BIS Journal №3(46)/2022

2 сентября, 2022

Ваше благородие, госпожа утечка. Причины, последствия, что делать?

Утечки данных — чрезвычайно опасное явление. Ущерб от них по самым скромным оценкам может составлять десятки миллиардов рублей. Попытки побороть это явление с помощью технических средств в большинстве случаев оказываются неэффективными, поскольку главная причина утечек — человеческий фактор.

В этой статье подробно разберём, чем опасны утечки, рассмотрим их основные причины, а также поговорим о возможных решениях проблемы и их ожидаемой эффективности.

 

ПОДРОБНЕЕ О ПРОБЛЕМЕ

Многие компании относятся к утечкам данных достаточно спокойно, считая их неизбежным злом или своего рода стихийным бедствием. Ущерб репутации — категория довольно расплывчатая, а штрафы не такие уж страшные, как показывает история с Яндекс.Едой, заплатившей за многомиллионную утечку 60 тыс. рублей.

В мае-июне 2022 года в даркнете было опубликовано рекордное количество баз данных российских компаний — более 50. В апреле их было 32, а в марте всего — 16. Среди жертв, чьи базы попали в открытый доступ, оказались компании, относящиеся к интернет-сервисам доставки, медицине, телекому, интернет-ритейлу, онлайн-образованию, строительству и так далее.

Последствия этих утечек с большой вероятностью будут ощущаться в течение ближайших месяцев, а, возможно, и лет, как получилось с нашумевшей утечкой сведений о клиентах Сбербанка в октябре 2019 года (рис. 1).

Рисунок 1. Фрагмент похищенной базы клиентов Сбербанка. Источник.

 

Из материалов уголовного дела следует, что «выгрузка представляла собой архив с текстовыми документами, в которых хранятся записи о счетах и картах, об операциях по картам, остаток по счетам клиентов Банка, сгруппированные по территориальным банкам. Записи содержат также персональные данные клиентов, в том числе: фамилию, имя, отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы, остаток собственных средств». Всего каждая запись содержала 81 колонку, а в базе содержалось не менее 10,2 млн строк.

Информацией из этой утечки воспользовались телефонные мошенники, представлявшиеся «службой безопасности Сбербанка». По оценкам самого Сбера, ежемесячный ущерб граждан от телефонного мошенничества по всей стране в 2020 году составлял 3,5–5 млрд рублей.

Последствия утечки Сбера продолжали сказываться и в 2021 году. По оценкам МВД РФ ущерб от дистанционного телефонного мошенничества в России за 11 месяцев 2021 года составил 45 млрд рублей.

 

ДРУГИЕ ПОСЛЕДСТВИЯ УТЕЧЕК

Использование похищенных сведений мошенниками — далеко не единственная проблема. Перечислим некоторые возможные варианты.

 

Шантаж и вымогательство

Операторы вымогательского ПО (ransomware) применяют тактику двойного вымогательства: они не только шифруют информацию в сети или на устройствах жертвы, но и похищают важные сведения, после чего угрожают их обнародованием. Для этого создаются специальные сайты утечек, на которых преступники размещают фрагменты «слитой» информации, по которым жертва может убедиться в реальности угроз.

 

Черный пиар и SWAT

Наличие персональных данных открывает массу возможностей сделать человеку плохо. Представим, например, что мошенники позвонили Ивану от имени банка и попытались выманить у него деньги. Иван оказался бдительным, разыграл звонивших и посмеялся над ними. Мошенники обиделись и «сватнули» [1] Ивана: организовали ложное сообщение о минировании торгового центра и от имени Ивана потребовали выкуп.

К Ивану приехала полиция, и он вынужден был объяснять, что понятия не имеет, о чём идёт речь, отдавать на экспертизу компьютерную технику и терпеть другие неудобства.

Другой вариант, о котором уже написали в СМИ, — использование номеров реальных людей для подстановки при мошеннических звонках. Обманутые люди пишут заявления в полицию, указывая номер, с которого получили звонок. В результате совершенно непричастным людям приходится давать объяснения, а ещё их номера могут попасть в один из чёрных списков, которые ведут многие сервисы, например Яндекс, Сбер, Тинькофф. Такой абонент при звонке будет определяться «нежелательным» или вообще блокироваться приложением.

 

Нелегальные схемы

Один из самых популярных способов нелегального применения персональных данных — создание дропов — подставных лиц. На дропа могут оформить банковские карты, чтобы выводить или обналичивать через них не вполне легальные средства или покупать товар, зарегистрировать ООО или ИП для проведения различных незаконных операций. Данные дропов часто используют для анонимизации люди, предпочитающих не показывать свою реальную личность в сети.

Некоторые люди добровольно становятся дропами из-за различных жизненных трудностей. Но есть и те, чьи «услуги» мошенники получили путем социальной инженерии.

Пример. На Авито размещается вакансия очень простой работы на дому. Требуется принимать товары от интернет-магазина и пересылать их по указанному адресу. Для «трудоустройства» у кандидата просят сканы паспорта и других документов якобы для проверки в службе безопасности. В результате мошенники получают все необходимые данные для оформления дропа.

Информация из утечек позволяет создавать дропов значительно проще, что превращает подобные данные в настоящий клад для дроповодов.

 

ПРИЧИНЫ УТЕЧЕК

Принято считать, что часть утечек происходит по техническим причинам, но чаще всего настоящими виновниками инцидентов являются люди. Например, для доступа к базе данных лаборатории «Гемотест», содержащей сведения о 554 млн заказов, которая появилась в продаже на теневом форуме в начале мая 2022 года, использовалась уязвимость сервера баз данных.

Это выглядит вполне технической причиной, но в действительности произошедшее стало возможным по недосмотру администратора БД, который не установил исправления для уязвимости или не закрыл внешний доступ к базе для посторонних. А это уже человеческий фактор — некорректные действия или бездействие сотрудника.

Опрошенные «Известиями» эксперты по кибербезопасности считают, что «свыше 90% утечек — не результат мастерства хакеров, а вина сотрудников».

Рассмотрим, что может привести к тому, что люди сознательно или по незнанию допускают утечку информации.

 

Желание заработать

Самый распространённый мотив всех киберпреступлений — финансовый. Информацию называют новым золотом, поэтому продажа на сторону конфиденциальных данных компании многим кажется простым способом улучшить благосостояние. Особенно греет душу начинающих «хакеров» тот факт, что после копирования данные остаются на месте. Это позволяет сохранить душевный комфорт и создаёт ложное чувство безнаказанности.

Именно перспектива нелегального заработка заставила сотрудника Сбербанка Зеленина С. А. придумать способ обойти корпоративную систему защиты от утечек (DLP, Digital Leak Prevention). Он помещал слитые данные в электронные письма, но не отправлял их. Черновики писем с почтового сервера синхронизировались с почтовым клиентом на служебном ноутбуке, после чего можно было сохранить вложения и скопировать их на внешний носитель.

 

Шантаж

Строго говоря, в большинстве случаев цель шантажа также финансовая. Операторы вымогательского ПО угрожают опубликовать похищенные данные, требуя выкуп. Системный администратор грозит руководству опубликовать компрометирующую информацию, чтобы получить компенсацию за сверхурочную работу.

Проблема с шантажом состоит в том, что уплата выкупа или компенсации совсем не гарантирует, что информация не будет опубликована.

Но бывают ситуации, когда объектом шантажа становится сотрудник, имеющий доступ к требуемой заинтересованным лицам информации. Когда речь идет о жизни и здоровье близких, корпоративная этика и даже перспектива нарушить закон отходят на второй план.

 

Обида на работодателя

Обиженные сотрудники способны создать компании много проблем, особенно если имеют доступ к чувствительным данным. Предполагают, что именно обида на работодателя заставила сотрудника Яндекс.Еды опубликовать в открытом доступе сведения о 49 млн заказов сервиса.

 

Политические взгляды

Политически мотивированные инциденты получили широкое распространение после начала СВО на Украине. Организация утечек и публикация данных для некоторых сотрудников стали способом проявить свою гражданскую позицию. При этом они не осознавали, что своими действиями наносят вред не столько государству или компании, сколько обычным людям, данные которых они выставляли на всеобщее обозрение.

 

Недостаток профессиональных знаний

К этой категории можно отнести утечки, связанные со случайно оставленными в публичном доступе базами данных. Например, 3 апреля 2022 года на площадке Amazon была обнаружена свободно доступная база Elasticsearch, содержащая SMS от различных сервисов и банков. Объём базы составлял около 4,5 Тб. Среди отправителей были Google, Тинькофф, Аэрофлот, Юла, Microsoft. Номера телефонов получателей скрыты звездочками, но содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится в неизменном виде.

Совершенно очевидно, что причиной инцидента стал недостаток знаний администратора баз данных компании-владельца базы. Он не воспользовался средствами ограничения доступа сервиса Amazonи даже не включил аутентификацию в самой базе данных.

 

КАК ЗАЩИТИТЬСЯ?

Проблемы с утечками заставили законодателей задуматься об ужесточении ответственности за подобные инциденты. Как заявил глава Роскомнадзора Андрей Липов, «по нашему мнению, только так можно остановить вал преступлений, связанных с утечками и незаконной продажей чувствительной для россиян информации».

Замглавы Роскомнадзора Милош Вагнер сообщил, что ведомство считает целесообразным ввести уголовную ответственность за торговлю утекшими персональными данными. Он подчеркнул, что «основная трагедия этих утечек в том, что, как только данные появились в общем доступе и стали доступны неограниченному кругу лиц, предотвратить их распространение без жёстких мер практически невозможно. Сейчас при утечке персональных данных административная ответственность направлена на изначально добропорядочных игроков — операторов, у которых эти данные украли, а истинные виновники утечек остаются в стороне».

Страх серьёзного наказания остановит многих желающих заработать на торговле чувствительной информацией, но не поможет исключить случайные утечки из-за неправильной конфигурации сервисов, политически мотивированные утечки и утечки по вине обиженных или запуганных сотрудников.

Тотальная установка технических средств защиты в виде современных систем DLP также решит проблему лишь частично, поскольку ни одно подобное решение не остановит системного администратора, который имеет все полномочия по управлению.

В качестве дополнительных мер для решения проблемы утечек компаниям следует рассмотреть выявление потенциальных инсайдеров, формирование групп риска по различным критериям, повышение уровня грамотности и развитие навыков в сфере информационной безопасности.

Понимание последствий своих действий как с технической, так и с законодательной точки зрения остановит большую часть финансово мотивированных сотрудников и тех, кто до недавнего времени получал доход от перепродажи чувствительной информации.

 

[1] Слово «сват» — калька с английского SWAT — Special Weapons And Tactics, означающего различные подразделения специального назначения. «Сватнуть» — организовать ложный вызов полиции.

Смотрите также

25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»
23.09.2022
Хакеры по сравнению с производителями зарубежного ПО — это безобидная история
23.09.2022
ФСТЭК России в ближайшее время выпустит методики оценки критичности уязвимостей и тестирования обновлений
23.09.2022
«Газпромбанк» на очереди?
22.09.2022
Целью HR-мошенников может быть включение устройства соискателя в ботнет-сеть