Компания SafeNet, крупнейший американский разработчик систем информационной безопасности, опубликовала квартальный отчет о взломах сетей крупных организаций, повлекших утечку данных их клиентов. Главной мишенью становится финансовая сфера.
Информация о частных лицах становится все более ликвидным товаром и, соответственно, вокруг нее возрастает криминальная активность. В I квартале 2014 года число утечек данных выросло на 233% по сравнению с аналогичным периодом прошлого года. В среднем в начале года случалось три инцидента в день, в которых утекали 2,2 млн записей — и это только верхушка айсберга, ведь многие компании стараются скрыть подобные происшествия.
Если сложить число украденных записей разного рода во всех известных инцидентах, лишь за первые три месяца этого года получится более 200 млн. Среди них есть все, что стоит воровать: паспортные данные, данные платежных карт, контактная информация, логины и пароли для различных онлайн-сервисов и т. д. По данным SafeNet, лишь 1% всей утекшей информации был зашифрован, а это значит, что 99% сведений могут быть использованы злоумышленниками в своих целях.
Статистика SafeNet показывает, что 74% известных инцидентов произошли в США, 13% в Европе, и 7% в Азиатско-Тихоокеанском регионе. При этом по объему украденных данных лидирует Южная Корея — там было скомпрометировано 86% от мирового объема утекшей информации. Из отраслей отличилась финансовая — 55% от похищенных записей.
Лидером в этом невеселом соревновании стало южнокорейское кредитное бюро KCB, из сети которого было украдено 104 млн записей. Среди них были данные платежных карт 20 млн корейцев (это при 50 млн населения Южной Кореи!). Казалось бы, компания, чей бизнес — информация, должна ответственно подходить к ее защите. Однако в KCB о факте утечки узнали уже от следователей, которые явились, чтобы допросить сотрудников компании.
Как оказалось, данные хранились в незашифрованном виде, защищенные со стороны Интернета, но доступные изнутри сети компании. Этим и воспользовался злоумышленник, явившийся в компанию под видом специалиста технической поддержки. Скопировав все интересующие его базы данных на простуюUSB-флешку, он скрылся, оставив руководство компании в весьма неприятном положении. Южнокорейский финансовый регулятор поспешил выпустить постановление, согласно которому банки-эмитенты должны покрыть все финансовые потери клиентов, случившиеся из-за этого инцидента.
SafeNet приводит весьма интересную статистику касательно непосредственных исполнителей взлома. На первом месте (61% случаев) стоит классический взлом, когда финансово мотивированная группа хакеров проникает в сеть компании через Интернет. В 25% случаев никакого взлома не было: конфиденциальность утрачивалась непреднамеренно, из-за действий сотрудников компании. Далее (11%) идет использование инсайдера — подкупленного сотрудника или внедренного в организацию своего человека. По 1% приходится на действия хактивистов — общественно-активных хакеров, взламывавших различные организации по идейным соображениям, и на хакерские группы, находящиеся на обеспечении различных государств. Заметим, что лидерами по объему украденных данных являются инсайдеры: им удалось похитить 52% всех скомпрометированных данных.
Случается, что данные попадают не в те руки по обычным рабочим каналам, без всяких взломов. Очень показательна история с крупнейшим нелегальным сервисом по продаже данных частных лиц superget.info. Владелец сервиса, вьетнамец по фамилии Нго, еще в 2008 году стал клиентом американской компании Court Ventures, специализирующейся на агрегировании публичных данных, полученных от различных госслужб. Выдавая себя за сингапурского частного детектива, он периодически приобретал информацию об американцах для своего сервиса. Ничего особенно конфиденциального (например, о ведущемся в отношении гражданина судопроизводстве), но кое-какие деньги он на этом зарабатывал.
Вскоре на Нго свалилось нежданное счастье — Court Ventures заключила соглашение об обмене данными с US Info Search, что значительно расширило полноту данных, предоставляемых обеими компаниями своим клиентам. И наконец, в 2012 году Court Ventures была приобретена Experian, одним из крупнейших бюро кредитных историй. Все клиенты Court Ventures, включая Нго, автоматически получили доступ к базе данных Experian. В результате за последовавшие полтора года через сервис superget.info было продана исчерпывающая информация более чем о 30 млн американцев — и это без всякого взлома, практически на легальной основе. Впрочем, это обстоятельство не уберегло Нго от ареста, а Experian — от публичного скандала, последствия которого будут еще долго сказываться на репутации компании.
К сожалению, в отчете SafeNet ничего не рассказано о кражах информации из российских компаний. Дело тут в различиях законодательного характера. В 46 штатах США, в Австралии, Южной Корее и странах Евросоюза компании обязаны публиковать данные о взломах и компрометации данных клиентов. В России таких норм пока нет.
Об отечественной практике в этой области порталу Банки.ру рассказал заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин: «В нашей стране отчетность по компьютерным инцидентам более-менее регламентируется лишь в банковской отрасли. Банк России обязывает кредитные организации отчитываться по инцидентам определенных типов, но сейчас их перечень далеко не полон. На основании собранной информации ЦБ публикует статистику, но в обезличенном виде, без указания названий компаний. Прочие отрасли в этом плане никак не регулируются.
В целом никто не стремится афишировать взломы своей сети. Репутационный риск обычно оценивается даже выше, чем непосредственный ущерб от взлома, поэтому пострадавшие компании чаще всего не обращаются в полицию. Компании рассказывают о том, какие именно данные утекли, лишь в том случае, если факт взлома уже всплыл каким-либо образом. В других случаях — полная закрытость».
Однако, по словам Никитина, если речь идет о персональных данных частных лиц, скрывать такое может быть рискованно: «Сейчас у нас действует 152-ФЗ «О персональных данных», и если украденные персональные данные где-либо всплывут, то компания, откуда они были украдены, может сильно пострадать. Кроме того, если компания аттестована на обработку персональных данных, так просто скрыть факт утечки не получится. Поэтому, как правило, в таких случаях сразу пишутся все необходимые заявления об инциденте.
Даже если компания заявила в правоохранительные органы о взломе и краже данных клиентов, далеко не всегда сами клиенты об этом узнают. Пока идет расследование, эти сведения обычно считаются тайной следствия, и за это время злоумышленники нередко успевают использовать украденные данные по своему усмотрению».
Картина складывается откровенно безрадостная. Мало того, что наша ценная информация, начиная с паспортных данных и заканчивая сведениями, дающими доступ к банковскому счету, может быть украдена любым из десятков способов — так мы об этом еще и не узнаем до тех пор, пока не становится слишком поздно.
Отчет SafeNet показывает статистику лишь за I квартал этого года. Между тем в апреле произошел инцидент, пошатнувший самые основы информационной безопасности в Интернете — были обнародованы сведения об уязвимости Heartbleed. Эта уязвимость, до сих пор присутствующая на многих сервисах, многократно расширила возможности хакеров и облегчила их работу. Достаточно вспомнить скандал с утечкой данных банковских карт с платежного шлюза ВТБ 24, использующегося на сайте РЖД для электронной оплаты билетов. Судя по всему, отчет за II квартал покажет уже не 233% роста, а все 500% и более.
Руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов рассказал порталу Банки.ру, почему сложилась такая ситуация:
«Проблема в том, что есть ответственность за нарушение правил работы с персональными данными, но нет ответственности за их утечку. Выполнил все требования регуляторов — ты чист, даже если произошла утечка. Киберпреступники всегда опережают законодательство в этой области, и даже при соблюдении всех правил утечки то и дело случаются. Но у компаний нет стимула ни расследовать инциденты, ни совершенствовать свою систему безопасности. Отчитались о соблюдении всех нормативов и требований — работаем дальше.
А вот если у нас сделать как на Западе, возложить полную ответственность на компании, работающие с персональными данными, им придется вкладываться в предотвращение будущих инцидентов такого рода».
На вопрос «что делать?» однозначного ответа пока нет. Бурное развитие информационных сервисов сопровождается отсталостью культуры информационной безопасности. Технически защитить данные с достаточной степенью надежности вполне можно — но полного осознания важности этой проблемы пока нет. Будем надеяться, что оно придет; спасибо таким компаниям, как KCB и Experian.
Начать дискуссию