Как избежать утечки данных — мнение экспертов

Из-за чего возникает утечка данных?

Евгений Власов

Бизнес-аналитик Falcongaze SecureTower

Причины, которые приводят к утечке информации, могут быть различными: атака злоумышленников извне, инсайдерские действия и шпионаж, сбой ПО и многое другое. На мой взгляд, чаще всего за утечкой данных стоит человек.

Более того, его участие в этом событии может быть случайным — по причине невнимательности или неосторожности. Например, сотрудник отправил ключевому контрагенту вместо акта выполненных работ файл с конфиденциальной информацией, который содержит сведения обо всех своих конкурентах — может, ему недавно поручили составить такую сравнительную таблицу, а он сохранил рабочий документ в той же папке, в которой сохранены акты, назвал его схожим образом и так далее.

Изначально на такое событие в компании могут вообще не обратить внимание, забыть и работать дальше. А когда заказов станет меньше, аналитики будут долго искать причины снижения прибыли.

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ Axoft

По статистике Infowatch, за первое полугодие 2022 года, доля утечек, вызванных умышленными действиями, превысила 96%. При этом стоит отметить, что выросло количество нарушений внутреннего характера до 67%. В подавляющем большинстве самыми «утекаемыми» остаются клиентские базы и персональная информация: платежные данные, заказы, суммы, адреса доставки, история звонков.

Причем не всегда хакерам приходится применять сложные схемы взлома. Сотрудники компании сами передают данные в руки злоумышленников, переходя по сомнительным ссылкам в почте, например.

Евгений Царев

управляющий RTM Group, Москва

Типовая ошибка построения системы ИБ — ограничиваться приобретением и настройкой средств защиты. Это как постройка дома без проекта — экономия выходит дорого. Сегодня один из важнейших блоков — разграничение доступа, контроль за ним.

В отсутствии этих мер человеческий (иногда — бюрократический) фактор приводит к утечкам: здесь и халатность, и недобросовестные сотрудники, скачивающие и отдающие данные на сторону и прочее. В итоге, виноват оказывается специалист по безопасности, которому вовремя не предоставляют денег и полномочий «запрещать» и «ограничивать».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC

Утечки конфиденциальной информации не стоит рассматривать только как злонамеренные действия работников. Чаще всего к ним приводят халатность или ошибка сотрудника либо действия вредоносного ПО, которые могут быть осуществлены в равной степени как из-за технической уязвимости, так по вине человека.

По данным аналитиков, во втором квартале 2022 года атаки методом социальной инженерии составили 43% от общего числа атак на организации.

Какие утечки считаются самыми опасными?

Евгений Власов, Бизнес-аналитик Falcongaze SecureTower

Наиболее серьезной будет утечка той информации, которая нанесет существенный или непоправимый ущерб бизнесу. А что именно это будет — зависит от специфики деятельности компании: только она знает, что для нее является той самой конфиденциальной информацией, работу с которой нужно контролировать, которую нужно защищать. Это могут быть любые сведения: от рецепта напитка до базы данных с клиентами. Потеря коммерческих секретов, разработок, ноу-хау, технологических сведений и так далее почти всегда имеет экономические последствия, и они могут быть опасней обычного штрафа за утечку.

Однако мы видим, как совершенствуется законодательная ответственность за утечки персональных данных. При возникновении такого события сложно избежать штрафа и сохранить общественное доверие. На хакерских форумах стабильно «востребованный» тип данных — персональные данные пользователей, абонентов, клиентов и т. д. Это ФИО, пол, возраст, сведения из паспорта или других документов, контактная информация (номер телефона, адрес, почта). Также утекают, например, IP-адреса, ссылки на персональные страницы в социальных сетях, хэши паролей.

Алексей Парфентьев

руководитель отдела аналитики «СёрчИнформ», Москва

Чаще всего утекают наиболее ликвидные данные, которые легко перепродать у конкурентов, в даркнете или просто в соцсетях. К ним относится коммерчески значимая информация, ПДн клиентов или информация, которая повредит репутации компании.

Согласно нашему исследования за 2021 год, наибольшее число компаний фиксирует утечки информации о клиентах и сделках — 52%. Особенно заметна динамика по попыткам сливов клиентских баз — их число за 2 года выросло на 17%.

С утечкой персональных данных сталкивается 29% компаний. В первую очередь, опасными являются утечки платежных и медицинских данных, информация о месте фактического проживания пользователя, доступы к аккаунтам с критичной информацией, например, к госуслугам. Однако еще опаснее, если утечет база, содержащая наибольшее количество данных о пользователе (ФИО, номер, адрес, паспортные данные и т. д.).

Так как если мошенники получат такую информацию, они смогут организовать изощренную атаку на пользователя. Например, позвонить жертве и выдать себя за представителя той или иной службы, усыпив бдительность подробностями из ее жизни. Таким образом, ничего не подозревающая жертва переведет деньги киберпреступнику и останется ни с чем.

Как компаниям защитить себя от утечки данных?

Евгений Царев, управляющий RTM Group, Москва

Первое — провести инвентаризацию информационных активов. То есть определить, что конкретно надо защищать, какие данные представляют особую ценность. После этого необходимо смоделировать угрозы. А после этого — внедрять организационные (быстрее и дешевле) и технические меры.

Обязательно — наделить полномочиями службу безопасности (внутреннюю или внешнюю). Это важно не только для защиты данных, но и для оперативного реагирования в кризисных ситуациях.

Также безопасники не допустят ситуации, которая до сих пор является довольно распространенной: антивирус создает повышенную нагрузку, «тормозит» компьютер, и принимается решение об отключении.

Владимир Арышев

эксперт по комплексным ИБ-проектам STEP LOGIC

Меры по защите информации необходимо сосредоточить в двух направлениях:

Технические средства. Во-первых, это системы класса Data Leak Prevention для предотвращения непосредственно утечек информации. Но, к сожалению, наличие такой системы не гарантирует выявления 100% утечек и не устраняет их причину — для полноценной защиты необходимо выстраивание эшелонированной системы безопасности.

Здесь следует рассмотреть такие классы решений как Next-Generation Firewall для защиты периметра сети, Web Application Firewall для защиты веб-сервисов, Network traffic analysis для выявления аномалий в корпоративной сети, Privileged Access Management для контроля привилегированных пользователей, Database Firewall для защиты баз данных, Endpoint Protection и Endpoint Detection and Response для защиты конечных устройств.

Работа с сотрудниками. В борьбе с халатностью и ошибками необходимы как организационные меры, так и регулярное обучение сотрудников базовым навыкам кибербезопасности и контроль результатов.

На рынке представлен ряд платформ, которые позволяют не только обучить, но и проверить, как сотрудник усвоил знания после прохождения курса, например, при помощи тестовых фишинговых писем.

Платформа отслеживает, как пользователь отреагировал на сообщение, перешел ли по ссылке, и предоставляет информацию офицеру безопасности в виде отчета.

Иван Чернов, менеджер по развитию UserGate

Залог обнаружения и успешного отражения атак — а особенно сложных, целевых — заключается в экосистемном подходе к обеспечению контура безопасности.

Именно такая комплексная концепция позволит обеспечить главное условие защищенности — абсолютную видимость всех событий безопасности внутри корпоративной сети. Это поможет вовремя обнаружить запросы к управляющим командным центрам злоумышленников или бот-нет-сетям, следы компрометации системы и уменьшить поверхность атаки, не дав злоумышленнику распространиться.

Ужесточение штрафных санкций поможет снизить утечку персональных данных?

Михаил Савельев

директор по развитию бизнеса компании «Гарда Технологии»

Уверен, что введение оборотных штрафов заставит многих задуматься о безопасности, ведь в случае инцидентов такой штраф может быть фатальным для бизнеса.

Текущие штрафы скорее поощряют бездействие компаний. 60 тысяч рублей — незаметная сумма для крупного бизнеса, которая не мотивирует на приобретение средств защиты и найм профессионалов в области защиты данных.

Практика показывает, что даже масштабные утечки, которые получают широкий резонанс в СМИ, существенно не влияют на их бизнес крупных онлайн сервисов.

Разина Ольга Михайловна — к. э. н. АКГ Развитие бизнес систем

Да безусловно, наличие регуляторных требований и штрафных санкций стимулирует бизнес к «информационной гигиене». Однако только штрафы не решают ситуацию, необходимо более активно «адаптировать» инструменты защиты от утечек на уровне собственной организации (внедрять современные DLP системы), а на уровне менеджмента — формировать соответствующую «корпоративную культуру» и стратегию информационного развития.

Роман Ламинин, ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress

Российские штрафы за утечки персональных данных беззубые и не очень-то страшные, ответственность очевидно должна быть выше. При этом слепо копировать европейский GDPR, думаю, тоже не стоит. Меры наказания за утечки на западе драконовские и это явный перебор. Золотая середина лежит где-то на полпути.

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ Axoft

Уверен, что оборотные штрафы станут дополнительным стимулом для внедрения ИБ-систем компаниями. На данный момент любая комплексная киберзащита стоит намного дороже штрафов.

При принятии решения бизнесом о покупке ИБ- инструментов, в первую очередь, оцениваются финансовые последствия реализации киберрисков. Поэтому если штрафы будут сопоставимы, то скорее выбор будет в пользу комплексной системы защиты от утечек.

Какие риски ждут компании из-за медлительности при переходе на отечественный софт?

Алексей Парфентьев

руководитель отдела аналитики «СёрчИнформ», Москва

Если санкционный список расширится и уйдут те вендоры, которые еще остались в России, то компании, которые до сих пор пользовались зарубежным ПО могут оказаться с неработающим софтом или работающим, но не обновляемым.

А без обновления система может быть уязвимой как минимум перед «Zero day»-атаками. Это такие критические уязвимости, которые разработчики должны исправить незамедлительно, иначе пользователь будет подвержен хакерским атакам.

Михаил Савельев, директор по развитию бизнеса компании «Гарда Технологии»

Весна 2022 года показала, что доверия к импортным средствам защиты нет. За редким исключением западные вендоры или отключили функции защиты в своих решениях, либо перестали их обновлять, что на периоде в несколько недель стало практически равносильно отключению.

Другое дело, что, оказавшись в такой ситуации, многие компании стали вынуждены заменять весь арсенал зарубежных средств защиты, начиная с базовых механизмов безопасности.

В этих условиях можно говорить о том, что более продвинутые средства защиты будут заменены с некоторым временным лагом, необходимым либо на приобретение и внедрение, либо на разработку или улучшение характеристик отечественных аналогов. Безусловно, затягивание решения вопросов замены снижает защищенность информационных систем.

Хияс Айдемиров

Исполнительный директор Spacebit

Риски существуют сразу по нескольким векторам. Во-первых, не вся функциональность ушедших с российского рынка производителей в области информационной безопасности замещена на настоящий момент.

Во-вторых, многие ушедшие вендоры не компенсировали затраты на уже приобретённые продукты, при этом лишив возможности их использования. А значит, переход на российское программное обеспечение связан с незапланированными расходами.

В этой части помогают государственные институты, частично компенсирующие такие затраты. Кроме того, необходимо время на внедрение российских решений в имеющиеся бизнес-процессы компаний, а также обучение сотрудников функционалу новых продуктов для эффективного использования. Это задача непростая, но риски индустрией осознаны и ведётся активная работа по их нивелированию.

Роман Ламинин, ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress

Тут все очень сложно. Если по основным направлениям ландшафта безопасности в течение нескольких лет будет создано собственное ПО, то я вижу основную проблему в импортозамещении ПО для анализа кода. SAST, DAST и IAST решения на нашем рынке есть, хотя есть и большие вопросы по качеству сканирования и цене продукта, то fuzzing и SCA решений нет, а главное нужно будет значительное время, чтобы наработать базы данных уязвимостей для подобных продуктов. Например, компания Synopsys собирала базу для своего fuzzing решения Defensics более 15 лет.

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ Axoft

Компании, которые медлят с переходом на российские ИБ-решения либо уже остались без полноценной защиты, так как все иностранные поставщики ушли из России, либо могут стать легкой добычей для злоумышленников в любой момент, когда иностранные вендоры неожиданно отключат функционал. При этом в последнем случае стоит учесть, что если у вас установлена защита ушедшей компании, то скорее всего она перестала обновляться и уже уязвима к новым вирусам.

На нашем рынке достаточно много зрелых и надежных отечественных систем, поэтому не стоит компаниям подвергать риску себя и своих клиентов. А риск достаточно высок. Об этом говорит увеличивающееся количество DDoS-атак, в некоторых сегментах рост оставил до 80% за первое полугодие, по данным «Лаборатории Касперского».

Кстати, чтобы объективно оценить уровень киберзащиты организации и понять, какие инструменты еще необходимы, мы разработали свою шкалу ИБ-зрелости для SMB и Enterprise-сегментов. Она включает простой и понятный набор вопросов, ответы на которые позволяют подобрать оптимальную модель защиты для бизнеса, исходя из размера, количества сотрудников, ресурсов, ИТ-инфраструктуры компании.