В 2015 году в мире было зарегистрировано более полутора тысяч случаев утечки конфиденциальной информации. Эта цифра на 7,8% больше случаев, зарегистрированных в 2014 году, говорится в «Глобальном исследовании утечек конфиденциальной информации в 2015 году», подготовленном аналитическим центром InfoWatch.
Большинство утечек связаны с компрометацией персональных данных. Только за прошлый год были скомпрометированы более 965,9 млн записей, в том числе платежная информация. Среди них 21 так называемая мегаутечка, в результате каждой из них «утекло» более 10 млн персональных данных.
Мошенники пытаются получить данные банковских карт по электронной почте, используя доверие клиентов. Такие случаи были и в казахстанских банках. Недавно службы безопасности ряда казахстанских банков выявили попытку незаконного получения личных банковских данных клиентов в преступных целях. Злоумышленники, представляющиеся банковскими сотрудниками, отправляли казахстанцам по электронной почте письма с требованием сообщить данные, указанные на платежных картах, – имя владельца, срок действия и защитный код. При отправке писем мошенники подменяли домен почты фактического отправителя доменными именами казахстанских банков.
Самыми «привлекательными» для злоумышленников и, как следствие, уязвимыми отраслями оказались сегмент высоких технологий, торговля и транспорт. Наибольший объем скомпрометированных данных пришелся на высокотехнологичные компании и организации в сфере образования. Данные торговых, транспортных, высокотехнологичных компаний чаще всего атакуют извне. В банках, страховании, медицине компрометация персональных данных связана, как правило, с действиями внутренних злоумышленников. Среди пострадавших по всему миру – Apple, AT&T, British Airways, Google и другие крупные компании. Утечки данных зарегистрированы даже в АНБ и ЦРУ.
Интересно, что более чем в половине случаев утечек виновными оказались непосредственно сотрудники компаний, в 1,1% случаев – высшие руководители организаций.
Еще один типичный сценарий – внешняя атака с целью хищения агрегированных персональных данных. Чуть менее 2/3 от совокупного объема персональных данных, скомпрометированных в 2015 году, «утекли» в результате внешней атаки. Самые заметные инциденты 2015 года связаны с неправомерной деятельностью хакеров, проникновением в инфраструктуру компаний, извлечением агрегированной информации о сотрудниках и клиентах.
Так, неизвестные злоумышленники вторглись в сеть страховой компании Excellus BlueCross BlueShield и получили доступ к персональным данным ее клиентов. От взлома пострадали более 10 млн человек. Хакеры получили доступ к номерам социального страхования, платежным данным, адресам, датам рождения клиентов Excellus. Компания заявила, что атака началась более 2 лет назад.
Огромное количество утечек, которые длятся длительное время, означает, что большинство компаний не проводят регулярный мониторинг информации.
Утечка квартальной отчетности Twitter даже спровоцировала падение акций компании. Финансовые результаты Twitter раньше других опубликованы службой финансовой разведки Selerity (в твиттер-аккаунте). Оборот сервиса микроблогов оказался меньше ожидаемого – $436 млн против $456 млн. К закрытию торгов акции Twitter подешевели на 18%. Цена акций составила $42,27, капитализация компании – $27,6 млрд. Это было самое значительное падение акций сервиса микроблогов с октября 2014 года.
В результате внешней атаки компании несут огромные финансовые потери. Одна утечка данных способна кардинально изменить будущее бизнеса, негативно повлиять на стратегию организации. Хакерская атака на сайт знакомств Ashley Madison, скорее всего, не позволит его создателям выйти на IPO. Владелец ресурса компания Avid Dating Life Inc (ADL) планировала выручить от размещения на Лондонской бирже до $200 млн. В результате взлома сайта в Сети оказались данные 37 млн человек.
Обилие утечек из офисов еще раз показывает, что шифровать надо не только ноутбуки и прочие мобильные устройства, но и другие стационарные носители конфиденциальной информации. Защититься от всех угроз разом, скорее всего, не получится, но в любом случае компаниям, чтобы защитить данные, необходимо непрерывно инвестировать в информационную безопасность.
