Компании оперируют миллионами строк данных пользователей своих услуг. Эти данные являются лакомым кусочком для злоумышленников, ведь их можно использовать в своих целях большим количеством способов. Поэтому количество кибератак и утечек данных постоянно растет. А это, в свою очередь, наносит все больше ущерба компаниям.
Как пользовательские данные могут утечь в сеть, чем это может обернуться для компании и как минимизировать риск утечки? Аналитический отдел Falcongaze разобрался в этой проблеме.
Как пользовательские данные утекают в сеть
Причин утечек данных, на самом деле, достаточно много. Но их можно разделить на условные две группы:
Внешние причины — это все, что не относится к системам компании и ее персоналу. Как правило, это такие действия злоумышленников, как фишинговые атаки, попытки подбора учетных данных для входа в систему, использование уязвимостей программ, которыми пользуется компания или даже попытки физического проникновения.
К внутренним же можно отнести все, что может позволить информации утечь, и находится внутри компании. Например, это может быть подкупленный злоумышленниками сотрудник (инсайдер) или неправильно настроенный сервер, который случайно индексируется поисковыми системами и дает доступ к базам данных, которые на нем хранятся.
На самом деле, нередко утечку вызывают одновременно и внешние, и внутренние утечки. Например, злоумышленники провели фишинговую рассылку с вредоносным вложением по сотрудникам компании и халатные или необученные цифровой гигиене сотрудники открыли это письмо и скачали вредонос на рабочий компьютер.
Какие последствия для компании может иметь утечка данных
Утечки данных могут нанести серьезный ущерб компании по двум направлениям:
- Репутационное. Когда пользователи узнают, что у компании произошла утечка информации, они в большой доле случаев перестанут пользоваться ее услугами. Вдобавок информация об утечке может серьезно снизить приток новых клиентов. Как показал опрос Security Magazine в 2019 году, 78% респондентов перестанут пользоваться услугами пострадавшей от утечки компании онлайн, а 36% прекратят взаимодействие и онлайн, и оффлайн. Более того, 49% опрошенных утверждают, что не будут пользоваться сервисом или приложением, у которого недавно произошла утечка данных.
- К репутационному ущербу также добавится и экономический. Прежде всего, отток пользователей и снижения притока новых явно повлияет на прибыль компании. Вдобавок к этому во многих странах утечка данных может вылиться в штрафы и выплаты компенсаций пользователям, которые пострадали из-за утечки. И эти суммы могут достигать огромных размеров. Например, в 2019 году Equifax заплатили не менее 575 миллионов долларов. Вдобавок придется модернизировать защиту информации, что тоже недешево.
Как компании минимизировать риск утечки данных
Способов усилить защиту информации в компании много. Среди них можно выделить:
- Шифрование данных. Даже если злоумышленники получат данные, то воспользоваться ими будет гораздо сложнее;
- Использование защитного ПО (антивирусы, файрволы). Подобные программы помогут защититься от атак извне;
- Использование DLP-систем. Этот тип программ можно выделить отдельно, так как они специализируются конкретно на защите от утечек;
- Обучение сотрудников цифровой гигиене. Это поможет сотрудникам не поддаваться на фишинговые рассылки и в принципе обезопасить передачу важных данных через интернет;
- Хорошей идеей будет проверка своих систем на уязвимости. Это можно сделать, заказав пентест, аудит безопасности или анализ защищенности систем:
- Пентест. Суть этого исследования безопасности заключается в том, что специалисты целенаправленно атакуют системы компании, имитируя атаку хакеров. Как итог, заказчик получает отчет о том, с какой вероятностью заказанная атака будет успешной, а также какие уязвимости обнаружили в ходе атаки. Из минусов можно отметить, что в данном случае важнее сам факт успеха конкретной атаки, а не полный сбор информации об уязвимостях. То есть если каким-то конкретным путем пентестеры не смогли проникнуть в инфраструктуру компании или как-то нарушить ее работоспособность, это не значит, что где-то не затаилась лазейка, которой воспользуется кто-то другой;
- Анализ защищенности систем. Это исследование чем-то похоже на пентест, только если при пентесте целью является успешная атака, то здесь задача заключается в обнаружении максимального количества уязвимостей, которые можно эксплуатировать.
- Аудит безопасности. При аудите проверяется соответствие информационной системы и связанных с ней процессов требованиям и рекомендациям нормативных документов, а также производителей оборудования и ПО;
- А если компания производит свой программный продукт и в нем тоже могут быть уязвимости, через которые в теории можно получить несанкционированный доступ к конфиденциальным данным, можно еще попробовать запустить программу bug bounty. Это может привлечь внимание энтузиастов к продукту. Как итог компания будет получать информацию о багах и уязвимостях и будет иметь возможность оперативно их исправлять;
- Формирование здорового климата внутри компании. Если сотруднику все будет нравиться, то даже если его попытаются подкупить с целью слива информации, вероятность успеха злоумышленников будет гораздо ниже. Так, например, в августе 2020 года злоумышленники не смогли провести атаку программой-вымогателем на Tesla, даже предложив сотруднику 500 тысяч долларов.
Но по отдельности все эти меры малоэффективны. Их нужно применять вместе, чтобы достичь максимального эффекта. Например, анализ защищенности или пентест позволят выявить наиболее слабые места в защите информации, а исходя из полученных отчетов и рекомендаций специалистов можно применить и другие методы, будь то переход на более надежное ПО или обучение сотрудников цифровой гигиене и основам информационной безопасности.
Конечно, все это стоит недешево (например, простой пентест с помощью социальной инженерии по электронной почте может стоить от 150 тысяч рублей, но в итоге, если компания работает с большим количеством конфиденциальных данных, это с высокой долей вероятности все равно обойдется дешевле, чем убытки в случае утечки этих данных.
Источник