Как защитить компанию от кражи данных
Сергей Петренко - Руководитель направления информационной безопасности «Академии АйТи». Сегодня кража данных — одна из основных угроз безопасности для отечественных компаний. Более 50% кибератак осуществляется злоумышленниками именно с целью хищения данных. Как правило, у юридических лиц крадут базы данных клиентов, реквизиты банковских счетов и данные платежных документов, а также персональные данные сотрудников компании. У рядовых сотрудников обычно похищают учетные записи (логин и пароль), электронные пропуска, паспортные данные и реквизиты банковских карт. Последствия таких краж различны и могут привести не только к финансовым убыткам, но и к потере деловой репутации компании, а в ряде случаев — и к потере бизнеса в целом. Как своевременно распознать и нейтрализовать упомянутые угрозы, как правильно действовать в случае обнаружения кражи данных, какие существуют эффективные меры защиты от подобных угроз? Фото: depositphotos.com Кто и зачем крадет данные компаний? Как правило, виновниками краж данных в российских компаниях являются следующие субъекты: Беспечные сотрудники компании, игнорирующие элементарные правила безопасности. В России более 75% утечек данных происходит неумышленно, в частности из-за того, что сотрудники отечественных компаний кликают по ссылкам в фишинговых письмах или теряют флешки со служебными документами. Недовольные или уволенные сотрудники компании, решившие отомстить работодателю. Треть (33%) сотрудников хотя бы раз за карьеру отомстили работодателям путем кражи данных и обнародования конфиденциальных сведений. Для этого данные копировались и затем пересылались с помощью электронной почты, мессенджеров, соцсетей и файлообменников. В качестве основных мотивов злодеяния обычно называются желание использовать украденные данные на новой работе для карьерного роста, а также перепродажа похищенных данных с целью обогащения. Средний ущерб от одной кражи данных для крупных российских компаний оценивается в 5–11 млн руб., а для средних и небольших компаний — от 0,5 до 1,6 млн руб. Мошенники с целью хищения денежных средств с банковских счетов компании. По моим подсчетам, только за первое полугодие 2021 года злоумышленники украли с банковских счетов отечественных компаний более 40 млрд руб., совершив более 500 тыс. несанкционированных операций (это больше показателей аналогичного периода прошлого года на 41%). Для этого мошенники крадут платежные данные, в том числе реквизиты банковских карт (16-значный номер, имя владельца, срок действия и трехзначный код на обратной стороне, а также код из СМС от банка), а также обманом узнают данные для входа в банковские приложения онлайн. За первое полугодие 2021 года резко возросло (на 350% по сравнению с аналогичным периодом прошлого года) и количество специальных вредоносных приложений-шпионов, в числе прочего — программ удаленного доступа и управления, с помощью которых можно собрать и похитить конфиденциальные данные компании. Преступные группировки с целью шантажа и вымогательства. Например, в начале 2021 года преступная группировка DoppelPaymer атаковала известную компанию Kia Motors America, похитила чувствительную конфиденциальную информацию, затем зашифровала украденные данные и потребовала крупный выкуп в размере 404 биткоинов (примерно $20 млн). В случае отказа от выкупа в течение определенного периода времени злоумышленники грозились увеличить сумму выкупа до 600 биткоинов (или $30 млн). Подобная тактика вымогателей широко известна и уже затронула ряд крупных компаний по всему миру. Что можно делать с крадеными данными? Украденные данные злоумышленники продают, размещают в открытом доступе, а также могут использовать в различных корыстных целях. Например, кража усиленной электронной подписи (ЭП) руководителя организации может привести к очень неприятным последствиям. Представим себе, что сотрудники компании подготовили заявку для участия в конкурсных торгах и направили руководителю для подписи ЭП. Тут выясняется, что ключ подписи был украден. Участие в торгах оказывается под срывом, возникает угроза потери потенциально выгодного проекта для развития бизнеса. Или, наоборот, сделка подписывается украденной ЭП с заведомо невыгодными для компании условиями. Если потом отказаться от нее, компания испортит деловую репутацию и, скорее всего, попадет в реестр недобросовестных поставщиков (не получит в дальнейшем по этой причине другие контракты). А если компания решит выполнить невыгодные для нее условия сделки, то понесет значительные финансовые убытки. К сожалению, такие ситуации часто возникают в условиях нечестной конкурентной борьбы. Более того, дело на этом может и не закончиться. Злоумышленники могут «легально» вывести деньги с банковских счетов компании (на платежках будет стоять легитимная ЭП руководителя организации). А могут заключить ряд фиктивных договоров, например по продаже или передаче в аренду имущества компании. Наконец, возможно даже осуществить рейдерский захват путем «законного» изменения устава компании, состава учредителей, смены генерального директора, а также перераспределения уставных долей и условий выплаты годовой прибыли. Для предотвращения подобных негативных событий нужно оперативно отозвать свою ЭП, сообщив уполномоченному удостоверяющему центру. Как происходит процесс кражи? Под кражей данных обычно понимается незаконное хищение информации в корпоративной информационной системе из мест ее хранения путем несанкционированного доступа к соответствующим вычислительным ресурсам. Здесь к типовым сценариям кражи относятся: Кража физического носителя с конфиденциальной информацией. Это самый простой способ, который подразумевает хищение носителя информации (спортивные браслеты и часы, флешки, внешний диск, жесткий диск, смартфон, планшет, ноутбук и др. портативные устройства с памятью) с целью дальнейшего несанкционированного доступа к его содержимого. Несанкционированный физический доступ к источникам информации. Например, несанкционированный вход и работа на компьютере в отсутствие хозяина, который вышел на обеденный перерыв, на рабочее совещание или на доклад к руководству и пр. А если пароль написан на стикере и прикреплен к монитору или клавиатуре, войти в компьютер жертвы и похитить конфиденциальные данные не представляет большого труда. Даже сильный пароль здесь не всегда спасает от кражи данных, так как пароль можно подсмотреть или получить у сотрудника в ответ на просьбу что-то посмотреть или сделать на его компьютере по служебной необходимости. Иногда пароли «подсматривают» с помощью миниатюрной видеокамеры, незаметно направленной на монитор жертвы и записывающей содержимое экрана. Также может быть установлена и активирована специальная вредоносная программа, целенаправленно «отслеживающая» пароли и передающая их злоумышленнику в определенное время. Удаленная кража данных по компьютерной сети. В этом случае физический доступ к компонентам локальной сети с целью хищения конфиденциальных данных не обязателен. Сегодня известно множество вредоносных программ (перехватчиков, анализаторов, «червей», «троянов» и пр.), которые могут быть использованы для кражи данных по сети. Кража данных из облачных хранилищ. В этом случае злоумышленник также использует возможности удаленного подключения и хищения конфиденциальных данных. При этом обычно эксплуатируются известные уязвимости ПО и оборудования. Кому стоит быть настороже больше всех? К сожалению, известия о кражах данных продолжают регулярно поступать. Крадут данные не только в крупных, но в средних и даже небольших компаниях, независимо от их формы собственности и конкретной специализации в предметной области, например у производственных компаний, операторов связи, кредитно-финансовых организаций, ритейла, ресурсных (газ, нефть, полезные ископаемые) компаний и др. При этом чаще крадут данные, которые несут определенную ценность для бизнеса: скажем, базы данных клиентов, программный код и финансовые документы. Так, в случае краж баз данных клиентов они потом могут попасть в руки конкурентов или на рынки спама для компрометации. Как понять, что данные украли? Это можно проверить с помощью сайтов как в глобальной сети интернет, так и в пиратской даркнет. Например, база данных под названием «Коллекция № 1» является одной из самых крупных открытых баз данных украденной информации начиная с 2013 года (адреса электронной почты и пароли): она содержит более 12 тысяч файлов общим размеров 87 гигабайт. Хотя информация из нее не дает непосредственного доступа к почтовому ящику, пары логин-пароль часто облегчают задачу подбора злоумышленниками паролей и к другим приложениям пользователя. С помощью этой базы можно проверить, скомпрометированы ли ваши данные, и посмотреть, с какой утечкой они были связаны. В случае компрометации следует незамедлительно сменить пароли. Рекомендуется сменить пароли на других сайтах, где использовалась та же или похожая пара логин-пароль. Для смены паролей можно воспользоваться специальными менеджерами паролей, например KeePass или Password Safe. Также рекомендуется включить двухфакторную аутентификацию, которая доступна на многих сервисах. В результате при входе на сайт в дополнение к паролю нужно будет ввести дополнительный код, который придет по СМС или появится в мобильном приложении. Это существенно снизит риск проникновения в аккаунт даже в случае, если у постороннего оказались ваши регистрационные данные. Кроме того, сервисы, работающие с двухфакторной аутентификацией, как правило, сообщают пользователю об обнаружении несанкционированной попытки входа. Поискать украденные данные можно и в пиратской сети даркнет. В этой сети цена на украденную базу данных зависит от ее объема и в среднем начинается от $100–200. Стоимость данных клиентов банков варьируется от 3 до 120 руб. за запись, цена за разворот российского паспорта начинается от $1, заграничного — от $2,5. Новые объявления о продаже баз данных появляются в даркнете каждый день. Кроме того, рекомендуется использовать маркеры или так называемые метки конфиденциальности, которые помогут расследовать инциденты безопасности, приведшие к краже данных, и выработать дополнительные меры противодействия подобным угрозам в будущем. Что делать в первую очередь, когда вы поняли, что данные компании украли? Немедленно сообщить о краже данных непосредственным руководителям и проинформировать службу безопасности компании. Затем приступить к защите других конфиденциальных данных компании, находящихся в вашем распоряжении, особенно тех, что были связаны с похищенными. Нужно незамедлительно сменить пароли для входа в информационную систему компании и ее ключевые приложения (электронная почта, портал, битрикс и др.). В случае если были украдены реквизиты банковских карт, лучше заблокировать доступ к ним и соответствующим счетам. А при краже паспортных данных рекомендуется написать заявление в полицию. Желательно заблокировать скомпрометированные каналы доступа к информации. Сообщить об этом сотрудникам, предупредить руководителей и сотрудников службы безопасности компании. Необходимо приступить к ликвидации последствий кражи данных. Проверить, откуда был последний вход в аккаунт, проверить личные сообщения и почту. В случае если есть подозрение, что похищенные данные могут быть использованы в противоправных действиях, необходимо сообщить об этом в правоохранительные органы. Нужно оценить ущерб от кражи данных. Для этого можно использовать корпоративные методики управления операционными рисками, включая ИТ-риски и риски компьютерной безопасности, а также методики оценки последствий от инцидентов безопасности. Следует предпринять все необходимые и достаточные организационные и технические меры безопасности для предупреждения краж данных в будущем. Акцент желательно сделать именно на организационные меры (программы осведомленности, курсы повышения квалификации и переподготовки по вопросам ИБ, киберучения, инструктажи и информирование). Это не приведет к существенным денежным затратам, а эффективность защиты явно вырастет. Затем нужно переходить к выбору и внедрению соответствующих технических мер защиты. Например, установить средства защиты от несанкционированного доступа (межсетевые экраны и модули доверенной загрузки), средства обнаружения кибератак, антивирусные средства и пр. Как обеспечить безопасность данных? На практике большинство краж данных происходит не из-за изощренности технических приемов злоумышленников, а из-за беспечности сотрудников компании, а также игнорирования или незнания элементарных правил безопасности. Если носители информации оказались вне видимости и досягаемости сотрудников, отлучившихся, например, на доклад начальству или обеденный перерыв, кража носителей может произойти любым проходящим мимо посетителем или сотрудником. Как это предотвратить? Ноутбуки, внешние диски, флешки и смартфоны лучше не оставлять без присмотра, а стационарный компьютер должен находиться в комнате, оборудованной соответствующими средствами физической защитой (механические и электронные замки, камеры наблюдения, пункты охраны или просто ресепшн). Вход в корпоративную информационную систему должен быть защищен как минимум паролем. При этом пароли должны быть сложными и состоять из прописных и строчных букв, цифр и специальных символов. Для посетителей и гостей желательно оборудовать специальные рабочие места с минимальными правами доступа. Рекомендуется шифровать особо важные файлы и папки. Для защиты каналов связи желательно использовать VPN. Используемые программы должны своевременно обновляться, антивирусы и персональные экраны обязательны. По возможности следует избегать любых сомнительных ресурсов, содержащих нелегально распространяемые фильмы, книги, программы, музыку, а также взрослый или любой другой запрещенный контент. Нельзя поддаваться методам социальной инженерии. Если вам позвонил незнакомый сотрудник или представитель внешней организации и попросил или даже потребовал в ультимативной форме сообщить некоторые конфиденциальные сведения (номер договора, условия сделки, платежные документы, банковские счета, сертификаты и электронные подписи, персональные данные и пр.), не следует сразу выполнять эти просьбы или требования. Благоразумнее попросить контакты для связи и, сославшись на занятость, положить трубку. Затем рекомендуется перечитать политику конфиденциальности компании и свою должностную инструкцию в части порядка передачи конфиденциальных данных на сторону. Возможно, вам потребуется получить разрешение у руководителя и только затем связаться с этим лицом по оставленным контактам для уточнения деталей запроса на конфиденциальные данные. Бизнесу любого масштаба нужно нанимать специалистов по информационной безопасности. Для небольшой компании размером до 100–150 человек достаточно будет 2 специалистов с соответствующими навыками обнаружения и реагирования на угрозы безопасности, связанные с кражами данных. Для более крупных необходимо создавать полноценные службы ИБ со штатом от 12–20 сотрудников и более. Подписывайтесь на канал «Инвест-Форсайта» в «Яндекс.Дзене»