Все чаще мы видим новости о взломе ресурсов и потере персональных данных. Даже наши данные оказываются в свободном доступе. Кому нужно взламывать ресурсы и зачем красть персональные данные? Обсудили эти вопросы с руководителем отдела ИБ Виталием Борка.
1. Какой наиболее распространенный сценарий утечки персональных данных? На каком этапе она происходит и на ком лежит основная вина?
Основной сценарий или, наверное, правильнее сказать основной канал утечек — это подключенные к интернету корпоративные системы и облачные хранилища. Утечки происходят как по причине неправильной настройки доступа к хранилищу или неправильной настройки прав доступа пользователей, так и в результате их взлома.
Часто крупные утечки происходят даже без взломов, а по недосмотру. По разгильдяйству исполнителей оказывались в открытом доступе базы данных, содержащие персональные данные людей. Последняя громкая утечка данных была из сервиса по доставке еды - любой желающий мог подключиться и загрузить все содержимое себе. В данном случае вина лежит на том, кто конфигурировал эту базу и настраивал доступ к ней, то есть на системных администраторах.
2. Какие данные крадутся чаще всего и как используются в дальнейшем.
Я начну со второй половины вопроса. Данные чаще всего крадутся с целью дальнейшей их перепродажи, то есть тот, кто крадет данные редко их самостоятельно использует. Он просто формирует архив информации и говорит, что у меня есть данные, условно - 100 000 пользователей такого-то ресурса. Кому интересно - стартовая цена такая, а дальше, кто больше предложит. Есть целые тематические форумы, в основном в даркнете, посвященные купле-продаже данных.
Какие данные чаще крадутся? Наверное, не совсем корректная формулировка.
Данные крадутся те, которые в первую очередь легко украсть: все, что плохо лежит уже давно украдено. Не важно в какой области работает система или какого характера данные: медицинские, коммерческие или другие. Понятно, что есть там наиболее интересные категории данных: связанные с платежными системами, картами или учетные данные каких-то банковских приложений. Такие вещи очень хорошо защищаются, и данные из таких систем крадутся в основном через целевые атаки, когда против конкретной системы работает группа злоумышленников и изучает уязвимости этой системы. Проводят атаки и получают несанкционированный доступ к данным.
Отдельно стоит сказать о том, что есть рынок точечной «пробивки» людей, где о человеке можно узнать практически любую информацию, начиная от ФИО и паспортных данных, заканчивая наложенными на него запретах, браках, разводах и т.д. Можно узнать всё, что хранится в базах либо государства, либо каких-то коммерческих структур. Опять же в даркнете есть тематические форумы, где недобросовестные сотрудники различных госорганизаций, правоохранительных органов или лица, имеющие доступ к закрытым базам, предоставляют информацию о человеке за деньги.
3. Какая модель поведения на ваш взгляд будет наиболее приемлем для компании, которая допустила утечку данных?
Модель поведения наиболее приемлемая для компании, которая допустила утечку, как и в любой другой ситуации - вести себя адекватно. Для российских организаций, особенно крупных, самая распространенная модель поведения — это отрицание очевидного. Например, у крупного банка была утечка данных миллионов кредитных карт. И банк говорил, что в качестве примера злоумышленники выложили 100 000. Вот мы считаем, что на самом деле утекло 100 000.
Идёт занижение масштабов и принижение важности инцидента — это сейчас распространенная практика. А хорошей практикой считается, когда компания адекватно оценивает последствия произошедшего. Извиняется за произошедшее перед теми, кто мог понести или понес ущерб в результате этого взлома и активно работает в сторону расследования произошедшего. И принимает меры и рассказывает о них для недопущения подобных инцидентов в будущем.
Благодарим Виталия за уделённое время.
Если у Вас есть вопросы - пишите в комментариях, обязательно ответим.
#системный интегратор #ИБ #информационная безопасность #персональные данные