Дураки и воры: свои сотрудники стали опаснее хакеров
Собственный персонал компаний по всему миру в 2019 году скомпрометировали вдвое больше данных, чем хакеры извне, говорится в исследовании экспертно-аналитического центра InfoWatch, опубликованном 17 апреля. Самыми провальными оказались телекоммуникационные и IT-компании, а также промышленные и транспортные предприятия. Почему изменился вектор угрозы безопасности и как защититься от возможных утечек, читайте в материале «Известий».
Резкий рост внутренних утечек
По вине или неосторожности сотрудников коммерческих компаний, государственных органов и организаций в 2019 году было скомпрометировано 9,87 млрд записей пользовательских данных, а в результате внешних утечек «лишь» 4,7 млрд.
Так, в США бывший IT-специалист одной из клиник Нью-Йорка в декабре прошлого года признался суду в краже конфиденциальной информации коллег. По данным американской прокуратуры, Ричард Лириано на протяжении пяти лет незаконно собирал данные о сотрудниках больницы.
Удалось доказать кражу по меньшей мере 70 учетных записей электронной почты коллег. Данные Лириано использовал для доступа к социальным сетям и поискау откровенных фотографий и видео в скомпрометированных аккаунтах.
Он также взломал десятки рабочих компьютеров с защищенной медицинской информацией и персональными данными пациентов. На ликвидацию последствий клиника потратила порядка $350 тыс.
В занимающейся обеспечением инфобезопасности фирме Positive Technologies «Известиям» подтвердили, что за прошедший год участились случаи публикации в дарквебе баз с пользовательскими данными. Их воруют у различных организаций не только в результате атак, иногда они не были защищены паролем и хранились в открытом доступе по халатности IT-администраторов.
Кто виноват?
Главную угрозу для организаций и компаний теперь представляют не хакеры, а собственные сотрудники. По данным «Лаборатории Касперского», 52% юридических лиц по всему миру считают сотрудников наибольшей угрозой системе корпоративной безопасности.
«Из-за невнимательности и низкой цифровой грамотности сотрудники проходят по фишинговым ссылкам, используют небезопасные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками. Платят злоумышленникам-шантажистам за ключи для расшифровки данных, которые обычно всё равно не получают», — рассказала «Известиям» представитель платформы для повышения цифровой грамотности Kaspersky Security Awareness Елена Молчанова.
Сами работники зачастую даже не подозревают об опасности. В 2019 году 98,1% пользовательских данных в компаниях и госорганах скомпрометировали в результате внутренней утечки случайно, отмечают в InfoWatch.
Наиболее «проблемным» звеном в системе информационной безопасности оказались рядовые сотрудники — 88% всех внутренних утечек, тогда как на долю привилегированных пользователей в 2019 году пришлось лишь 12%. К привилегированным пользователям относят топ-менеджмент и системных администраторов, чьи права доступа к информации практически не ограничены.
В Австралии биофармацевтическая компания CSL в октябре прошлого года подала иск против своего бывшего исполнительного директора Джозефа Чао, пишет FiercePharma. Истец утверждает, что топ-менеджер ушел в конкурирующую компанию Pharming, прихватив с собой множество конфиденциальных файлов. Чао покинул CSL 23 сентября, но накануне отправил на свой личный аккаунт электронной почты различную конфиденциальную информацию, включая данные, составляющие коммерческую тайну. Кроме того, Джозеф Чао скопировал информацию на USB-накопитель.
Коммерческая тайна под угрозой
Злонамеренный нарушитель обычно забирает информацию, представляющую секреты производства и ноу-хау (88% случаев), государственную тайну (85%) и коммерческую тайну (80%).
«В том случае, когда утечка происходит по злому умыслу, объем похищенной информации по числу записей обычно оказывается сравнительно небольшим — только действительно ликвидные сведения», — рассказал ведущий аналитик InfoWatch Сергей Хайрук.
Суд присяжных в Коннектикуте (США) в декабре 2019 года признал компанию Charles River Analytics (CRA) виновной по делу о хищении коммерческой информации у фирмы LBI, пишет издание Law.com. Ответчику предстоит выплатить истцу почти $840 тыс.
В центре расследования находились бывшие сотрудники LBI Джаред Спаркс и Джей Уильямс. Прокуратура предъявила им обвинения в том, что они украли коммерческие секреты бывшего работодателя в интересах Charles River Analytics.
Установлено, что Спаркс загрузил тысячи конфиденциальных файлов LBI в свой личный аккаунт на облачном файловом хостинге Dropbox. В этих документах были бухгалтерские сведения и инженерная документация. Вскоре после того как Спаркс присоединился к CRA, он скачал из облака украденные файлы.
Зона риска
В 2019 году с утечками данных столкнулись 27% российских компаний с числом сотрудников до 50 человек (данные «Лаборатории Касперского»). За год этот показатель вырос на 12%.
Примерно такая же тенденция наблюдается и в крупном бизнесе. Согласно опросу 2018 года, с утечкой столкнулась каждая четвертая корпорация, а по итогам исследования 2019 года — уже каждая третья (34%).
Лидерами по умышленным утечкам, составляющим коммерческую тайну, выступают телекоммуникационные и IT-компании, промышленные и транспортные предприятия, выяснили специалисты InfoWatch.
Так, корпорация Gеneral Motors (GM) в декабре прошлого года обвинила южнокорейскую Hyundai Motor в том, что та подкупила одного из руководителей GM Брайна Латуфа ради доступа к секретной информации о разработке электромобилей и беспилотных транспортных средств, пишет Bloomberg.
В GM считают, что Латуф незаконно получил конфиденциальную информацию о технологиях безопасности автомобилей, передовых функциях помощи водителю и процессах разработки автономных транспортных средств. Согласно иску, перед уходом из General Motors топ-менеджер скопировал секретные данные с корпоративного ноутбука на USB-носители.
Неумышленные утечки персональных данных чаще всего случались в компаниях сегмента IT-телеком и медицинских организациях. По мнению аналитиков, это может свидетельствовать о том, что системы контроля информации в медицине начинают работать должным образом, вследствие чего утечки, которые ранее не фиксировались, удалось вывести из тени.
Главное оружие вора — облако
Сетевой канал остается ведущим не только для случайных, но и для умышленных утечек. Однако статистику по кражам информации в силу высокой латентности практически невозможно распределить по каналам передачи.
Доля случайных утечек через сеть в 2019 году выросла до 61,6%, в том числе из-за неверных настроек облачных хранилищ. Такие утечки — одни из самых проблемных, потому что практически не имеют ограничений по объему данных, которые могут быть скомпрометированы, отмечают специалисты InfoWatch.
В октябре прошлого года в сети на незащищенном сервере нашли 4 терабайта персональной информации 1,2 млрд подписчиков Facebook, Twitter, LinkedIn и GitHub, сообщал журнал Wired. Среди скомпрометированных сведений, впрочем, не оказалось паролей, данных банковских карт или номеров социального страхования.
Зато утекли профили сотен миллионов пользователей соцсетей, а также данные о карьере людей, предположительно скопированные из LinkedIn. В дополнение на сервере хранились почти 50 млн уникальных телефонных номеров и 622 млн уникальных адресов электронной почты.
Значительная доля случайных утечек — 16,4% — до сих пор приходится на электронную почту. Чуть реже информацию в 2019 году воровали на бумажных носителях — 13,4%. Зато на съемных, наподобие USB-флешек, секреты работодателей красть почти перестали — лишь 2,2% случаев. В 2013 этот показатель достигал 12%. Также изредка (2,6%) встречаются утечки в результате потери или кражи оборудования. Порой такие случаи довольно курьезны.
В США неизвестный похитил личные банковские данные 29 тыс. сотрудников, работавших в Facebook в 2018 году, пишет Bloomberg. Инцидент произошел 17 ноября 2019 года. Злоумышленник вскрыл автомобиль бухгалтера по начислению зарплаты и унес с собой находившуюся в салоне сумку с жесткими дисками. На них без использования шифрования была записана информация о сотрудниках: имена, номера банковских счетов, последние четыре цифры номеров социального страхования (SSN), а также сведения о зарплатах, бонусах и участии в акционерном капитале.
Инструкция защитника
Обучать сотрудников основам цифровой грамотности — одна из главных рекомендаций Елены Молчановой.
«Для крупных компаний, где уровень программной защиты выше, чем в малом бизнесе, а количество профильных специалистов больше, важным вопросом становится цифровая грамотность непрофильных сотрудников», — добавила эксперт.
Также она советует делать резервные копии важных данных и регулярно обновлять IT-оборудование и приложения, чтобы исключить наличие в них незакрытых уязвимостей, которые могут стать причиной утечки. И, конечно, использовать надежное защитное решение, созданное специально под размеры бизнеса.
«Желательно, чтобы минимальное число работников получало доступ ко всем массивам информации. Работу надо строить так, чтобы объем получаемой и обрабатываемой информации строго соответствовал решаемой задаче сотрудника», — рассказал «Известиям» кандидат юридических наук, член комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Борис Едидин.
В свою очередь, старший юрист юридической фирмы Baker McKenzie Вадим Перевалов посоветовал заранее обеспечить возможность собирать, фиксировать и передавать информацию с камер видеонаблюдения, рабочих компьютеров и устройств, которыми пользуется сотрудник. По его словам, это обычно оформляется положениями о видеонаблюдении, запретом использовать корпоративные устройства в личных целях и согласием сотрудников на обработку их персональных данных.
В отношении коммерческих данных компании стоит установить режим коммерческой тайны, отмечает юрист PwC Legal, преподаватель Moscow Digital School Александра Введенская. В отличие от других видов тайн — например, адвокатской, банковской, налоговой, врачебной – коммерческая тайна может быть установлена самой компанией. Для этого необходимо определить перечень данных, составляющих тайну и разъяснить работникам последствия ее разглашения.
Наказание за утечку
В законе есть условное разделение ответственности при разглашении пользовательских и иных коммерческих данных, рассказал Александра Введенская. Под пользовательскими данными уголовным законодательством понимается личная тайна и работнику за ее распространение грозит до 4 лет лишения свободы (ч. 2 ст.137 УК РФ).
Незаконное использование или разглашение коммерческой тайны может повлечь наказание до 3 лет лишения свободы (ч. 2 ст.183 УК РФ). А неправомерный доступ к компьютерной информации как таковой — до пяти лет (ч. 3 ст. 272 УК РФ).
«Помимо этого, компания может привлечь работника к материальной и дисциплинарной ответственности. Однако ее размер существенно ограничен: возможно взыскание только прямого действительного ущерба. Кроме того, суды часто пользуются правом снизить размер ущерба по своему усмотрению», — заключила Введенская.
Иван НОСАТОВ