NTA и EDR: необходимость для мониторинга угроз или незаменимых нет?
Узнать большеУтечка персональных данных – одно из самых распространенных последствий недостаточно зрелой системы безопасности компании. Разглашение сведений о клиентах, сотрудниках и партнерах организации или попадание информации к хакерам может привести к существенным финансовым, юридическим и репутационным рискам, спровоцировать критические инциденты в сфере ИБ.
Сейчас активно набирают обороты торговые площадки в DarkNet, где злоумышленники обнародуют слитую информацию, торгуют ею, принимают с ее помощью заказы на киберпреступления. Чаще всего компании-жертвы даже не подозревают об этом, поскольку подобные каналы сбыта данных не обнаруживаются традиционными средствами обеспечения ИБ. Рассказываем, почему секретная информация может утечь, как установить причастных к этому лиц и где ее искать.
Утечка персональных данных в компании
Сначала уточним, что такое персональные данные (ПДн). Это информация, которая относится непосредственно к субъекту – конкретному человеку. Примеры таких сведений: личный адрес и телефон, фотографии, данные паспорта и банковских карт. То есть это информация, по которой можно идентифицировать конкретную персону. К слову, абстрактные номера телефонов и email-адреса не относятся к ПДн, поскольку нельзя с уверенностью сказать, кому они принадлежат.
Персональные данные условно делятся на четыре категории:
-
Сведения, обнародованные по согласию субъекта. Это могут быть любые наборы ПДн, с разрешения владельца опубликованные в общедоступных источниках (на сайтах, порталах и т. д.).
-
Специальные ПДн – информация, раскрывающая личность человека и его образ жизни. Например, это сведения о состоянии здоровья, судимости, религиозных взглядах. Такие данные обычно не фигурируют в открытом доступе, и чтобы с ними ознакомиться, нужно делать официальные запросы в соответствующие органы или лично опрашивать человека.
-
Биометрические ПДн – уникальные биологические и физиологические характеристики конкретного человека, позволяющие установить его личность. Это могут быть отпечатки пальцев, группа крови и т. д. Законодательство определяет, что такую информацию разрешено хранить с целью последующей идентификации персоны. К примеру, если на проходной офиса стоит камера с функцией сканирования лица, биометрические данные потребуются для распознавания сотрудников. Подобные сведения иногда необходимы для аутентификации в информационных системах.
-
Иные персональные данные – все то, что имеет отношение к конкретным людям, но не вошло в предыдущие категории. В частности, размер заработной платы, принадлежность к социальным группам и т. д.
Утечка персональных данных в компании – несанкционированное попадание информации в чужие руки (скажем, к конкурентам) или в открытый доступ. Обнародованные сведения могут быть использованы в корыстных интересах против организации или с целью навредить конкретному человеку.
Слитой может оказаться информация о сотрудниках компании, клиентах, партнерах, поставщиках. В лучшем случае данные просто появятся в общем доступе, в худшем – будут использованы злоумышленниками, например, с целью шантажа или переманивания сотрудников к конкурентам.
Источники утечки данных в компании
Основная причина утечек – неправильная обработка и хранение данных. Допустим, сотрудники могут по ошибке отправить важную информацию не по адресу. Вот еще вероятные причины:
-
Взлом базы данных.
-
Вредоносное ПО, в частности кейлогеры, которые регистрируют каждое нажатие клавиатуры.
-
Фишинговые атаки.
Часто утечки происходят не без участия инсайдеров – лиц, имеющих непосредственное отношение к компании. Ими могут быть сотрудники, которые намеренно сливают злоумышленникам засекреченные сведения. Такие поступки нередко совершаются из мести или по заказу конкурентов. Если действия инсайдера не удастся вовремя выявить с помощью средств обеспечения безопасности, он может в течение длительного времени сливать разные данные – от сведений о персонале до содержания коммерческих разработок.
Ответственность за утечку персональных данных в компании
ФЗ РФ № 152 «О персональных данных» в редакции от 27.07.2006 обязывает организации должным образом хранить, обрабатывать и защищать ПДн, поэтому ответственность за утечку сведений полностью ложится на компанию.
Статья 13.11 КоАП РФ гласит о наложении штрафов за различные нарушения при работе с персональными данными.
В статьях 81, 90, 192 ТК РФ говорится о дисциплинарной ответственности, которая касается сотрудников компании, виновных в инциденте. Если утечка произошла по ошибке работника, руководитель организации вправе применить наказание в виде выговора, штрафа, а иногда и увольнения.
Статья 15 ГК РФ регулирует гражданско-правовую ответственность сотрудников. Если инцидент повлек серьезные последствия, виновник утечки облагается штрафом и обязан возместить убытки.
В соответствии со статьей 137 УК РФ за утечку персональных данных в компании иногда наступает и уголовная ответственность. Так, за сбор и распространение сведений, касающихся личной и семейной тайн, предусмотрены достаточно большие штрафы, принудительные работы или арест. Аналогичное наказание будет назначено за незаконный доступ к защищаемым сведениям, их модификацию, блокировку или уничтожение. Виды нарушений и санкции перечислены в статье 272 УК РФ.
Как хакеры сливают данные
Если данные не были намеренно переданы киберпреступникам с целью подготовки атак, то они могут быть использованы далеко не сразу. Хакеры размещают объявления о продаже или обмене украденных сведений в закрытых группах Telegram, на специальных площадках в DarkNet, в социальных сетях. Там же публикуются заказы на проведение кибератак в отношении конкретных организаций.
Таких площадок нет в открытом доступе, поэтому далеко не сразу удается обнаружить утечку персональных данных в компании. Соответственно, время играет против организаций, которые не успевают подготовиться к возможным инцидентам, наказать виновных и усилить меры безопасности.
Как обнаружить утечку
Мониторинг DarkNet – сложная задача, которая не под силу традиционным инструментам ИБ. Для раннего обнаружения утечек нужно использовать специальное решение, к примеру Solar AURA. В него включен модуль «Даркнет», разработанный для поиска каналов слива данных.
Функции инструмента:
-
Мониторинг сетевых каналов (групп в Telegram, сообществ хакеров, торговых площадок) с целью выявления сообщений о продаже слитых данных, заказов на кражу сведений и подготовку кибератак в отношении организаций.
-
Сбор информации о пользователях, разместивших подобные объявления.
-
Cбор дополнительных фактов о случившихся инцидентах (например, с целью выявления инсайдеров).
Система защиты предполагает автоматизированный и ручной поиск сведений в реальном времени. Результаты мониторинга оцениваются опытными экспертами в сфере информационной безопасности, которые помогут организации-заказчику предотвратить кибератаку или расследовать инцидент.
Заключение
Утечка персональных данных в компании неизменно повлечет за собой проблемы в виде административной (а иногда и уголовной) ответственности, кибератак на организацию. Чтобы минимизировать последствия, нужно как можно скорее обнаружить каналы сбыта информации и установить причастных к утечке лиц. Это не получится сделать с помощью традиционных инструментов ИБ, которые не предназначены для мониторинга пространства «темного интернета» – DarkNet, а именно там базируются группировки хакеров, сливающих персональные данные и другие конфиденциальные сведения.
Коммерческий центр противодействия кибератакам Solar JSOC предлагает решение Solar AURA для оперативного обнаружения утечек. Инструмент обеспечит круглосуточную защиту от внешних цифровых угроз, а эксперты помогут разобраться в причинах инцидентов и исключить подобные случаи в будущем.
