Ежемесячно различные сервисы по кибербезопасности фиксируют до 100 млн подозрений на инциденты, связанные с утечкой данных, и этот тренд остается в силе. Рассказываем о признаках утечки данных, до того, как ваша компания станет героем СМИ.
Утечки баз данных – это существенный риск для бизнеса. Если раньше утечки были в первую очередь предметом торговли, когда хакеры только продавали данные на черном рынке, то сейчас ситуация изменилась: утечки стали дополнительным рычагом давления. В случае введения оборотных штрафов или просто существенного их повышения может получиться, что компанию будут просто шантажировать и набивать цену за выкуп украденной базы.
Зачем крадут данные
Рассказывает Сергей Галиев – специалист по комплаенс в ИТ и ИБ компании Simplity:
Злоумышленники преследуют ряд целей:
- крадут для дальнейшей перепродажи
- в качестве инструмента конкурентной борьбы – здесь мы говорим о краже базы клиентов
- в качестве инструмента шантажа
- в качестве основы для дальнейших мошеннических действий, с которыми так или иначе сталкиваются 8 из 10 жителей России
- а также ради баловства и самовыражения
Утечка - это всегда репутационный риск. Очень важно, как сама компания себя ведет, признает ли кибератаку и предупреждает клиентов, или отрицает. Был случай кражи данных у медицинской организации, которая собирала базу данных ДНК, когда отрицание привело к потере репутации и сильному падению стоимости акций.
Предотвращение утечек – лучший метод
Best practice - построить систему защиты с помощью специалистов по информационной безопасности. В СЗИ может быть встроена DLP-система, которую нужно грамотно настроить. При построении СЗИ можно опираться на требования регуляторов к системе защиты: они помогают в целом понять объем работ.
Базы данных важно правильно разместить: а именно в сегменте сети, защищенном межсетевым экранированием.
Хорошая практика - протестировать нынешнюю систему защиты, увидеть бреши, например, с помощью белых хакеров, и затем устранить их.
Также важно регулярное наблюдение за сетью. Идеально, если это отдельный специалист или отдел, который знает всю ИТ сторону жизни компании – инфраструктуру, ПО, сервисы, нормы трафика и многое другое.
Как обнаружить утечку?
Рассказывает Дмитрий Орлов – руководитель направления анализа защищенности Simplity:
Если появилась новость в СМИ или выкуп уже просят – это очевидные маркеры.
Есть целый набор специалистов и услуга OSINT – мониторинг по открытым источникам информации о компании и в том числе на предмет утечек. Мониторинг проводится в даркнет, в профильных ТГ-каналах, на сайтах, где публикуются данные об утечках.
Маркеры утечек:
- Большое число обращений к базам, содержащим персональные данные.
- Возросшее число записей в журнале событий, связанных с доступом к системным файлам ОС или к базам данных.
- Соответствующие сигналы от СЗИ, включая антивирус, сообщающие о нелегитимных попытках доступа, вредоносных файлах и тд.
- Аномальная активность трафика. У каждой компании есть определенная норма активности. А база данных имеет большой вес. Если злоумышленник решил выгрузить базу данных целиком, то объем трафика в единицу времени повышается. В маленькой компании утечка будет заметна по такому симптому, как падение скорости интернета. При этом если злоумышленник уже внедрился в систему, то у него есть возможность красть базу данных по частям, и это заметить по трафику станет сложнее, но все еще возможно обнаружить по журналу.
- Случаи мошенничества с клиентами: если кто-то из клиентов сообщает, что получает звонки или письма якобы от компании.
- Рост числа фишинговых и спам-писем среди сотрудников, например, если число писем резко подскочило, то данные сотрудников вероятно утекли.
- Участились случаи холодного обзвона сотрудников или клиентов, смотря какая база утекла.
Отмечу, что все эти признаки следует рассматривать в совокупности.
_____
Сталкивались ли вы с утечками? Или удалось их предовратить? Коллеги по кибербезу, делитесь опытом, какими маркерами пользуетесь, мы с радостью обсудим!