Эксперт рассказал о действиях при утечке данных в сеть

Физические каналы утечки информации

Наиболее распространенный физический канал утечки информации связан с классическим документооборотом — обменом документами внутри организации, с клиентами и поставщиками услуг и товаров, а также архивным хранением. Утечка информации может произойти в результате перехвата документа после его вывода на печать (например, когда принтер главного бухгалтера или генерального директора размещен в общем офисном пространстве), вследствие несвоевременного уничтожения документов (если компания не проводит соответствующего обучения сотрудников и экономит на шредерах), свободного доступа к шкафам с архивными документами (отсутствие сейфов), некорректного переноса и уничтожения документов при переездах или реорганизации компаний и т. п. К сожалению, все эти случаи не относятся к чистой теории, это наблюдения из практики работы топ-10 организаций страны, у которых, казалось бы, все есть, и внутри отстроен полный набор процессов для обеспечения безопасности.

Для пресечения канала утечки информации путем выноса оборудования предприятию необходимо позаботиться об организации безопасного физического периметра, охране доступа в серверные помещения и на объекты, в которых размещаются резервные копии данных и электронных архивов. Еще один печальный пример: ленточную библиотеку, в которой хранились резервные копии одной из основных корпоративных информационных систем, ввиду ее больших габаритов, не удалось разместить в контролируемых серверных помещениях. Поэтому библиотека «условно временно» хранилась в офисной комнате. Частично спасало ситуацию то, что проход в организацию контролировался с помощью СКУД. Однако служба безопасности не учла, что в комнате имелось несколько окон, через которые злоумышленник мог проникнуть и унести несколько лент с данными с собой.

Популярность концепций open space и «бизнес-парк», компактное размещение сотрудников, использование стеклянных перекрытий становится драйвером риска утечки информации по визуальному и акустическому каналам. В данном контексте для защиты информации необходимо обеспечить конфиденциальность работы ключевых сотрудников (выделенные кабинеты, отсутствие людей «за спиной») и изоляцию переговорных помещений. Кроме этого, сотрудники предприятия должны быть проинформированы о недопустимости ведения некоторых типов переговоров вне защищенных зон, например в барах и кофейнях.

Применение высокотехнологичных средств сбора информации — так называемых специальных технических средств (сверхминиатюрных фото- и видеокамер, жучков, средств перехвата электромагнитных и индукционных каналов) обычно направлено на решение специфичных задач и в настоящей статье не рассматривается: намного проще получить нужную информацию, используя вышеописанные уязвимости. Тем более что использование специальных технических средств регулируется Федеральной службой безопасности России, а также статьей 138 Уголовного кодекса Российской Федерации.

Вместе безопаснее

Антивирусный эксперт «Лаборатории Касперского» Дмитрий Галов отметил, что в результате перехода на удаленный режим работы для многих сотрудников значительно меняется сама организация рабочего процесса. В частности, растет нагрузка на мессенджеры, видеосвязь и электронную почту, так как вместо живого общения задействуют дополнительные каналы коммуникации. Это приводит к вероятности того, что тот или иной сотрудник столкнется с фишингом или программой-шифровальщиком, согласен эксперт.

Криминалисты Group-IB отметили, что злоумышленники могут отправлять фишинговые рассылки с использованием злободневных тем, например, новостей и распоряжений, касающихся коронавируса, отмены командировок, атаковать RDP (протокол удаленного рабочего стола), скомпрометировать домашнее оборудование, например, маршрутизаторы или видеокамеры.

утечка

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Крайне нежелательно переводить на удаленную работу сотрудников, ведущих критичные операции, например, системных администраторов и бухгалтерию, отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Он привел в пример ситуацию, случившуюся несколько лет назад, когда к сисадмину, который работал удаленно, в квартиру ворвались преступники, силой заставили ввести учетные данные и выкачали из базы компании необходимую информацию.

Чтобы минимизировать риски работы на дому, специалисты рекомендуют организациям установить на компьютеры сотрудников антивирусные программы и VPN-доступ с двухфакторной аутентификацией, а также обновить всё ПО и IT-оборудование, обеспечивающее работу компании. Кроме того, необходимо сделать резервные копии ключевых данных и ввести ограничения по скачиванию сторонних приложений, а также проверить права доступа сотрудников. В «Лаборатории Касперского» считают важным проведение тренингов по основам цифровой безопасности до ухода сотрудников на удаленный режим работы.

Эксперты Group IB также отметили необходимость проверки всех сервисов и оборудования, которое используется для удаленного доступа, на наличие обновленных микропрограмм и патчей безопасности.

В компании также рекомендуют использовать удаленный доступ в корпоративную сеть организации строго с двухфакторной аутентификацией. А также провести сегментирование сети и разделение прав доступа. Желательно, чтобы даже удаленная активность пользователей была под защитой организации.

Способы борьбы

Говоря о том, как нужно бороться с утечками, нужно, во-первых, сказать, что современным организациям все же не нужно пренебрегать традиционными инструментами, обеспечивающими безопасность. Без антивируса можно точно подвергнуться заражению. А без системы защиты от утечек — гарантированно потерять конфиденциальную информацию, причем не раз. Поэтому несмотря на то, что ни антивирус, ни DLP не дают 100-процентной гарантии, совсем без них обойтись нельзя.

Во-вторых, организациям нужно обучать сотрудников элементарной цифровой гигиене.

В-третьих, важно правильно проводить организационные мероприятия по недопущению утечек. В число этих мероприятий входит: ограничение доступа посторонних лиц в помещение, подписание сотрудниками соответствующих письменных обязательств, разграничение доступа к информации и так далее

Это целый комплекс действий, без которого никакая автоматическая система не будет эффективной.

VPN-сервисы

Основная задача VPN-сетей – обеспечить анонимность своих участников во время их подключения к Интернету. Помимо этого, VPN даёт возможность получить доступ к тем ресурсам, на которые нельзя зайти напрямую через Вашего провайдера

Когда вы принимаете решение использовать VPN-сервисы, то важно понимать, что бесплатный сыр может быть только в мышеловке

Всё, что происходит в рамках VPN должно оставаться в VPN. Но создатели бесплатных продуктов часто забывают об этом и начинают злоупотреблять своим положением: сливать рекламным компаниям ваши цифровые портреты, в которых подробно описаны Ваши предпочтения.

Если вы хотите действительно анонимно пользоваться сетями, то лучше использовать платные решения, у создателей которых нет резона зарабатывать на продаже ваших персональных данных. Обзор популярных VPN-сервисов вы можете найти здесь — https://no-cybercrime.ru/vpn-services.

ExpressVPN

Одним из лучших VPN-сервисов сегодня является ExpressVPN, ведь он удовлетворяет всем тем требованиям, которые предъявляют продукту этого класса:

  • Надежность (Сервис ни разу не был заблокирован).
  • Быстрые и стабильные подключения без ограничения пропускной способности (3000+ серверов почти во всех странах мира).
  • Отсутствие истории посещений и просмотров.
  • Оффшорная защита конфиденциальности (Штаб-квартира находится на Британских Виргинских островах).
  • Шифрование по алгоритму AES-256, функции раздельного туннелирования и экстренного отключения.

То, что подписка на данный сервис в 2 раза дороже, чем у большинства конкурентов, обусловлено тем, что все базы данных хранятся в RAM памяти, и вся информации о вас гарантировано исчезает при перезагрузке серверов.

ExpressVPN

Брандмауэры

Брандмауэр служит защитой от нежелательного трафика, который ограничивает связь подозрительных программ с Интернетом. Если брандмауэр отсутствует, то это – потенциальная угроза для файлов на Вашем компьютере, так как любой злоумышленник может украсть информацию о вас с помощью программ.

Стоит поставить на Ваш компьютер хоть какой-нибудь брандмауэр, чтобы не отдавать информацию о себе первому встречному хакеру. Одним из лучших бесплатных решений на данный момент является OutpostFirewallPro.

Менеджеры паролей

Менеджеры паролей нужны для того, чтобы облегчить пользователям Сети создание/запоминание сложных паролей. Они, согласно принципам кибергигиены, должны быть разными на всех сайтах, которыми вы пользуетесь.

Пароли хранятся в зашифрованном виде на Вашем компьютере, так что угроза заражения трояном, который бы смог взломать их базу на вашем ПК, не так страшна, ведь ваши банковские данные останутся в безопасности. LastPass, Dashlane или 1Password являются достаточными мерами для защиты ваших паролей.

Антивирусы

Антивирусы служат защитой от вредоносных программ, которые потенциально способны принести вред вашему компьютеру. К таким программам относятся трояны и черви которые созданы для кражи информации и файлов с Вашего ПК. Трояны маскируются под обычные программы, а черви пользуются уязвимостями операционных систем и почтовых сервисов.

Самой верной защитой станет установка платных антивирусных программ от Лаборатории Касперского или ESET. Это решения с огромными базами вирусов, которые помогут Вам сохранить компьютер в целости и в полной работоспособности. Но это вовсе не значит, что бесплатные решения вам совсем не помогут.

Бесплатный антивирус – это обычный перочинный ножик без дополнительных функций. Платные антивирусы можно сравнить со швейцарским ножом, в котором есть и открывашка, и штопор, и, собственно, лезвие ножа. Так что вполне возможно, что вам хватит и обычного перочинного ножа – всегда нужно исходить из конкретных потребностей.

Заключение

Программы не являются панацеей – угроза того, что какой-нибудь особо настойчивый хакер сможет обойти все замки на вашем компьютере, остаётся. Нужно с умом пользоваться Интернетом, и не распространять данные о себе в Сети. Любой замок можно вскрыть. Но лучше защититься по максимуму, чем просто уповать на то, что проблемы минуют вас. no-cybercrime

Информационные каналы утечки данных

Информационные каналы разнообразны и способны пропустить через себя значительные объемы данных. Основными из них являются:

  • утечки через корпоративную почту, характеризующиеся большим количеством неумышленных случаев раскрытия информации (утечки «быстрой руки»);
  • утечки по web-каналам, включая сервисы обмена сообщениями (IM);
  • утечки через съемные носители;
  • утечки через мобильные устройства.

Утечка данных прямо с серверных компонент возможна при наличии уязвимостей в корпоративных процессах и технологиях:

  • не организована сегментация и фильтрация доступа к системам обработки и хранения данных;
  • не организован контроль доступа к данным — часто пользователь получает больше привилегий при работе с документами, чем необходимо, или некорректно организован процесс предоставления прав доступа к данным;
  • отсутствует контроль привилегированных пользователей.

Утечки данных при использовании персональных компьютеров и мобильных устройств могут быть обусловлены следующими обстоятельствами:

  • потеря мобильного устройства и хранимой на нем информации;
  • подключение пользователем к компьютеру или ноутбуку съемных носителей (флеш, usb-модем, внешний жесткий диск и т. п.) и последующее несанкционированное копирование данных;
  • пользователь с правами администратора может отключить DLP-агент или другой агент мониторинга и отправить интересующие данные удобным способом;
  • при отсутствии контроля за установкой приложений возможна установка криптографического или стеганографического ПО и передача украденных данных даже через фильтрующий DLP-шлюз.

Разнообразны и web-каналы утечки информации:

  • выгрузка данных на один из множества доступных облачных сервисов;
  • пересылка данных через web-mail;
  • организация туннеля до домашних или других внешних ресурсов и выгрузка через него интересующих данных, причем реализация удаленного подключения доступна даже рядовым пользователям в виде расширений для браузеров;
  • отправка данных с помощью сервисов передачи сообщений (IM).

При внедрении на предприятии DLP-решения необходимо учесть ряд нюансов, от которых зависит эффективность защиты:

  • расшифровка SSL — обязательный элемент инсталляции DLP-шлюза, но не все DLP-системы умеют выполнять эту функцию, поэтому часто требуется дополнительное решение для SSL-offload;
  • проработка политик офлайн-режима — DLP-агент должен продолжать работать в режиме активного сканирования также и вне офисной сети;
  • настройка политик не только по регулярным выражениям, но также и по заданным образцам — фингерпринтам (метаданные файла, хэши блоков текста с вероятностным анализом и др.);
  • ограничение использования различных почтовых агентов и web-браузеров, так как DLP-агенты разработаны не для всех вариантов реализации пользовательского программного обеспечения;
  • в случае с мобильными устройствами желательно использование концепции EMM (Концепция Enterprise Mobility Management (EMM) включает в себя следующие компоненты: Mobile device management (MDM), Mobile Application Management (MAM), Mobile Content Management (MCM).) и обеспечение стандартизации мобильных устройств (например, использование только устройств Samsung, так как данная платформа имеет глубокую интеграцию с EMM-системами, отказ от использования мобильных платформ Windows).

Не открывай рассылку

Есть и другие риски, связанные с удаленной работой. Уже с 16 марта — даты, когда многие компании стали отправлять сотрудников на работу из дома, «Интернет-розыск» зафиксировал четырехкратный рост количества фишинговых рассылок. Это связано в том числе с переходом сотрудников на надомную работу, считает Игорь Бедеров.

— Сотрудников дома никто не будет отбивать от спам-атак и фишинга. Никто не подстрахует от взлома. Разумеется, киберпреступники не могли упустить такой момент, и электронную почту заполонили сообщения, содержащие вредоносные коды, позволяющие совершать различные правонарушения: от взлома аккаунта в соцсети до шифрования серверов компании, — пояснил он.

хакер

Фото: TASS/dpa/picture-alliance/Annette Riedl

Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов не сомневается, что массовый переход сотрудников на удаленную работу увеличит количество попыток несанкционированного доступа к конфиденциальной информации, следствием чего будут в том числе утечки.

Эксперт пояснил, что личные компьютеры сотрудников пусть и с установленным VPN все-таки хуже защищены, чем служебные. Риски вырастут и в случае, если работники начнут чаще сбрасывать друг другу данные на личные адреса или в мессенджеры.

Использование несогласованных с системными администраторами настроек и программ, зачастую скачанных из торрентов, может привести к взлому систем организаций, считает директор по кибербезопасности Rambler Group Илья Зуев. По его словам, среди набирающих актуальность киберугроз — неправильно настроенная защита от подбора паролей, позволяющая злоумышленникам парализовать работу целых компаний, а также риск утечки конфиденциальной информации при использовании онлайн-платформ для совместной работы.

Слишком быстрая цифровизация — как причина роста утечек

Мы собираем информацию о таких происшествиях с 2004 года. И все 15 лет видим, что их количество только растет. Причина роста — слишком быстрая цифровизация. Государственные услуги, финансы, медицина, добыча и переработка полезных ископаемых — все это быстро становится цифровым и вместе с новыми возможностями порождает новые угрозы, новые «дыры» в защите корпораций. После этого происходят масштабные «сливы» оцифрованной информации.

Рост их числа хорошо ощутим, если посмотреть на количество утекших записей пользовательских данных (это персональные данные и записи платежной информации). За 2018 год, по данным нашего аналитического центра, в мире утекло 7,28 млрд записей. А за первое полугодие 2019-го уже 8,74 млрд. То есть за половину нынешнего года мы перекрыли показатель всего предыдущего. В процентных показателях это значит, что за первую половину 2019 года утекло на 266% больше записей, чем за первую половину 2018-го. Таким образом, растет не только количество утечек, но и сами они становятся масштабнее, чем раньше.

Преднамеренно или нет

По нашим данным, виновниками 39,3% утечек в мире в 2018 году стали внешние злоумышленники. В первой половине 2019 года число случаев компрометации данных по их вине выросло уже до 46,3%. В этом смысле картина в России резко отличается. Так, за прошлый год в нашей стране по вине внешних злоумышленников произошло всего около 10% утечек, а в первом полугодии 2019 года эта цифра выросла до 14%. Получается, что в России по вине хакеров и взломщиков компрометируется намного меньше чувствительных данных, чем в мире. Это означает, что большая часть таких происшествий в нашей стране идет через внутренних сотрудников.

При этом аналитика, отображающая типы намерений злоумышленников, несет в себе определенное лукавство. Потому что каждая утечка там относится лишь к одной категории — «внутренней» или «внешней». На практике же все сложнее: часто внешний злоумышленник, которому нужна конфиденциальная информация, вступает в сговор с внутренним «сотрудником-мерзавцем», и они вместе ее воруют.

Однако в аналитических отчетах эта утечка, как правило, попадает лишь в одну категорию — «внешнюю» или «внутреннюю». В зависимости от того, куда ее отнесет конкретный аналитик или конкретное СМИ. Поскольку на Западе (в США и Великобритании) законы предписывают публиковать факт утечки, то компании, потерявшие информацию, всячески стремятся изобразить это как акт внешних «злых хакеров». В России такого требования нет, поэтому и статистика более релевантна.

Выводы

Как показывают последние аналитические исследования, актуальными остаются и внутренний, и внешний нарушители. При этом количество преднамеренных и случайных утечек также сопоставимо, и это соотношение не демонстрирует явного лидера.

Многие аналитические источники подчеркивают, что в случае с внешним преднамеренным нарушителем объемы украденных данных выше. Это объясняется сложностью проникновения в информационную среду жертвы и, в случае успеха, большим стимулом завладеть максимально возможным объемом информации.

Большая часть утечек информации, реализованных внутренним нарушителем, связана с личной корыстью и характеризуется более узкой зоной интереса и, следовательно, значительно меньшими объемами похищенных данных.

Каналы утечек, согласно многим исследовательским отчетам (См., в частности, отчет «Глобальное исследование утечек конфиденциальной информации в 2016 году» компании «Infowatch».), сместились в сторону использования web-сервисов. Внутренний нарушитель часто знает о существовании DLP-систем на предприятии и мониторинге почтовых каналов и внешних устройств и поэтому использует web-каналы, которые, в силу их разнообразия, контролировать сложнее.

Большинство аналитических источников констатирует незначительный объем утечки информации через мобильные устройства. Отчасти это связано с ограниченностью доступной на мобильном устройстве информации, а также с внедрением во многих компаниях средств защиты мобильных устройств. Но не принимать в расчет мобильный канал утечек полностью тоже неправильно: степень мобилизации бизнеса растет.

Ссылка на основную публикацию