Утечка данных: что это такое, причины и последствия утечки данных

Чем активнее развиваются технологии, и организации приходят к цифровизации, тем чаще случаются утечки данных. Компрометация конфиденциальной информации — глобальная проблема для компаний любого масштаба, поэтому важно выстроить надежную защиту. Однако сначала следует понять, как именно происходят утечки, кто и каким образом может их инициировать. В статье коснемся всех этих аспектов.

Что такое утечка данных

Утечкой информации компании называют намеренное или случайное раскрытие конфиденциальных данных, их попадание в третьи руки. Несанкционированная передача сведений происходит по веб-каналам, через программы и приложения, физические носители (накопители, печать на принтере и т.д).

Утечка данных может раскрыться далеко не сразу, а только после того, как информация появится на просторах интернета, будет использована в целях шантажа или в конкурентной борьбе. В таких случаях организацию-жертву ожидают серьезные последствия — от потери репутации и финансовых проблем до приостановки деятельности.

Какие данные могут утечь

Особый интерес для злоумышленников представляют пять категорий информации: персональная, финансовая, узкоспециализированная, коммерческая тайна, интеллектуальная собственность.

1. Персональная информация

Это любые данные, которые могут быть использованы для идентификации конкретного лица. Любая информация, которая может быть использована для отличия одного человека от другого и может быть использована для деанонимизации анонимных данных, может быть рассмотрена как персональная информация. Примеры такой информации: адреса и номера телефонов, должность, принадлежность к определенной религии, семейное положение и т.д. Когда такая информация утекает, это может привести к краже личности, финансовому мошенничеству и другим злонамеренным действиям.

2. Финансовая информация

Часто происходит утечка финансовых данных, к которым относятся налоговые декларации, бухгалтерские отчеты, сведения о доходах компании и заработной плате сотрудников, номера банковских карт, счет-фактуры и т.д. Такая информация может быть особенно интересна конкурентам, желающим составить представление об экономической состоятельности организации-жертвы.

Защита финансовой информации обязательно включает организационную работу с персоналом, поскольку именно сотрудники часто сами разглашают сведения такого характера, не задумываясь о возможных последствиях для своей компании.

3. Узкоспециализированная информация

К узкоспециализированной информации можно отнести данные, связанные с той или иной категорией деятельности. Например, это:

Медицинская тайна: протоколы лечения, выписанные пациентам рецепты, диагнозы, результаты анализов и обследований.
Судебная тайна — сведения, которые имеют отношение к делопроизводству в рамках рассмотрения правонарушений и преступлений.
Банковская тайна: сведения о клиентах финансовой организации, счетах и вкладах, операциях.
Адвокатская тайна: данные доверителей, собранные в результате расследований факты, стоимость и характер услуг адвоката, рекомендации подзащитному и т.д.

Утечки узкоспециализированной информации грозят организации-жертве потерей репутации и серьезными штрафами.

4. Коммерческая тайна

Каждая организация должна заботиться о защите коммерческой тайны — данных, которые характеризуют профессиональную деятельность. Это могут быть научно-технические, производственные, финансово-экономические и другие сведения. Такая информация очень важна для компаний, поскольку дает конкурентные преимущества,.

5. Интеллектуальная собственность

Утечка может коснуться и интеллектуальной собственности, которой считаются плоды интеллектуальной и творческой деятельности, то есть объекты авторского права. Особенно часто в этой категории скомпрометированными оказываются: базы данных, ноу-хау производства, промышленные образцы и уникальные разработки компании.

Причины утечки данных

Чтобы защитить конфиденциальные данные, необходимо понять, почему они могут утекать и что становится предпосылками к инцидентам. Будем разбираться в причинах.

Действия сотрудников компании

Многие компании фокусируются на защите от внешних злоумышленников, забывая об опасности, которая исходит изнутри — от сотрудников компании. Какие утечки они могут инициировать:

Умышленные. В таких ситуациях сотрудник отдает отчет своим действиям и понимает, какие последствия наступят для компании, но все равно передает данные третьим лицам или создает условия для их кражи. Пример: работник организации копирует финансовую информацию на флешку и продает конкурентам.
Неумышленные. Это утечки данных, произошедшие по невнимательности или ошибке. Злого умысла здесь нет, зато есть небрежное отношение к своим обязанностям, которое дорого обойдется компании. Например, сотрудник может случайно загрузить файл в общедоступное хранилище или перепутать адресата при отправке документа по электронной почте, в результате чего информация попадает к третьим лицам.

Чтобы свести к минимуму риски утечек данных, необходимо мониторить действия сотрудников, отслеживать каналы коммуникации и контакты. В этом поможет решение класса Data Leak Prevention (сокращенно — DLP) Solar Dozor с уникальными модулями, позволяющими формировать досье на персоны и анализировать поведение по 20 паттернам.

Хакерские атаки

Чтобы похитить конфиденциальную информацию, киберпреступники могут внедрять на устройства вредоносное ПО, реализовывать фишинговые атаки, применять приемы социальной инженерии, взламывать программы и приложения.

Разберем самые распространенные схемы, направленные именно на кражу данных:

Фишинг — атаки с целью заполучить персональные данные или номера банковских карт, вынудить пользователей совершить оплату и т.д. Преступники могут рассылать в письмах и сообщениях ссылки на фальшивые ресурсы, где нужно будет зарегистрироваться или что-то купить. Если жертва это сделает, ее личные данные и деньги окажутся в руках мошенников. Иногда фишинговые сайты оказываются зараженными и после их посещения на устройство попадают вредоносные компоненты, с помощью которых хакеры похищают данные.
DDoS — атаки типа "отказ в обслуживании" (DDoS) направлены на перегрузку серверов и веб-сайтов путем массовой отправки запросов, что приводит к недоступности ресурсов для легитимных пользователей. DDoS-атаки часто используются для шантажа или для отвлечения внимания от других атак.
Вредоносное ПО — вредоносное программное обеспечение (вирусы, трояны, ransomware) внедряется в системы с целью повреждения данных, кражи информации или вымогательства. Вирусы могут распространяться через вложения в письмах, зараженные веб-сайты или съемные носители.
Атака «человек посередине». Мошенники становятся участниками коммуникации между сотрудниками, притворяясь коллегой или клиентом, а иногда и вовсе никак себя не обнаруживают. Ничего не подозревающие жертвы могут выдать важные сведения, следовательно, произойдет утечка данных.

Уязвимости в облачных сервисах

С увеличением использования облачных сервисов, компании сталкиваются с новыми вызовами в области безопасности. Уязвимости в облачных платформах могут привести к утечкам данных, особенно если облачные сервисы неправильно настроены или не защищены должным образом.

Каналы утечек данных

Каналы утечки условно можно разделить на технические, материально-вещественные, аудиовизуальные. Также данные могут быть перехвачены в движении, то есть при передаче от устройства к устройству, от пользователя к пользователю. Например, через письма по электронной почте или сообщения в мессенджерах, буферы обмена. Часто перехват происходит из-за подключения к незащищенному Wi-Fi.

Технические каналы возникают при обработке данных в технической среде. Примеры несанкционированного перехвата информации: подключение шпионских устройств, использование уязвимостей ПО, прослушивание сетевых интерфейсов и т.д.

Примеры утечек данных через аудиовизуальные каналы:

Снятие скриншотов с экрана пользовательского устройства.
Запись аудио с микрофона рабочего компьютера.
Трансляция видео с экрана.

Конфиденциальная информация передается и через физические носители. Например, злоумышленник может скачать ее на USB-накопитель или диск, распечатать на принтере. Это примеры материально-вещественных каналов утечки.

Примеры утечки данных

Начнем с банального примера — сотрудник отправлял документ с финансовой информацией по электронной почте, при этом перепутал адресата и не заметил ошибки. Сообщение ушло, конфиденциальные файлы попали в руки посторонних людей. Это пример утечки данных по неосторожности.

Вторая ситуация — умышленная утечка, инициированная сотрудником компании из личной выгоды. Перед увольнением инженер забрал собственные наработки, чтобы применить их на новом рабочем месте. Ему легко это удалось, поскольку сотрудники службы безопасности не контролировали сотрудников, которые были на хорошем счету.

Третий пример — сотрудник загрузил файл в облачное хранилище, которое было не предназначено для таких документов. Данные оттуда утекли в глобальную сеть и были скомпрометированы.

Четвертый пример — сотрудник перешел по фишинговой ссылке на сомнительный ресурс. В результате рабочий компьютер был заражен вредоносным ПО, что привело к утечке.

Последствия утечки данных

Результатами утечки становятся: финансовые проблемы (упущенная выгода, потеря денег со счетов и даже разорение), юридические последствия в виде штрафов и иных санкций, утрата репутации. Также компрометация засекреченных сведений сопряжена с ущербом бизнесу: потерей клиентов, отзывом контрактов с партнерами и подрядчиками, нарушениями бизнес-процессов и т.д.

Иногда последствия утечки данных бывают настолько глобальными, что компании приходится прекращать деятельность. Особенно часто это случается, если бизнес утратил много клиентов и не выдержал финансовых потерь.

Защита от утечек данных

Защита включает комплекс организационных и технических мер противодействия угрозам информационной безопасности:

Работа с персоналом: инструктажи, тренинги, семинары, посвященные актуальным угрозам и способам противодействия им. Также необходимо сформировать культуру информационной безопасности и донести до сотрудников важность надлежащего исполнения служебных обязанностей.
Проработка парольной политики: усиление паролей, их регулярная смена, организация правильного хранения.
Использование разных идентификационных данных для корпоративных сервисов.
Использование многофакторной аутентификации для доступа к объектам информационных систем.
Внедрение аппаратных и программных инструментов для борьбы с утечками данных. Базовый арсенал: межсетевые экраны, VPN-сервисы, антивирусы, шлюзы интернет-безопасности, DLP-системы.

Отдельно стоит сказать о роли DLP-систем в частности, продукта Solar Dozor в контуре информационной безопасности компаний. Это комплексное решение для мониторинга каналов передачи информации, где реализованы такие технологии, как файловый краулер, алгоритмы распознавания цифровых отпечатков и чтения файлов в графических форматах и многое другое. С их помощью можно обнаружить признаки конфиденциальных сведений в потоке коммуникаций персонала и отследить нарушения политик обращения с данными.

В системе реализована собственная уникальная технология — User Behavior Analytics (сокращенно — UBA), позволяющая проводить поведенческий анализ. С ее помощью можно выявлять аномальные действия сотрудников, отслеживать коммуникации, классифицировать персонал по паттернам поведения, определять инсайдеров, которые «никак» себя не выдают. Анализ происходит на базе массива сведений, накопленных системой за 1-3 месяца.

Еще один модуль Solar Dozor, который позволяет предотвращать утечки данных — Endpoint Agent. Он устанавливается непосредственно на рабочие станции и отслеживает подключения к Wi-Fi, использование программ и приложений, контролирует печать и копирование документов. В случае подозрительных действий агент блокирует те или иные процессы.

ЗАКЛЮЧЕНИЕ

Утечка данных — серьезный инцидент, который всегда имеет негативные последствия для компании. Чтобы свести риски к минимуму, многие крупные организации эксплуатируют системы DLP, представителем которых является продукт Solar Dozor — решение, где реализованы передовые технологии защиты от утечек и уникальные алгоритмы анализа поведения пользователей.