Взлом без взлома или семь способов найти утечку информации ресурса

Защита от утечек данных в бизнесе: как предотвратить и как бороться

Утечка данных в бизнесе может грозить многомиллионными потерями. Менеджер ушел, прихватив с собой базу данных покупателей — готовьтесь к оттоку клиентов: возможно, он просто переманит их к конкурентам. Другой компании стали известны внутренние разработки — возможно, они первые выпустят крутой продукт по ним и соберут всю прибыль.

Давайте разберемся, как не допустить потерь. Рассказываем, как защититься от утечки данных и что делать, если она все-таки произошла.

Прием 2

«Конфиденциально, Confidential»

Как вытянуть главное из кучи найденных файлов? Протоколы HTTPS. Придумывался для обмена между доверенными партнерами. Обмена сертификатами. Т.е. https- в адресе документа становиться демаскирующим признаком особо важных документов.

Демаскирующим признаком становиться документы с гифом — Конфиденциально. Ни одна компания не обеспечиваем регламентных проверок своей конфиденциальности информации. Многие компании не знают, что у них есть утечка, только потому что не проверяли. И даже если компания начла проводить периодические проверки, то не значит, что у их партнеров нет утечки.

Почему происходят утечки данных

Наша страна, к слову, находится весьма высоко в мире по числу утечек: видимо, компаниям есть, над чем работать. Основным источником утраченной информации является бизнес. Эксперты отмечают, что большая часть информации «улетает» через два вида каналов: через интернет или на бумаге. В большей части случаев сотрудники компаний просто загружают конфиденциальную информацию с рабочего устройства в облако или распечатывают важные документы с данными, унося их с собой. USB-носители — тоже один из самых популярных способов воровства данных. Нет ничего проще, чем скачать что-то важное на флэшку и потерять. Часто бывает, что не самые добросовестные сотрудники продают эту информацию третьим лицам. Это обычное явление: работая в фитнес-клубе я и сам сталкивался с тем, что обиженные сотрудники при увольнении скачивали данные о клиентах клуба, оставляя за собой следы. Что происходит с этой информацией дальше — тема для отдельного разговора.

От нас, к сожалению, безопасность данных зависит лишь в малой степени

Вы запросто можете обратиться в суд за возмещением морального вреда. Нередки случаи, когда личные данные клиентов оказывались в открытом доступе без участия знаменитых русских хакеров. Бывает так, что компании случайно публикуют фотографии документов своих клиентов, не подумав о последствиях: так россиянин обнаружил, что юрист, представляющий его интересы, разместил личные данные в рекламе своих услуг без согласия владельца — вы только представьте, насколько надо быть безграмотным, чтобы допустить подобное?

Что делать в случае утечки данных

Хотя утечка данных – явление неприятное (некоторые даже скажут, что неизбежное), организация может предпринять некоторые шаги для минимизации ущерба для данных и систем, а также сохранить репутацию бренда и доверие покупателей. Наиболее важный шаг – подготовка.

Есть ли у вас внутренние ресурсы для реагирования на инциденты и разработанный план? Если нет, рассмотрите возможность заключения договора с фирмой, которая предоставляет услуги подобного рода. Как насчет юридической стороны вопроса? Обладают ли ваши юристы достаточными компетенциями для сопровождения вас через бремя уведомлений и ответных обязательств? Когда в последний раз ваша команда проводила тестирование подготовленного плана во время учебной утечки данных? Четко ли распределены роли и сферы ответственности, чтобы действовать в едином ключе?

Когда произойдет настоящая утечка информации, у вас не будет времени, чтобы искать ответы на эти вопросы. Эффективное и своевременное реагирование подразумевает тщательную подготовку. Хотя невозможно затронуть все аспекты, но главное, что ваш отдел реагирования должен действовать сообща с юристами.

Кроме того, существует три основных вида мер, которые вы можете предпринять во время утечки данных.

Оповестить пострадавших

Этот шаг может казаться очевидным, но в реальности пренебрегаемый многими. Доверие чрезвычайно важно в бизнесе. На первый взгляд может показаться, что лучше не раскрывать информацию об инциденте, однако в долгосрочной перспективе честность выигрывает. Более того, за сокрытие информации об утечке от общественности и государства могут быть предусмотрены высокие штрафы.

Обновить пароли со всех учетных записей

Будь то сотрудники или пользователи, которые платят за ваши услуги, важный шаг – сбросить пароли со всех аккаунтов. У этой меры двойное назначение: блокировка учетных записей, украденных злоумышленником, и принуждение пользователей к замене паролей, которые могут быть скомпрометированы.

Как предотвратить утечку данных

Хотя есть множество мер, которые организация может предпринять для снижения риска утечки данных, есть несколько простых шагов для повышения уровня безопасности:

Внедрить политику безопасности.

Придерживаться принципа наименьших привилегий.

Внедрить корпоративную политику паролей.

Внедрение политики безопасности

Реализация политики или программы в сфере безопасности, которая сфокусирована не только на защиту конфиденциальной информации, но и учетных записей, обеспечивающих доступ к этой информации – критически важно для снижения рисков. Почему? Поскольку учетные записи и данные – два общих знаменателя в каждом инциденте, связанным с утечкой.

Принцип наименьших привилегий

Один из наиболее важных принципов, которого следует придерживаться, — принцип наименьших привилегий. То есть когда у всех сотрудников и аккаунтов (особенно у привилегированных пользователей) уровень доступа в строгом соответствии с выполняемыми функциями. Повторимся еще раз, особенно в случае с привилегированными пользователями следует придерживаться подхода к управлению привилегированным доступом (PAM), когда в случае отсутствия необходимости использование подобных аккаунтов полностью исключено. Когда все пользователи имеют доступ только к нужным ресурсам, риск от компрометирования отдельной учетной записи снижается экспоненциально.

Корпоративная политика паролей

Внедрив общекорпоративную политику паролей, ваша организация убудет защищена от многих атак на механизмы аутентификации. Подобная политика предусматривает отключение слабых или уже скомпрометированных паролей – вне зависимости, удовлетворяют ли эти пароли требованиям сложности. В дальнейшем принудительная гигиена касаемо паролей снижает возможности злоумышленников во время взлома или угадывания паролей при помощи автоматических и ручных методов.

Если вы не хотите использовать правила о периодической смене и сложности пароля, тогда рекомендации следующие: двухфакторная аутентификация, длина пароля не менее 14 символов и отсутствие в базе утечек. Если пароль обнаружен в подобной базе, требуется замена. Иначе пароль может оставаться навсегда.

Обучение сотрудников

Возможно, наиболее важная мера в этом списке. Организации должны тратить время и другие ресурсы на обучение сотрудников. Например, как вовремя распознать фишинговую атаку. Участие в этих мероприятиях нужно сделать обязательным. Небольшая инвестиция сейчас в дальнейшем может окупиться многократно. Даже если обучение поможет избежать хотя бы одной утечки, то вложение ресурсов уже окажется выгодным.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Чем опасна утечка персональных данных в открытый доступ

Утеря данных может произойти по нескольким причинам, наиболее распространенные из них следующие:

  • Технический сбой в системе или в работе сайта, компьютера и т.д.;
  • Небрежность сотрудников, связанная с неопытностью и невнимательностью;
  • Хакерский взлом, осуществленный с целью получения информации для последующего выкупа, шантажа и т.п.;
  • Корыстные цели обслуживающего персонала;
  • Слабая защита личной информации.

В любом случае, если какие-либо важные данные окажутся в руках злоумышленников, они попытаются воспользоваться ими в корыстных целях. Используя пользовательские данные можно получить доступ к банковской карте, или даже взять несколько кредитов на имя жертвы. Впоследствии банк или другие кредиторы будут требовать возврата денежных средств от пострадавшего лица, пока тот не добьется факта признания мошенничества и слива информации.

Чем опасна утечка персональных данных в открытый доступ

Получив доступ к чужой информации можно совершить и целый ряд других операций: манипулировать чужой недвижимостью, оплачивать чужие счета, переводить деньги на другие банковские карты, открыть печально известные »фирмы-однодневки».

Главная опасность заключается в том, что кто-то зачастую сводит все в один большой ком, в котором содержится почти вся конфиденциальная информация (номер паспорта, адреса, номера телефонов, место работы и т.д.) Из всего этого вполне можно будет создать интернет-личность и сделать ее полностью независимой от фактического владельца.

Что такое утечка информации?

Утечка данных представляет собой распространение информации, доступ к которой изначально ограничен, за пределы организации. Информационные утечки разнообразны:

  • Данные о клиентской базе стали достоянием конкурентов.
  • Пропали внутренние документы с грифом «секретно».
  • В руки конкурентов попал финансовый план организации на будущее.
  • В открытый доступ попала важная информация об особенностях производства той или иной продукции.

Самые громкие утечки информации в истории: Почему это случилось и к чему это привело

Получайте на почту один раз в сутки одну самую читаемую статью. Присоединяйтесь к нам в Facebook и ВКонтакте.

Любой обыватель знает о том, что «кто владеет информацией, тот правит миром», а потому ее бережно оберегают от посторонних посягательств. Однако принимаемые меры не всегда бывают эффективными, потому мир то и дело оглашают скандалы об утечке информации, а образы шпионов – охотников за информацией, романтизированы кинематографом всех стран. Чем же столь ужасным грозили самые громкие утечки данных, по чьей вине случились и к чему в итоге привели?

Последний вопрос, учитывая, что вся страна вот уже который месяц обсуждает скандал с футболистом Артемом Дзюба, кажется даже неуместным. Да, мало обладать информацией, ее нужно уметь выгодно использовать. Но иной раз можно поплатиться чем-то более дорогим, чем деньги. Неудивительно, что скандалы вокруг утечек данных разгораются по самому факту случившегося, даже если они не привели к печальным последствиям. Достаточно того, что эти самые печальные последствия могли произойти по чьей-то вине.

Владимир Ветров: «держи нос по ветру»

Ветров не смог удовлетворить свои амбиции работая на СССР.

Его имя в истории сохранилось как имя человека, который предал свою Родину, свое достоинство и стал наглядным свидетельством не идеальности советской разведслужбы, несмотря на сааме жесткие меры безопасности и бесконечного контроля. После получения высшего образования, он попадает в КГБ, на момент его первой заграничной командировки у него за плечами уже было два года работы в этой сфере. Во Францию он поехал в качестве инженера «Машприборинторга», там он активно собирает информацию научно-технического характера, чем обращает на себя внимание французских коллег. Как говорится, «рыбак – рыбака».

Не успели французы разузнать детально кто он таков, как Ветров предоставил им такую возможность, попав в аварию в чужой стране на служебном автомобиле. Французские агенты планировали его шантажировать, но Владимир успех уехать в СССР – закончилась командировка. Но уезжал он с чувством долга к новому знакомому, который помог ему с починкой машины.

Во время командировки в Канаду он снова попадает в заварушку, однако это нельзя назвать случайностью, ведь он сам заранее закупил антиквариат в Москве, который пытался за рубежом продать. Ювелирные изделия оказались крадеными, Ветров проходил по делу как потерпевший. Здесь ему поступает прямое предложение работать против своей страны, но он не дает утвердительного ответа.

Ущерб для страны он нанес огромный.

На родине же КГБ-шника ждал неприятный сюрприз, за столь неоднозначное поведение во время командировок и привлечение внимания, его из оперативников переводят в кабинетного работника – он должен был собирать и анализировать поступающие данные. А значит, прощайте зарубежные командировки, возможности продажи антиквариата, покупка дефицита и многое-многое другое. Его понижение совпадает с повышением коллеги, с которым он был в негласном соперничестве и Ветров начинает думать, как им всем отомстить. Впрочем, ответ на этот вопрос у него уже был готов.

На одной из международных выставок он встречает своего знакомого, через которого просит передать письмо французу, который помог ему с ремонтом машины (агенту). Однако знакомый не несет это письмо адресату, а направляет напрямую в контрразведслужбу. В письме он, кстати, коротко рассказал о себе и предложил свои услуги. Так и началось сотрудничество Ветрова с французской разведкой.

Задержали Ветрова за другое преступление.

Более 4 тысяч документов из раздела «Совершенно секретно», список из 250 офицеров из научно-технической разведки (они были распределены по всему миру), 70 имен людей, предоставляющих информацию КГБ и почти 500 сотрудников разведки СССР были раскрыты Ветровым.

Но Ветров, все же был талантливым разведчиком, хоть и не очень хорошим человеком. Раскрыть его так и не удалось. Посадили его по другому делу – он пытался убить собственную любовницу, когда та уговаривала его развестись, и убил мужчину, который хотел за нее заступиться. Видимо длительное сотрудничество с иностранными агентами окончательно расшатали его нервную систему и он, в результате сорвался. Уже получив осуждение по этой статье, Ветров стал изучаться и на предмет предательства Родине. Тут-то все и открылось. В результате ему была вынесена высшая мера наказания – расстрел.

Сотовые операторы как кладезь личной информации

Сотовые операторы имеют практически неограниченный доступ к личным данным.

С активным внедрением в жизнь гаджетов и информационных технологий, утечка информации стала носить иной характер, но при этом приобрела массовость. В результате хакерского взлома можно обнародовать огромное количество персональных данных, а значит и пострадавших будет гораздо больше.

В 2011 году абоненты «Мегафон» были неприятно удивлены тем обстоятельством, что смс-сообщения, которые они отправили через сайт оператора, стали доступны через поисковик. Это случилось из-за ошибки работников сотовой компании, которые не закрыли промежуточные страницы от роботозированной индексации. Компания убедила абонентов в том, что в сеть попало ничтожно малое количество смс, к тому же не коснулось тех, которые отправлены через мобильные гаджеты.

Однако это не спасло компанию от разбирательств, оператора привлекли к административной ответственности и штрафу. Впрочем, сумма штрафа в несколько тысяч рублей вряд ли послужила уроком огромной сотовой компании, куда больший урон был нанесен репутации. Вполне вероятно, что многие абоненты бы теперь предпочли других операторов сотовой связи, но в тот же год другой крупный игрок на рынке этой сферы услуг опростоволосился куда масштабнее.

Все три лидера рынка успели себя скомпрометировать.

Более полутора миллионов абонентов, чьи номера начинались на 911 и 917 стали жертвами незаконно обнародованной личной информации. На специально созданном сайте стали доступны не только личные, но и паспортные данные, включая адреса регистрации. Оператор тут же уверил, что виновные будут уволены, а сама система работы с информацией будет многократно ужесточена. В интернете долго время муссировалось мнение о том, что данные слились в сеть по вине спецслужб.

Третий лидер сотовых операторов тоже не остался в стороне от скандалов такого рода, следственный комитет разрабатывал информацию о том, что «Вымпелком» и МТС передавали данные о своих абонентах, включая переписки и сообщения неизвестным. «Вымпелком» признал, что подобный инцидент имел место быть и обещал разобраться. Сотрудник был уволен, в отношении него было возбуждено уголовное дело.

Интернет-магазины и развлекательные порталы

Интернет покупки стали особенно актуальны в период пандемии.

Сообщения и личные данные далеко не единственное, о чем человек предпочитает не распространяться. К примеру, о покупках в ряде интернет-магазинов, пользователи бы тоже предпочли не рассказывать всем подряд. Все в том же 2011 году через поисковик браузера можно было найти данные о том, что заказывал тот или иной человек в данном магазине. Видно было не только статус заказа, но и его содержимое, место доставки и ФИО заказчика.

Все бы ничего, но среди магазинов, заказы в которых стали общедоступными, значились не только книжные, игровые и магазины парфюмерии и косметики, но и площадки, торгующие интим-товарами. Как тут не вспомнить инцидент с Дзюбой, ведь эта сфера личной жизни человека всегда вызывает всеобщий интерес, а скандал вокруг определенного человека может разгореться нешуточный.

Анонимность интернет-покупок тоже оказалась весьма эфемерной.

Если в данном случае ошибка закончилась без особо крупных скандалов, то сеть магазинов «Target» стала причиной гораздо большего количества возмущений хотя бы потому что там речь шла уже о денежных потерях. Преступники через сайт получили доступ к кредиткам пользователей, которые ранее оплачивали услуги на этой площадке и получили 40 млн долларов. Также они открыли доступ к личным данным 70 млн человек, которые являлись клиентами этой системы.

Не избежали аналогичной участи и в компании Sony online. Причем возмущенные пользователи завалили компанию судебными исками в общей сложности превышающие 170 млн долларов. Эта история сместила Сони с первого места в игровых сетях и запомнилась надлго, больно ударив по репутации компании.

Банки и платежные системы

Данные о картах самая желанная информация для мошенников.

Несмотря на то, что неоднократно поднимался вопрос о наказании банков за утечку информации о транзакциях клиентов и их финансовых операциях любого характера, представители банков всегда отрицают собственную причастность к таким утечкам (конечно же!). Перекладывают всю ответственность на абстрактных хакеров, которые умудряются заполучать информацию через мобильные приложения и другие способы обслуживания, а пароли раскрывают сами клиенты.

Однако специалисты не исключают того, что традиционно мало внимания уделяется самим сотрудникам банков, ведь нельзя исключать вероятности того, что мошенникам эти данные раскрывают сами сотрудники. Так или иначе, но громких скандалов в этой сфере не так много, зато с такого рода утечкой информации сталкивался едва ли не каждый клиент банка. Это означает, что данная сфера является одной из самых коррумпированных в плане защиты информации, к тому же обладает минимальным процентом раскрываемости преступлений.

Одна из крупнейших утечек информации произошла в платежной системе Heartland Payment Systems. Была нарушена система безопасности, в результате в руки мошенников попали данные о 130 миллионах карт и их владельцах. Было установлено специальное программное обеспечение, которое шпионило за любыми операциями по картам в сетях и считывало данные. Компания работала активно, обслуживая сотни тысяч клиентов, поэтому ущерб был огромным.

Безопасное финансовое поведение в интернете тоже весьма актуальна информация.

Это дело примечательно еще и тем, что был определен виновный, который получил реальный срок. После того как выяснилось, что он причастен еще к некоторым хакерским атакам, его осудили на 20 лет тюрьмы.

Белорусский банк все в том же 2011 году упустил в сеть данные двух тысяч своих клиентов, которые до этого подали заявки на кредит. Их данные оказались в прямом доступе прямо на сайте банка (паспортные данные, информация о месте работы, заявка на кредит), причем провисело все это на сайте больше 10 часов. Сам банк снял с себя ответственность, заявив, что информация внутри банка надежно защищена, а на сайте данные появились с внешних серверов, которые предоставляют хостинг-услуги.

Социальные сети

Социальные сети тоже активно используются мошенниками.

Казалось бы, социальные сети сами по себе являются просто кладезем информации о человеке. Имя, фото, локации, данные о родных, друзьях, фотографии, не говоря уже о возможности личной переписки, по которой можно выяснить все что угодно.

Так, недавний скандал с Фейсбук, выявил слабое место социальной сети, когда компания, собирающая данные для социологического исследования, смогла получить информацию о 50 млн пользователей фейсбука без их на то разрешения. Сами пользователи не то чтобы очень уж пострадали от слива их данных. Но якобы информация, полученная в ходе такого социологического исследования, помогла рекламщикам провести нужные настройки в этой же самой сети и, тем самым, повлиять на выборы президента США.

После скандала социальная сеть и ее основатель признали свою ошибку, внесли необходимые доработки, вскрытые данные были уничтожены. Пользователям принесены извинения. Однако после этого стало очевидным, что данные пользователей уже имеются в базах десятков разработчиков различных приложений и рекламодателей. Аналогичная проблема была и у социальной сети «Вконтакте». Огромное количество копий документов, паролей были доступны через простой поисковик, но после того как разгорелся скандал, «вконтакте» скрыл эти данные настройками приватности.

Сайты государственных услуг

Сайты Госуслуг хранят огромное количество личных данных.

Государственным сайтам, которые сопровождают сделки и предоставляют официальную информацию обычно больше доверия, однако и они регулярно подвергаются хакерским атакам. Так, в пермском региональном отделении Пенсионного фонда России произошла утечка данных. Часть личных данных получателей услуг оказалась в интернете, и ее можно было найти просто погуглив. В этом обвинили администраторов сайта, то есть иногда можно обойтись и без хакеров, просто доверив работу сайта не слишком ответственному человеку.

В интернете была информация об имени человека, его паспортные данные, ИНН, размеры платежей в пенсионный фонд, объем страховой и накопительной части пенсии. Однако без паспортных данных эта информация не была признана достаточно личной, чтобы за это понести наказание.

Хамовнический суд Москвы также подвергся атакам преступников, которые обнародовали внутреннюю переписку сотрудников, вскрыв доступ к базе писем. Причем сделано это было для того чтобы высказать таким неоднозначным способом поддержку группе Pussy Riot, чье дело как раз слушалось в этом суде на тот момент. Хакеры не просто слили письма судебных органов в сеть, а заменяли на них тексты, на оскорбительные, призывы отпустить членов группы и другие лозунги и оценку работы судебной системы в целом. Все это безобразие длилось без малого сутки, сайт не работал стабильно, а у сотрудников, конечно же, не вызывал доверия.

Огромное количество организаций хранят личные данные граждан. Можно ли им всем доверять?

Государственные сайты летели один за другим в 2012 году, включая правоохранительные, образовательные, медицинские, финансовые и другие сферы. В интернет попали 2,5 миллиона записей с этих сайтов, которые содержали личную информацию. Хакеры тут же обнародовали себя, даже обнародовали название своей группы. Они обратились с заявлением о том, что Россия слишком долго была страной тирании, и они пытаются привлечь внимание к тому, что пока россияне вынуждены работать за копейки, в их стране есть деньги на то, чтобы оплачивать работу шпионов.

Среди данных, которые оказались в общем доступе, были и логины, и пароли с личных почтовых ящиков, в том числе и те, которые относились к правительственным ресурсам. Многие из них так и остались зашифрованными.

Работники национального архива США без каких либо хакеров умудрились вскрыть одну из самых скрываемых папок с информацией о ветеранах армии с их именами, данными их семей и адресами, а также кампаниями, в которых они принимали участие. Причем в количестве 76 миллионов штук.

Просто один из жестких дисков, на которых хранилась эта информация, перестал работать. Сотрудники архива приняли вполне логичное решение о том, что его нужно отремонтировать и отослали его на ремонт. Прежде сохранили себе все данные с диска, а вот удалить с него забыли. Диск в итоге не починили и вернули обратно, ну что было с закрытыми данными, которые покидали стены госучреждения история умалчивает.

Adblock
detector