, рассказали в EveryTag. Компания под видом важных сведений разослала сотрудникам разные по содержанию данные. По тому, какая именно информация утекла, и был вычислен инсайдер.
В настоящий момент инсайдерские сливы являются самой распространенной причиной утечки корпоративных данных, сообщили «Известиям» в компании разработчика DeviceLock DLP. По вине недобросовестных сотрудников происходит около 70% всех утечек. Далее идут хакерские атаки (около 15%) и небрежность при хранении и уничтожении данных — от выброшенных на свалку архивов до открытых серверов баз данных. На долю последних также приходится около 15%.
— При этом большая часть утечек не раскрывается. И если в случае с хакерами этому есть объективные причины — если те не потребуют выкуп, их в принципе трудно обнаружить, то в случае с инсайдерами расследованию чаще всего препятствуют сами компании, пытающиеся скрыть и объем утечки, и плачевное состояние информационной безопасности. Причем выявить инсайдера обычно несложно, например, с помощью проверки списка имевших доступ к конкретной информации, — пояснила генеральный директор разработчика DeviceLock DLP Олеся Ярмоленко.
Нередко сведения утекают из-за рассеянности работников, считает эксперт по кибербезопасности Сергей Вакулин. Так, в США конгрессмен Мо Брукс случайно запостил в соцсети логин и пароль от своей почты. Политик опубликовал твит, к которому прикрепил фото своего компьютера. В кадр попал стикер, приклеенный к монитору, на котором пользователи разглядели пин-код и пароль от почты. Что примечательно, Брукс входит в подкомитет по кибербезопасности.
Похожий случай произошел в Европе. Нидерландский журналист сумел попасть на закрытую видеоконференцию министров обороны стран ЕС. В «Твиттере» министра обороны Нидерландов была опубликована фотография, на которую попали пять из шести цифр кода для подключения к конференции. Журналист путем перебора вычислил недостающий символ, ввел код и присоединился к видеозвонку.
В целом, чем выше цифровая грамотность сотрудника, чем чаще он рапортует о подозрительных операциях и ошибках, замечает Елена Молчанова, представитель направления для повышения цифровой грамотности Kaspersky Security Awareness. Особенно повышенная бдительность полезна в работе с партнерами.
— Возьмем фишинг и атаки через цепочки поставщиков, — приводит пример Молчанова. — Организации часто открывают поставщикам и партнерам доступ к внутренней информации, чтобы те могли выполнять обязательства по контракту, но, конечно, это может привести к утечке.
Другой способ испортить жизнь конкурентам — кибератаки. Но и здесь эксперты признают: очень часто ничего взламывать не нужно, всё и так лежит на поверхности. Одна из самых популярных системных уязвимостей связана с открытыми директориями, в которых хранятся все каталоги и файлы сайта. Бывает, что такая важная информация остается незащищенной.
— Обычно это ошибки программистов или системных администраторов, которые забывают закрыть доступ к определенным директориям. Найти открытый файл может даже новичок, если показать ему, как сократить путь до нужной папки. Мне и самому приходилось обнаруживать открытые директории, в том числе у государственных ресурсов, — поделился Сергей Вакулин.
С открытыми директориями также связано понятие «доркать». Речь идет об операторах поиска — словах, добавляемых к запросам в Google для получения более точных результатов. Такие команды помогают выявить грубейшие дыры в безопасности. Например, добавочная команда «cache:» выдает поиск в кэше Google, «filetype:» позволяет искать информацию в определенном типе файлов, а «inurl:admin» в сочетании с «site:» может привести к админке конкретного сайта.
Однако подобных атак можно избежать.
— Программист создает файл на хостинге или сервере и прописывает команду, благодаря которой поисковые системы не смогут проиндексировать ваш ресурс, — рассказал Вакулин.
Другая серьезная проблема — слив персональных данных. По словам специалистов, часто на такую «подработку» соглашаются бывшие и действующие сотрудники правоохранительных органов. Стоимость же утечки зависит от значимости пробиваемого лица.
— Паспортные данные обычного человека стоят в районе 2–3 тыс. рублей, — говорит Сергей Вакулин. — За сведения о вышестоящих лицах ценник может возрастать до 100 или 200 тыс. рублей. За данные о журналисте, возможно, возьмут 50 тыс. рублей.
В компании разработчика DeviceLock DLP назвали схожие цифры.
— Если говорить об услугах «пробива», то на начало этого года стоимость выписки по счету составляла от 10 до 15 тыс. рублей за месяц в зависимости от банка. Стоимость детализации звонков и СМС — от 2 до 15 тыс. рублей за месяц. Обращения к базам госведомств, где информационная безопасность традиционно слаба, стоили от 1 до 2 тыс. рублей за запрос, — рассказала Олеся Ярмоленко.
Бороться со сливами довольно трудно. В марте 2021 года Роскомнадзор заблокировал несколько Telegram-каналов, предоставляющих персональные данные: «Глаз Бога», «Архангел», Smart_SearchBot. Однако никакого влияния на рынок торговли персональными данными их закрытие не оказало, уверена Ярмоленко.
— Основная часть его приходится на закрытые форумы и сайты даркнета, а в их работе ничего не изменилось. Кроме того, на месте закрытых Telegram-каналов постоянно возникают новые, а тот же «Глаз Бога» уже вернулся к работе, якобы уладив свои проблемы с правоохранителями, — отметила собеседница.
Более действенной мерой иногда оказывается внедрение. В июне этого года стало известно о завершении операции «Троянский щит». На протяжении трех лет ФБР вместе с австралийской полицией продвигало среди преступников мессенджер с шифрованием An0m, а затем отследило все переписки и провело аресты в 18 странах. Под следствие попали более 800 человек.
Мария Немцева