В интернете продают и раздают бесплатно тысячи баз данных, добытых нелегальным путем из коммерческих организаций. Сегодня уже никто не может быть уверен, что личные данные, включая паспортные, не стали достоянием потенциальных мошенников. С помощью чужих паспортных данных мошенники могут открыть электронный кошелек, купить SIM-карту, зарегистрировать предприятие или взять кредит. Во всех этих случаях нести ответственность будет по формальным основанием именно тот человек, чьими документами воспользовались аферисты.
"Случаи, когда злоумышленники целенаправленно взламывают защищенную информационную систему, конечно, случаются, но всё же они достаточно редки. Наиболее часто причиной утечки становится именно человеческий фактор, причем в самых разных формах: начиная от умышленных действий недобросовестного сотрудника, который хочет заработать на продаже корпоративной базы или "пробиве" абонентов, заканчивая ошибками в настройке программного обеспечения, приводящими к попаданию конфиденциальных сведений в общий доступ. Мелкие инциденты утечек происходят очень часто: в интернете оказываются сведения о покупателях с сайтов интернет-магазинов, списки участников различных акций и мероприятий" – утверждает Игорь Сергиенко, заместитель генерального директора компании Infosecurity.
Опасность может представлять как оператор в отделе сотового оператора или банка с минимальным доступом в базу данных, но который принимает ваши заявки и просматривает ваш паспорт, так и сотрудник с более привилегированным доступом: бухгалтер, системный администратор или один из руководителей.
В 2019 г. объем украденных персональных данных россиян из баз организаций госсектора и частных компаний вырос в 6,5 раза в сравнении с 2018 г. Всего в 2019 г. было скомпрометировано 172 млн записей — больше, чем жителей в стране (146,7 млн человек, согласно официальной статистике на 1 января 2020 г.).
Почти треть всей украденной личной информации россиян в 2019 г. – это паспортные данные (30,8%). Также злоумышленники активно похищают номера телефонов, иногда с детализацией разговоров, на них приходится 32,5% всех случаев.
По словам руководителя отдела аналитики информационной безопасности Positive Technologies Евгения Гнедина, телефонные номера и паспортные данные, особенно отсканированные копии документов, очень востребованы у злоумышленников. Один отсканированный паспорт на теневом рынке киберуслуг может стоить от $2, а если к нему прилагаются сканы других документов, телефон, адрес и другие данные, цена существенно увеличивается, отметил он.
Немалая доля краж информации в этом году связана с пандемией коронавируса — зафиксированы десятки случаев утечек данных больных с COVID-19, контактных лиц, нарушителей режима самоизоляции и туристов, вернувшихся из-за рубежа во время эпидемии. Этой весной InfoWatch насчитала в России более 20 инцидентов, связанных с пациентами с таким диагнозом. Виновниками часто могут быть сотрудники медицинских учреждений, утверждают в компании. Они распространяют персональные данные в мессенджерах и соц. сетях.
Главную угрозу для организаций и компаний теперь представляют не хакеры, а собственные сотрудники.
По вине или неосторожности сотрудников компаний в мире в 2019 г. было скомпрометировано 9,87 млрд записей пользовательских данных, а в результате внешних утечек – 4,7 млрд.
Самыми провальными оказались телекоммуникационные и IT-компании, а также промышленные и транспортные предприятия.
По данным "Лаборатории Касперского", 52% юридических лиц по всему миру считают сотрудников наибольшей угрозой системе корпоративной безопасности.
"Из-за невнимательности и низкой цифровой грамотности сотрудники проходят по фишинговым ссылкам, используют небезопасные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками. Платят злоумышленникам-шантажистам [выкуп] за ключи для расшифровки данных, которые обычно всё равно не получают", — рассказала представитель платформы для повышения цифровой грамотности Kaspersky Security Awareness Елена Молчанова.
Сами работники зачастую даже не подозревают об опасности. В 2019 г. 98,1% пользовательских данных в компаниях и гос. органах скомпрометировали в результате внутренней утечки случайно.
Наиболее "проблемным" звеном в системе информационной безопасности оказались рядовые сотрудники — 88% всех внутренних утечек, тогда как на долю привилегированных пользователей в 2019 г. пришлось лишь 12%. К привилегированным пользователям относят топ-менеджмент и системных администраторов, чьи права доступа к информации практически не ограничены.
Злонамеренный нарушитель обычно забирает информацию, представляющую секреты производства и ноу-хау (88% случаев), государственную тайну (85%) и коммерческую тайну (80%).
В 2019 г. с утечками данных столкнулись 27% российских компаний с числом сотрудников до 50 человек (данные "Лаборатории Касперского"). За год этот показатель вырос на 12%. Примерно такая же тенденция наблюдается и в крупном бизнесе. Согласно опросу 2018 г., с утечкой столкнулась каждая четвертая корпорация, а по итогам исследования 2019 г. — уже каждая третья (34%).
Доля случайных утечек через сеть в 2019 г. выросла до 61,6%. Значительная доля случайных утечек — 16,4% — до сих пор приходится на электронную почту. Чуть реже информацию воровали на бумажных носителях — 13,4%. Зато на съемных, наподобие USB-флешек, секреты работодателей красть почти перестали — лишь 2,2% случаев. Также изредка (2,6%) встречаются утечки в результате потери или кражи оборудования.
Случаи утечек.
1. В октябре 2019 г. в интернете нашли 4 терабайта персональной информации 1,2 млрд подписчиков Facebook, Twitter, LinkedIn и GitHub. Среди скомпрометированных сведений, впрочем, не оказалось паролей, данных банковских карт или номеров социального страхования. Зато утекли профили сотен миллионов пользователей соц. сетей, а также данные о карьере людей, предположительно скопированные из LinkedIn. В дополнение на сервере хранились почти 50 млн уникальных телефонных номеров и 622 млн уникальных адресов электронной почты.
2. В Австралии биофармацевтическая компания CSL в октябре 2019 г. подала иск против своего бывшего исполнительного директора Джозефа Чао. Истец утверждает, что топ-менеджер ушел в конкурирующую компанию Pharming, прихватив с собой множество конфиденциальных файлов. Чао покинул CSL 23 сентября, но накануне отправил на свою личную электронную почту различную конфиденциальную информацию, включая данные, составляющие коммерческую тайну. Кроме того, Джозеф Чао скопировал информацию на USB-накопитель.
3. В США неизвестный похитил личные банковские данные 29 тыс. сотрудников, работавших в Facebook в 2018 г. Инцидент произошел 17 ноября 2019 г. Злоумышленник вскрыл автомобиль бухгалтера по начислению зарплаты и унес с собой находившуюся в салоне сумку с жесткими дисками. На них без использования шифрования была записана информация о сотрудниках: имена, номера банковских счетов, последние четыре цифры номеров социального страхования (SSN), а также сведения о зарплатах, бонусах и участии в акционерном капитале.
4. В США бывший IT-специалист одной из клиник Нью-Йорка в декабре 2019 г. признался суду в краже конфиденциальной информации коллег. По данным американской прокуратуры, Ричард Лириано на протяжении пяти лет незаконно собирал данные о сотрудниках больницы. Удалось доказать кражу по меньшей мере 70 учетных записей электронной почты коллег. Данные Лириано использовал для доступа к социальным сетям и поиску откровенных фотографий и видео в скомпрометированных аккаунтах. Он также взломал десятки рабочих компьютеров с защищенной медицинской информацией и персональными данными пациентов. На ликвидацию последствий клиника потратила порядка $350 тыс.
5. Суд присяжных в Коннектикуте (США) в декабре 2019 г. признал компанию Charles River Analytics (CRA) виновной по делу о хищении коммерческой информации у фирмы LBI. Ответчику предстоит выплатить истцу почти $840 тыс. В центре расследования находились бывшие сотрудники LBI Джаред Спаркс и Джей Уильямс. Прокуратура предъявила им обвинения в том, что они украли коммерческие секреты бывшего работодателя в интересах Charles River Analytics. Установлено, что Спаркс загрузил тысячи конфиденциальных файлов LBI в свой личный аккаунт на облачном файловом хостинге Dropbox. В этих документах были бухгалтерские сведения и инженерная документация. Вскоре после того как Спаркс присоединился к CRA, он скачал из облака украденные файлы.
6. Gеneral Motors в декабре 2019 г. обвинила южнокорейскую Hyundai Motor в том, что та подкупила одного из руководителей GM Брайна Латуфа ради доступа к секретной информации о разработке электромобилей и беспилотных транспортных средств. В GM считают, что Латуф незаконно получил конфиденциальную информацию о технологиях безопасности автомобилей, передовых функциях помощи водителю и процессах разработки автономных транспортных средств. Согласно иску, перед уходом из General Motors топ-менеджер скопировал секретные данные с корпоративного ноутбука на USB-носители.
7. В 2019 г. в интернете оказались данные оператора фискальных данных (ОФД) "Дримкас" (14 млн записей), в которых содержались адреса магазинов с названиями и содержимое чеков, а также микрофинансовой компании "ГринМани" (более 1 млн записей).
Источник 1. Источник 2. Источник 3. Источник 4.
Как малому бизнесу обеспечить информационную безопасность?
Громкие случаи утечек персональных данных в России в 2020 г.
Азбука кибербезопасности.
Несколько историй о том, как случайно конфиденциальную информацию делали достоянием общественности.
Социальная инженерия, или как "взломать" человека.