74 процента организаций республики сталкивались с попытками слива данных в 2023 году, и только 20 процентов из них готовы оповестить клиентов и партнеров об утечках. Причиной умалчивания чаще всего становится страх потери доверия.
Только 20 процентов компаний Татарстана информируют клиентов и партнеров об утечке данных. Коммерческие организации чаще признаются в инцидентах, чем государственные. Такие данные получил разработчик средств информационной безопасности «СерчИнформ», опросив директоров, руководителей, специалистов по информационной безопасности государственных и коммерческих организаций всех отраслей.
По данным исследования (есть в распоряжении «Вечерней Казани»), 80% компаний после утечки данных предпочитают провести закрытое расследование, а 35% оповестить регулятора. Только 20% персонально предупредят об инциденте партнеров и клиентов, из них почти 87% – частные организации, государственные признаются менее охотно (13%). Однако никто не готов принести публичные извинения и оповестить общественность через СМИ.
Число внешних атак также выросло – об их увеличении сообщили 40% компаний Татарстана. Количество внутренних инцидентов увеличилось в 15% компаний. В целом, с инцидентами по вине сотрудников сталкиваются 74% компаний республики. В большинстве случаев утечки информации, слив и их попытки хотя бы раз фиксировали в каждой второй организации. Чаще всего утекает информация о клиентах и сделках. Эти инциденты отметили почти в половине компаний.
Согласно результатам опроса, в 48% случаев компании фиксировали информацию о клиентах и сделках. 41% компаний сталкивались с попытками слива технической информации, 35% ответили, что у них пытались украсть персональные данные, а 35% фиксировали попытки кражи финансовой информации.
Исследование «СерчИнформ» показывает, что в 74% случаев виновниками утечек становятся рядовые сотрудники. Не всегда утечки информации происходят по злому умыслу, инциденты случаются по невнимательности. Снизить подобные риски помогает обучение персонала: пользователям рассказывают, что такое фишинговые письма и сайты, как работают бэк-атаки, для чего нужна цифровая гигиена.
– Компаниям Татарстана стоит больше внимания уделять обучению. 31% компаний отметили, что их персонал плохо подготовлен в этом вопросе, 46% считают, что средне, и только 22%, что хорошо (используют сильные пароли, не передают коллегам доступ к своей учетной записи), – заметил руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.
Напомним, что в январе цепочка кибератак прокатилась по татарстанским чиновникам. По словам экспертов, в уязвимости системы всегда виноват человеческий фактор, однако исследования компаний, специализирующихся на кибербезопасности, показывают, что от атак злоумышленников не защищены и компании.
Лучше признаться
Организации, которые не сообщают клиентам об утечках, рискуют получить больше негатива, так как люди позитивнее воспринимают тех, кто своевременно сознался и предупредил, чем тех, кто просто оправдывается после того, как информация об утечке попадет в СМИ, уверен Парфентьев.
– Во-вторых, велик риск подвести своих клиентов. Пользователи не смогут вовремя поменять пароли или другие данные, если не узнают об утечке. Из-за чего могут легко стать мишенью для мошенников. Киберпреступники могут использовать информацию для спам-звонков, фишинговых рассылок и социальной инженерии с целью кражи финансов или данных, – заявил эксперт и добавил, что компаниям стоит быть более открытыми.
С момента выявления утечки персональных данных компании должны уведомлять об инциденте Роскомнадзор, причем в сжатые сроки. На уведомление дается 24 часа, а на предоставление результатов внутреннего расследования – 72 часа. Как правило, 80% компаний проводят закрытое внутреннее расследование, анализируют объем утекшей информации, разбирают причины и оценивают риски, чтобы в будущем избежать подобной ситуации.
– Также важно честно и открыто сообщить об инциденте клиенту, принести извинения. Кроме того, необходимо дать советы, что делать клиентам, если произошла утечка их персональных данных, чтобы они смогли вовремя предпринять меры по своей защите, – подчеркнул эксперт.
Так почему компании не сообщают об утечках, невзирая на риск потери доверия? По словам ведущего эксперта сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity a Softline company Владислава Иванова, компании могут не оповещать об утечках информации по разным причинам: некоторые компании опасаются негативного воздействия на свою репутацию и бренд, потери доверия клиентов и партнеров, а также возможных санкций со стороны регуляторов (152 ФЗ, 13.11 Кодекса Российской Федерации об административных нарушениях), если утечка информации произошла из-за недостаточных мер безопасности организации.
– Для клиентов и партнеров атакованных компаний утечка конфиденциальной информации может иметь серьезные последствия. От кражи личности до финансовых потерь в результате мошенничества, – предостерег эксперт.
Компании умалчивают об утечках данных из-за боязни репутационного ущерба и потенциальных финансовых потерь, заявил директор по стратегии ИК «Финам» Ярослав Кабаков. Признание в проблемах с безопасностью может привести к утрате доверия со стороны клиентов и партнеров, а также к усилению интереса со стороны хакеров.
Компаниям, в которых произошла утечка, могут грозить серьезные последствия: от штрафов со стороны регуляторов до судебных исков со стороны пострадавших клиентов. Утечка данных также может привести к длительным проблемам с доверием клиентов и постоянному ущербу для бренда.
– Открытое обсуждение утечек данных может помочь компании восстановить доверие и показать прозрачность в решении проблем, что может быть предпочтительнее в долгосрочной перспективе. С другой стороны, умалчивание о случившемся может привести к еще большим репутационным убыткам, если информация об утечке станет доступна публично через иные источники, – предупредил Кабаков.
Помимо штрафов, компании могут столкнуться с уходом клиентской базы и, как следствие, уменьшением доходов, так как доверие будет безнадежно подорвано. По словам эксперта, выбор стратегии реагирования на утечки зависит от многих факторов, включая законодательство, степень утечки и корпоративную культуру.
Наказание за допущение утечек ужесточат
В настоящее время компании, допустившие утечку персональных данных, должны понести наказание по 1-й части статьи 13.11 КоАп. Штраф небольшой: от 60 до 100 тысяч рублей для юридических лиц. Также клиенты могут объединиться и подать коллективный иск, чтобы потребовать компенсацию от компании. Хотя вероятность получить заявленную в иске сумму мала, зачастую это становится действенным способом привлечь компании к ответственности.
Однако наказание за допущение персональных данных планируют ужесточить. В декабре 2023 году депутаты Госдумы внесли законопроекты с пакетом поправок в КоАП России и Уголовный кодекс, которые предусматривают ужесточение наказания за допущение утечки персональных данных. Размер штрафов для должностных лиц предлагают увеличить от 800 тысяч до 2 миллионов рублей, для юридических – 3–15 миллионов. В отдельных случаях ответственность будет выражаться в десятках и сотнях миллионов рублей.
Один из авторов законопроектов, первый заместитель председателя Совета Федерации России Андрей Турчак пояснил, что многие компании воспринимают личную информацию людей как способ заработка и не охраняют ее должным образом.
– Действующие меры ответственности за утечку данных (максимум 100–300 тысяч рублей для юрлиц) мало кого стимулируют. В результате сегодня на черном рынке круговорот баз с персональными данными оценивается в 20 тысяч. Они содержат информацию примерно о 80% населения России. По самым скромным оценкам, ущерб от утечек только в прошлом году составил около 8 миллиардов рублей, – сказал политик.
К уголовной ответственности авторы поправок предложили привлекать как профессиональных киберпреступников, так и рядовых сотрудников компаний, которые решили заработать на сливе информации. Наказание в виде лишения свободы до 8 лет предусмотрели для тех, кто вывозит данные граждан России за границу для их продажи или передачи. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или речь идет об организованной преступности, то злоумышленнику может грозить до 10 лет тюрьмы.
Как хакеры получают доступ к данным и зачем они это делают?
По данным исследования «Лаборатории Касперского», за последние два года подавляющее большинство организаций в России (69%) пострадали как минимум от одного инцидента кибербезопасности. Больше половины из них (58%) оцениваются как критические.
Эксперт по кибербезопасности «Лаборатории Касперского» Татьяна Шишкова пояснила, что большинство кибератак мотивированы не политическими и иными причинами, а целью заработать как можно больше денег. Подвергнуться кибератакам может любой бизнес.
Наиболее распространенной угрозой для бизнеса эксперт назвала шифровальщиков, когда злоумышленники шифруют ценные данные и требуют выкуп за их расшифровку. Если же компания отказывается платить за расшифровку (например, в компании регулярно проводится процедура резервного копирования и данные можно восстановить из бэкапов), то злоумышленники нередко переходят к угрозам публикации данных в Интернете.
– Нужно отметить, что выполнение требований злоумышленников ничего не гарантирует: данные могут быть все равно слиты в Интернет, а компания может быть атакована повторно, – заметила эксперт.
Аналитик сервиса Kaspersky Digital Footprint Intelligence Игорь Фиц обратил внимание, что значительная часть утечек в 2023 году происходила в результате эксплуатации уязвимостей в системе разработки и управления сайтами.
Злоумышленники могут использовать скомпрометированные учетные записи для получения доступа к корпоративным ресурсам компаний-жертв. Эксперт по информационной безопасности подчеркнул, что бизнес должен заранее разработать план по реагированию на случай кибератаки или публикации украденных данных, чтобы снизить ущерб в случае инцидента, и использовать превентивные меры, например, мониторинг внешнего периметра компании.
Чаще всего хакеры проникают в организацию через уязвимости в периметре сети, фишинговые письма и скомпрометированные аккаунты, рассказала Татьяна Шишкова. Реже встречаются атаки через цепочку поставок и с использованием уязвимостей нулевого дня (zero day). Почти 70% попыток эксплуатации уязвимостей за период с ноября 2022-го по октябрь 2023 года были нацелены на продукты Microsoft Office.
– Наиболее популярные векторы проникновения злоумышленников в организацию наглядно демонстрируют, что в первую очередь необходимо позаботиться о повышении цифровой грамотности сотрудников (например, регулярно проводить симуляции фишинговых атак, чтобы сотрудники знали, как распознавать такие атаки и что делать в случае их обнаружения), а также своевременно обновлять операционную систему и популярное программное обеспечение, – поделилась рекомендациями эксперт.
Объем атак на бизнес стабильно растет год к году. Так, в 2023 году МТС RED SOC выявил более 50 тысяч кибератак на российские компании. Это на 43% больше, чем за 2022 год. Во втором полугодии прошлого года хакеры атаковали российские компании на 58% чаще, чем в первом. Пик атак 2023 года пришелся на ноябрь и декабрь, в эти месяцы их общий объем достиг 14,6 тысячи.
– Однако при этом мы отмечаем сокращение доли критичных инцидентов от общего числа атак. Если в 2022 году этот показатель держался на уровне 40–45%, то в 2023 году составил не более 25%, – сообщил технический директор компании МТС RED Денис Макрушин.
Наиболее частыми причинами атак на бизнес сегодня являются вымогательство и хактивизм – атаки с целью остановки бизнеса или дестабилизации обстановки в той или иной стране. Текущая политическая ситуация в мире способствует росту этих видов атак. Эксперт добавил, что злоумышленники нацелены на извлечение финансовой выгоды. Это может быть как кража конфиденциальной информации организации и данных клиентов в целью их дальнейшей перепродажи, так и вывод денежных средств со счетов. С этой целью часто атакуют организации финансового сектора.
– Существуют десятки видов кибератак, но наиболее распространены сейчас DDoS-атаки, атаки на веб-приложения и атаки на сотрудников организаций. Так, во втором полугодии 2023 года МТС RED отразила свыше 3800 DDoS-атак – атак, направленных на недоступность интернет-ресурсов заказчиков. Это на 80% больше, чем в первом полугодии. Самой распространенной мишенью для таких атак стали промышленные предприятия, банки и ИТ-компании, – сказал Макрушин.
Значительная часть кибератак на бизнес реализуется через атаки на веб-ресурсы, которые свободно доступны не только пользователям компаний, но и злоумышленникам. По словам технического директора МТС RED, в случае успешной реализации злоумышленники получают несанкционированный доступ к конфиденциальным данным компании, могут их украсть или подменить, а также подобраться к критически важным бизнес-процессам организации. В прошлом году на этот вид пришлось более 46% от общего объема атак на компании, что на 14% превышает показатели 2022 года. Наиболее частыми мишенями для таких атак становятся финансовая сфера и ритейл.
Слабым звеном защиты всегда становится человек
По словам Макрушина, наиболее уязвимым звеном в кибербезопасности компании остается человек, поэтому количество фишинговых атак на сотрудников компаний растет год от года. С помощью методов социальной инженерии злоумышленники используют сотрудников в многоходовых атаках на компании.
– Началом атаки может стать компрометация учетных данных пользователя или же сбор через него дополнительной информации об ИТ-ресурсах компании, используемых средствах защиты. Сотрудник может неосознанно выдать эту информацию злоумышленникам. Затем осуществляется проникновение в инфраструктуру компании с использованием собранных данных, – перечислил этапы кибератаки эксперт.
Еще одним набирающим популярность трендом стала атака через цепочки поставок. Реализовав атаку на ИТ-компанию, злоумышленники встраивают вредоносное ПО в разрабатываемую компанией систему. Эта система затем устанавливается заказчиками компании как легитимная программа. Так атакующие получают доступ к инфраструктурам клиентов ИТ-компании, пояснил Макрушин.
Эксперт назвал российский рынок защиты от кибератак одним из наиболее развитых в мире. На нем представлено множество решений для защиты от разных векторов атак.
– При этом явным трендом последних лет является использование защиты от кибератак по модели управляемого сервиса. Услуги мониторинга и реагирования на киберинциденты (SOC), сервисы защиты от DDoS и атак на веб-приложения (WAF), повышения киберграмотности сотрудников компаний (Security Awareness) являются наиболее востребованными сервисами информационной безопасности. По сути это минимальный набор «гигиенических» мер киберзащиты компаний, – рассказал Макрушин.
Защищенность компаний зависит от размера бизнеса, пояснил эксперт. Чем больше компания зарабатывает, тем больше тратит на информационную безопасность. Кроме того, если организация относится к объектам критической информационной инфраструктуры, например, АЭС, или к финансовой сфере, к ней применяются жесткие требования регуляторов в части защиты от атак, обратил внимание собеседник.
О росте количества кибератак сообщил и ведущий эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity a Softline company Владислав Иванов. Это объясняется как изменениями в геополитической обстановке, так и прогрессом технологий, используемых злоумышленниками. Чаще всего атаки на компании мотивированы финансовыми целями, шантажом, шпионажем или желанием подорвать репутацию. Существует множество видов кибератак, например, бэк-атаки (основанные на технике социальной инженерии атаки, с помощью которых хакеры принуждают людей к переводу денег на свои счета. – «ВК»), атаки через поставщиков, DDoS-атаки, вирусы и фишинг.
– Для противодействия злоумышленникам компаниям рекомендуется регулярно обновлять программное обеспечение, использовать современные системы защиты данных, обучать сотрудников правилам кибербезопасности, проводить проверки на уязвимости, резервировать данные и создавать планы восстановления после инцидентов, – перечислил эксперт.
Как компаниям защититься от хакеров?
Предотвращать инциденты организации могут с помощью специальных средств защиты. Аналитики «СерчИнформ» сообщили, что 47% компаний Татарстана понимают важность покупки решений по информационной безопасности и увеличивают бюджет на улучшение защиты. Как коммерческие, так и государственные организации нарастили бюджет на безопасность в равном процентном соотношении. Однако ровно половина компаний республики оставили его без изменений.
– Плохо оснащенные защитными решениями организации могут стать легкой мишенью для злоумышленников. Эти риски были всегда, но возросли в 2022 году. Не все компании успели перестроиться. Поэтому в 2023 году продолжилась тенденция к закупке защитного программного обеспечения, – пояснил Парфентьев.
На увеличение бюджета повлияли также запланированные изменения в федеральном законодательстве в области защиты персональных данных. Ответственность за утечку информации планируют ужесточить до штрафа в 500 миллионов рублей.
Для надежной защиты и создания зрелой системы безопасности компаниям нужен более комплексный подход, подчеркнула Татьяна Шишкова: это стратегия действий в случае киберинцидентов, квалифицированный персонал, актуальная информация о ландшафте угроз (Threat Intelligence), надежные защитные решения, учитывающие специфику организации.
Собеседница согласилась, что угроз информационной безопасности становится все больше, при этом западные поставщики решений для киберзащиты ушли из России, а иностранные продукты не обновляются или блокируются, а оставшиеся западные вендоры в любой момент могут уйти. Поэтому компании активно переходят на российские решения.
Руководитель Центра противодействия киберугрозам Innostage CyberART Максим Акимов привел данные исследования аналитики киберразведчиков компании, которые выявили в России 4,1 тысячи доменов и 23,8 тысячи уникальных IP, подвергшихся единичным или серийным DDoS-атакам. В результате инцидентов злоумышленники украли и опубликовали 45 миллионов уникальных почтовых адресов, что на 14% выше показателей 2022 года.
– Мы видим, что внимание хакеров все чаще сосредотачивается на среднем и малом бизнесе. В частности, в 2023 году 43% утечек произошло у среднего бизнеса, 38% – у малого, и только 19% – у крупных компаний, – заметил Акимов.
Эксперт сообщил, что причина кроется прежде всего в том, что нередко в небольших организациях киберзащита находится на начальном уровне формирования, что делает их легкодоступными мишенями для хакеров. Цель становится вдвое привлекательнее, если эта компания является звеном в цепи поставок оборудования, программного обеспечения, цифровых услуг или сервисов. Взломав поставщика, хакеры могут предпринимать попытку атаки на всех его клиентов. И в этом случае под угрозой даже те компании, которые обеспечили защиту своего сетевого периметра, но не готовы к такому скрытому удару, резюмировал Акимов.
Автор материала: Алия Резванова