Так совпало, что два ведущих российских разработчика DLP-систем — InfoWatch и Zecurion — выпустили свои аналитические отчеты, где подведены итоги 2015 года, касающиеся ситуации с утечками информации в мире и в России. Напрямую сопоставлять результаты этих исследований нельзя, поскольку они используют разный инструментарий и подходы, однако выводы обеих компаний во многом схожи.

Сколько информации утекает

Прежде всего констатируется рост количества инцидентов. По оценке Zecurion он составил без малого 70%. Рост числа утечек по версии InfoWatch был куда более скромным: всего 7,8%. Однако аналитики из Zecurion зафиксировали 868 случаев утечек, тогда как в InfoWatch обнаружили 1505 инцидентов (на рис. 1 можно видеть динамику потерь данных за последние девять лет). Вместе с тем даже эта цифра не является полной. По оценке генерального директора InfoWatch Натальи Касперской, достоянием гласности становится не более десятой доли процента от реального количества утечек. Владимир Ульянов, руководитель аналитического центра компании Zecurion, также признает, что обнародуется лишь очень небольшая часть реального количества инцидентов, причём даже в тех странах, где сообщение информации об утечке является требованием законодательства, например в США.

При этом по оценке InfoWatch свыше 84% инцидентов приходилось на масштабные утечки, в ходе каждой из которых терялось не менее 10 млн записей. Это в полтора раза больше, чем годом ранее.

Вырос и объем данных, который приходится на одну утечку. По итогам 2015 года он составил 640 тыс. записей, что на 16% превысило результат 2014-го. При этом объем, связанный с деятельностью внутреннего злоумышленника, составил в среднем 340 тыс. записей, тогда как на утечку, произошедшую по вине внешних нарушителей, приходилось уже 1,26 млн записей. Однако ущерб напрямую зависит от ценности информации, и судить о потерях только по объему скомпрометированных записей аналитики не рекомендуют. Бывали случаи, когда атакующие злоумышленники просто не поняли, куда попали, и не воспользовались данными, которые оказались практически у них в руках.

Оба аналитических центра констатируют рост атак со стороны внешних злоумышленников. По данным InfoWatch, на них приходится без малого треть от общего количества инцидентов: 32,2%. Но среди масштабных утечек на долю атак извне приходится уже 71%. Zecurion обращает внимание, что наиболее масштабные утечки 2015 года, произошедшие в розничной сети Home Depot, а также связанные с деятельностью киберкриминальной группировки Carbanak, целью которой являлось множество банков по всему миру, стали результатом именно внешних атак. А только прямой ущерб от Carbanak составил более миллиарда долларов. Среди других компаний, пострадавших в ходе хакерских атак, отмечены мобильный оператор T-Mobile и интернет-агентство знакомств Ashley Madison, которому инцидент с кражей данных стоил выхода на IPO. Жертвами атак стали такие компании, как Anthem, Apple, AT&T, British Airways, DreamWorks, Electronic Arts, Equifax, FIA, Google, HBO, HSBC, HTC, JP Morgan Chase, Kia Motors, Lenovo, Lufthansa, Microsoft, Morgan Stanley, NVIDIA, PayPal, PwC, Samsung, Starbucks, Tele2, Toyota, Twitter, Uber, United Airlines, Yahoo. Утечки данных зарегистрированы даже в спецслужбах АНБ, которое по иронии судьбы занимается в том числе и противодействием такого рода активности, и в ЦРУ. В связи с утечками упоминались и известные политики — Дмитрий Медведев, Хилари Клинтон, Джеб Буш.

Нельзя, однако, недооценивать и деятельность внутренних нарушителей, хотя бы она и не привела пока к серьезным последствиям. «Наиболее ярким трендом 2015 года в области внутренних угроз стоит признать пресловутый экономический кризис. Его влияние оказалось поистине определяющим. Снижение реальных доходов, масштабные сокращения и в целом нестабильная ситуация на рынке труда отразились на настроении и поведении сотрудников многих компаний. Опасаясь за собственное будущее, работники принялись копировать доступную конфиденциальную информацию. Часто без злого умысла и без понимания, зачем эта информация нужна, просто на всякий случай. Это существенно увеличивает риски утечки», — говорится в отчете Zecurion.

В Zecurion обращают внимание и на тот факт, что в результате банкротства компаний вследствие кризиса возрастает риск утери данных как на бумажных носителях, так и на накопителях ПК, серверов, СХД. Это может представлять известную опасность для частных лиц и предприятий, которые были клиентами таких учреждений. Тем более, что к уничтожению данных подходят крайне халатно даже в военных структурах. Так, несколько лет назад стало известно, что в аппарате блока НАТО при продаже или утилизации ПК и серверов в 75% случаев нарушается действующий регламент уничтожения информации на накопителях.

По данным InfoWatch злонамеренные и случайные утечки распределились практически равномерно. По оценке Zecurion доля случайных все же несколько выше. Но обе компании предостерегают, что и ненамеренная утечка может причинить существенный ущерб. Особенно если речь идет об особо охраняемой информации. В качестве примера такого инцидента приводится случай, когда сотрудник одной из авиакомпаний Кении в письме другим сотрудникам разгласил информацию о деталях визита президента США в эту страну. Или утечка сведений о 191 миллионе американских избирателей, которая произошла вследствие ошибки конфигурирования базы данных. В итоге вся эта информация попала в публичный Интернет.

Хотя иногда причиной утечек бывает и извечное «хотели как лучше, а получилось как всегда». Так, в марте 2015-го паспортные данные ряда членов Совета Федерации оказались в конкурсной документации на предоставление страховых услуг. Информацию эту разместил аппарат верхней палаты российского парламента.

Что утекает

Как и прежде, основную часть утерянной информации составляют персональные данные (рис. 2, 3). «В 2015 году только по официальным сведениям объем скомпрометированных данных достиг почти 1 млрд записей. Теоретически в руках злоумышленников уже сосредоточены данные каждого, кто когда-либо пользовался пластиковой картой, мобильным телефоном, выходил в Интернет и что-то там заказывал», — комментирует Сергей Хайрук, аналитик из компании InfoWatch.

В InfoWatch зафиксирован заметный рост утечек данных, которые составляют государственную тайну. О некоторых таких инцидентах уже было сказано выше.

Не теряется интерес и к информации, составляющей коммерческую тайну. Такого рода инциденты всегда имели место, и они часто наносили весьма большой ущерб. К примеру, потери от кражи исходного кода поисковой системы «Яндекс» могли составить миллиарды в твердой валюте. Однако эта попытка была пресечена, а виновник привлечен к ответственности. А вот Mail. ru повезло меньше, и один из ее конкурентов запустил аналогичную услугу на несколько часов раньше назначенной даты анонса.

Иногда инсайдеры готовы продать информацию за ничтожную сумму. Например, сотрудники Ижевского автозавода всего за 200 рублей продали блогеру фотографии новейшей модели задолго до ее официального запуска в серию.

Бизнес-критичная информация утекала не только из российских компаний. Так, в результате утечки квартального отчета фирмы Twitter курс ее акций снизился на 18%. Ущерб составил несколько миллиардов долларов.

Характер инцидентов по оценке InfoWatch приведен на рис. 4. Как отмечают аналитики, доля кражи данных с целью дальнейших махинаций с ними несколько снизилась по сравнению с прошлым годом. Как правило, речь идет о банковском фроде или использовании похищенной информации для оформления потребительских кредитов на посторонних лиц. Типичным примером такого нарушителя является сотрудница одного из госпиталей штата Флорида, которая совершала покупки, используя данные своих сослуживцев.

На долю инцидентов, связанных с несанкционированным доступом к данным, которые не нужны сотрудникам для их непосредственной работы, пришлось 7,7%. Самой громкой из подобного рода утечек стала деятельность служащего одного из швейцарских банков, который продал французским правоохранительным органам информацию о тех, кто использовал счета в этом банке для сокрытия доходов от налогообложения.

Каналы утечки

Основные пути, по которым информация покидает пределы компаний, приведены на рис. 5 и 6. При этом и в InfoWatch, и в Zecurion констатируют тот факт, что неуклонно уменьшаются или по крайней мере не растут утечки данных практически по всем каналам, кроме Web и облачных сервисов, поскольку их сложнее всего контролировать с помощью технических средств. По данным InfoWatch, именно сеть в широком смысле слова применяли в 70% инцидентов с доказанным умыслом. В ходе же неумышленных утечек доля всех каналов распределялась практически равномерно.

По данным Zecurion, за последние три года количество инцидентов, связанных с нарушением норм при отправке оборудования в ремонт, на продажу или утилизацию, снизилось вдвое, и это, считают аналитики, свидетельствует о росте зрелости и осведомленности в области информационной безопасности (ИБ). Хотя, как показывает характер типичных нарушений норм ИБ (см. рис. 7), профильным службам еще есть над чем работать. Результат, увы, красноречив и не нуждается в комментариях.

Отраслевая специфика

Несмотря на то что данные Zecurion и InfoWatch заметно различаются (см. рис. 8–10), общие выводы аналитиков из обеих компаний в целом схожи: злоумышленники сосредотачивают свои усилия на тех отраслях, где данные проще украсть. В деталях же есть различия. Так, в Zecurion в качестве основной зоны риска выделяют сферу розничной торговли: «Если раньше большинство атак киберпреступников было направлено против финансовых корпораций, то сейчас вектор сместился в сторону розницы. Торговые сети оказались более уязвимыми, а объемы и полнота информации во многих случаях не уступают банкам». При этом отмечается довольно существенный рост доли инцидентов, приходящихся на госсектор.

Аналитики из InfoWatch также выделяют розницу как отрасль, к которой злоумышленники проявляли самый высокий интерес. Однако на сферу высоких технологий, к которой отнесены интернет-компании и операторы связи, приходится наибольший удельный вес скомпрометированных записей, тогда как в количественном отношении доля этой отрасли относительно невелика. В тройку лидеров попал и транспорт. Именно в этих отраслях более половины соответствующего рода инцидентов было связано с доказанным умыслом. А вот в образовании и медицине ситуация обратная: довольно большое количество инцидентов компенсировалось относительно скромными объемами потерь.

Юрий Захаров, системный инженер Fortinet

Соглашусь с коллегами из InfoWatch и Zecurion в том, что инцидентов становится всё больше. Сегодня каждая компания независимо от размера и значимости может пострадать от взлома.

С моей точки зрения именно ослабление защиты в угоду удобству пользователя часто приводит к взломам и утечке информации.

Растет количество популярных онлайн-сервисов, развиваются интернет-банкинг и облачные хранилища. Все эти ресурсы созданы для того, чтобы людям удобно было работать, но нельзя забывать, что они могут оперировать конфиденциальной информацией. Сетевая инфраструктура должна быть защищенной, она должна защищать себя и своих пользователей, поскольку именно сеть в настоящее время является основным каналом утечки данных.

Часто можно встретить ситуацию, когда владелец смартфона оплачивает покупки в интернет-магазине, подключившись к бесплатному Wi-Fi, например, в зале ожидания аэропорта; при этом далеко не каждый пользователь обладает хотя бы начальным уровнем сетевой грамотности и в состоянии заметить, что, к примеру, SSL-сертификат сервера был подменен.

Почему же сети в аэропортах и других публичных местах, как правило, не имеют механизмов аутентификации и шифрования? Ответ прост: построить и эксплуатировать такую сеть проще и дешевле, а информационная безопасность клиентов не является для владельца сервиса основным приоритетом. Пользователь должен сам позаботиться о защите передаваемых данных.

С другой стороны, и в крайности впадать не стоит, ведь сложность — это враг безопасности. Перед ИТ-службами компаний стоят задачи защиты от внешних и внутренних угроз, и выполнять их в наше время не просто. Количество устройств, имеющих доступ в Интернет, растет в геометрической прогрессии. Беспроводные сети и приложения, принципы IoT и BYOD буквально ворвались в нашу жизнь. Современные корпоративные сети уже не имеют физического периметра и требуют комплексного подхода к защите.