Удаленка обернулась для банков утечками

Примерно пятая часть участников опроса утверждают, что масштабные утечки в их банках обернулись для организаций крупными штрафами со стороны регуляторов. Менее 10% респондентов отметили случаи, когда утечка в банке не повлияла ни на сам банк, ни на ответственных сотрудников. Более 70% участников опроса рассказали, что утечки чувствительной информации являются основанием для привлечения ответственных сотрудников к дисциплинарным взысканиям, вплоть до увольнения. В 2020 г. ситуация еще более осложнилась в связи с массовым переходом сотрудников финансовых организаций на удаленный режим работы. Абсолютное большинство участников опроса - 80% респондентов - отмечают увеличение объема утечек информации в результате перехода части сотрудников на "удаленку". Эксперты "Ростелекома" видят в этом сразу несколько причин. Во-первых, некоторые организации не смогли оперативно перевести работу систем защиты конфиденциальной информации на мониторинг удаленного персонала. Во-вторых, персонал компаний в условиях "удаленки" стал активнее использовать неконтролируемые каналы коммуникаций (внешние облачные хранилища, съемные носители и т.п.) для передачи конфиденциальных данных. Кроме того, в домашних условиях работники зачастую теряют бдительность и собранность. Все это повышает риск ошибочных действий сотрудников и приводит к росту числа непреднамеренных утечек. По мнению участников исследования, утечки в банках в 2020 г. чаще случались по неосторожности, чем по злому умыслу. Об умышленных утечках в чистом виде заявили только 20% респондентов. 30% опрошенных убеждены в том, что утечки носят случайный характер. Примерами таких "случайностей" могут быть необдуманная отправка данных третьим лицам или публикация служебной информации в таких открытых источниках, как социальные сети или мессенджеры. Половина респондентов утверждают, что случайные и умышленные утечки происходят в их организациях в равном объеме. Что касается каналов утечек, преобладающих в финансовых организациях, респонденты отметили 6 основных – это утечки через интернет (внешние облачные хранилища, интернет-почта и т.п.), мессенджеры, корпоративная электронная почта, съемные носители информации (USB и т.п.), печать на принтере и специализированные внутренние системы организации. На канал "утечки через интернет" приходится 33% инцидентов. В 28% случаев данные утекают из организации через мессенджеры. Еще примерно в 24% случаев – через корпоративную электронную почту. Остальные 15% приходятся на съемные носители информации, печать на принтере и внутренние системы банка. Старший бизнес-аналитик "Ростелеком-Солар" Елена Черникова отмечает, что объемы утечек снижаться не будут, по крайней мере, в России. "Ростелеком-Солар" прогнозирует рост в районе 10% по отношению к прошлому году. "Ситуация не изменится в лучшую сторону, хорошо будет, если не изменится в худшую. Пока мы прогнозируем рост утечек, возможно, не по объему, поскольку с распространением систем защиты от утечек привлекать к себе внимание крупными кражами данных становится все опаснее, - но по количеству более мелких утечек. С другой стороны, пока мы не наблюдаем веских трендов, которые бы свидетельствовали о том, что может снизиться доля непредумышленных утечек. Третья волна Covid-19 опять вернула массовую удаленную занятость, при этом пока очень маленький процент работодателей стремится объяснять сотрудникам "правила игры" в новом формате распределенного офиса. Например, какие риски может иметь пересылка на личную почту конфиденциальной коммерческой информации, ее распространение через мессенджеры или социальные сети. До тех пор, пока уровень общей ИБ-грамотности сотрудников остается невысоким, ожидать видимых изменений в массовом небрежном обращении со служебной информацией не приходится", - отмечает Елена Черникова. Елена Черникова не ожидает, что позиции в "рейтинге" каналов утечек принципиально изменятся. Естественно, что съемные носители информации и печать конфиденциальных данных на принтере будут постепенно уходить в небытие. Во-первых, потому что это отмирающие элементы бизнес-процессов. Ведь все меньше сотрудников используют какие-то внешние подключения к рабочей станции, если можно просто переслать с нее файлы на личную электронную почту или разместить их в облаке, доступ к которому не зависит ни от местоположения, ни даже от конкретного устройства. Данные и большинство файлов в облаке спокойно можно открыть и даже редактировать с мобильного. Во-вторых, потому что это наиболее контролируемые каналы коммуникаций, отмечает Елена Черникова. Во многих компаниях по умолчанию установлен запрет на использование съемных носителей для копирования информации, а возможность печати документов также жестко регламентирована. "Мы видим определенные риски в реализации новых схем утечек благодаря технологиям, которые стали доступны многим удаленным сотрудникам. Это, например, удаленное подключение к рабочему месту с любого устройства, на котором такой доступ возможен, например, с личного ноутбука или мобильного устройства. Контроль действий пользователей с личных гаджетов возможен только с их согласия и ведома, получить которое практически невозможно. Соответственно, личное устройство, с которого организован удаленный доступ к рабочему месту сотрудника, в этот момент, по сути, становится аналогичным флешке или google-облаку", - подчеркивает Елена Черникова. Главный эксперт по кибербезопасности "Лаборатории Касперского" Сергей Голованов отмечает, что утечки через инсайдеров - это распространенная глобальная проблема, с которой сталкиваются и давно пытаются бороться финансовые организации по всему миру. Увеличение числа утечек если и идет, то в пределах статистической погрешности, на несколько процентов. Эта проблема сохраняется, потому что всегда остаётся человеческий фактор, которому практически невозможно противостоять исключительно техническими мерами. Операционный директор глобальной штаб-квартиры Group-IB в Сингапуре Сергей Никитин отмечает, что "слив" базы данных клиентов или продажа на подпольных хакерских форумах может быть как следствием утечки от сотрудника - инсайдера, так и целевой атаки на инфраструктуру компании, например, со стороны хакерских группировок. Например, в последнее время перед тем, как пошифровать серверы компании, операторы программ-вымогателей похищают чувствительные документы, чтобы, выставив их на аукцион, иметь дополнительный рычаг для шантажа. Бывают, впрочем, случаи, когда из-за халатности сотрудников или неправильной настройка программного обеспечения важные данные становятся доступны третьим лицам - специалисты по информационной безопасности (аудиторы, пентестеры) или злоумышленники обнаруживают их в открытом доступе и сообщают об этом в паблик. В России базы данных клиентов часто "утекают" в результате действий инсайдеров, то есть самих операторов данных, которые незаконно подрабатывают на сервисы пробива, подчеркивает Сергей Никитан. В первую очередь, речь идет о людях, которые работают с данными (администраторы баз данных, операционисты, менеджеры по продажам). Из-за того, что в ковидное время, часть сотрудников перевели на удаленну работу из дома, количество утечек заметно увеличилось. "Банки, разумеется, с этой проблемой уже столкнулись и приняли меры. Проблема в том, что использование технических средств только на стороне банка по мониторингу и борьбе с утечками недостаточно - инсайдер, может, например, сфотографировать данные на личный телефон. Да и халатность никто не отменял - сотрудник банка может использовать один и тот же аккаунт в мессенджерах для служебной переписки и передачи чувствительных данных на работе и дома. Если сеть банка защищена, то, к сожалению, дома очень многие люди редко соблюдают правила цифровой гигиены и легко могут стать жертвами атаки - от компрометации домашнего роутера до взлома аккаунта с помощью фишинга", - отмечает Сергей Никитин. Российскому банковскому сектору необходим "взрослый" комплексный подход, считает Сергей Никитин. Он должен включать в себя: системы для обнаружения и остановки целевых атак, которые могут привести к утечке данных, системы для исследования и атрибуции кибератак и обнаружения признаков утечки данных в уникальных закрытых источниках (DarkWeb, Telegram -каналы), системы для борьбы с мошенничеством и утечками данных с онлайн-порталов компании и из мобильных приложений, анализ периметра защищенности компаний, аудит сайтов, приложений и расследование утечек, если они уже имели место. Именно таким образом можно обеспечить проактивный мониторинг, в том числе андеграундных площадок для того, чтобы предотвратить новые инсайды и угрозы для своих клиентов, поскольку данные, содержащиеся в базах, могут быть использованы, например, при телефонном мошенничестве, уверен Сергей Никитин. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что в 2020 году рост утечек в российской финансовой сфере составил более 36%. Более 80% утечек их российских финансовых организаций в прошлом году произошли по вине внутренних нарушителей, тогда как в мире немногим более 50%. "Удаленка во многом способствовала еще большему развитию дистанционных услуг, и, как следствие, росту утечек конфиденциальной информации на фоне появления новых уязвимых и трудно контролируемых точек входа в корпоративные системы. Во время пандемии мы также отметили усложнение вектора многих утечек - речь идет о сговоре внутренних и внешних нарушителей", - подчеркивает Андрей Арсентьев. Как и во многих случаях, избежать утечек по различным каналам передачи конфиденциальных данных позволяет использование современных средств защиты информации, таких как DLP-системы при условии их корректной настройки, отмечает Андрей Арсентьев. Поэтому тренд на снижение количества утечек может прослеживаться в случае укрепления инфраструктуры предприятий надежными техническими средствами. Менеджер по информационной безопасности Accenture в России Марат Цихмистров считает, что есть несколько факторов угроз, связанных с "удаленкой". Во-первых, опасность работы с домашних устройств (компьютеры, ноутбуки, планшеты): не секрет, что домашние пользователи редко озадачивают себя обеспечением безопасности, поэтому задача перехвата корпоративных данных или проникновения в сеть организации становится для хакера на порядок проще. Своей цели преступники могут достигать как с помощью массовых фишинг-рассылок, так и через "обработку" сотрудника компании, информацию о котором можно найти при помощи инструментов OSINT (разведка на основе открытых источников, в основном это соцсети). Во-вторых, риски усиливаются из-за за замедления скорости обнаружения и реагирования на компьютерные атаки. При массовой удаленной работе неизбежно теряется самый ценный ресурс - повышается время обнаружения атаки или это вообще становится невозможным, отмечает Марат Цихмистров. "Если раньше системы мониторинга были заточены на защиту периметра компании, то с переводом сотрудников на "удаленку" понятия периметра стали более размытыми и сам периметр защиты увеличился. Теперь для эффективного противодействия злоумышленникам нужно контролировать каждого удаленного сотрудника и каждое его устройство, с которого он работает. При этом контролировать личные устройства гораздо сложнее чем корпоративные, так как для этого требуется согласие сотрудника на передачу контроля над его устройством компании. Если в компании нет инструментов мониторинга и анализа действия пользователей, такого рода злонамеренные активности невозможно будет отследить", - подчеркивает Марат Цихмистров. Ведущий системный инженер Varonis Александр Ветколь отмечает, что в 2020 г. наблюдался существенный рост утечек данных практически во всех отраслях. Ключевая причина в том, что 2020 г. вынудил многие организации (и финансовый сектор здесь не исключение) перейти на удаленную работу и в облако без должной готовности с точки зрения кибербезопасности. Это привело к экспоненциальному росту внутренних угроз, связанных, в том числе, с кражей данных. "По нашему опыту, скрытой причиной таких "неумышленных" утечек данных может быть чрезмерный (избыточный) доступ сотрудников к данным. По результатам ежегодного отчета Varonis о рисках данных в финансовой сфере, в среднем у сотрудника финансовой компании появляется доступ почти к 11 миллионам файлов в первый же день работы. Для крупных организаций это число удваивается: 20 миллионов файлов открыты для всех сотрудников. На статистику утечек также влияет два фактора: во-первых, не обо всех инцидентах становится известно службе информационной безопасности, а во-вторых, имеет значение время реакции на инцидент", - подчеркивает Александр Ветколь. У абстрактной компании, работающей в сфере финансов, уходит в среднем 233 дня на обнаружение и предотвращение утечки данных, отмечает Александр Ветколь. В иных компаниях такие утечки могут и вовсе остаться незамеченными (такие случаи не учитываются при построении средней оценки). Иными словами, среднестатистическая финансовая компания устранит взлом, приводящий к утечке данных, только через восемь месяцев после его осуществления. Этого более чем достаточно, чтобы "пробелом" в безопасности можно было воспользоваться неоднократно за указанный период и вынести далеко не пару-тройку папок документов. Когда у компаний есть очевидные пробелы в безопасности, такие как бессрочные пароли, открытые для всех папки с конфиденциальными данными, не устраняемое "сломанное наследование прав" при переносе папок и/или файлов, и многие другие "базовые" критерии оценки риска – количество случаев утечек данных будет возрастать из года в год, считает Александр Ветколь. Необходима минимизация прав доступа к информационным системам и файловым хранилищам до строго необходимых для работы конкретных сотрудников компании (т.н. "уменьшение площади атаки"). "Первое - важно убрать с оперативного файлового хранилища данные, которые находятся там по принципу "а вдруг пригодится", переместив их на долговременное хранение в другие места, доступные только администраторам систем хранения или кураторам управления жизненным циклом данных. Второе - нужно уменьшить количество открытых для доступа любого сотрудника компании папок: в первую очередь тех, куда они могут сами положить данные, во вторую - доступных всем на чтение. Третье - стоит выявить расположение конфиденциальных данных на хранилищах, в первую очередь для ограничения доступа, а также чтобы понять, кто фактически использует эти данные, не стоит ли отозвать доступ у тех, кто им не пользуется на основе аудита и поведенческого анализа всех действий сотрудников с данными, хранящимися в информационных системах", - подчеркивает Александр Ветколь. Заместитель генерального директора CorpSoft24 Михаил Папура отмечает общий тренд по увеличению количества утечек в компаниях разных отраслей, именно в связи с переводом сотрудников на удаленный режим работы. Причины - не обязательно халатность. У одних это недостаток самодисциплины, а у других растерянность от нарушения привычного порядка работы, смены организационного и системного окружения, приводящие к снижению внимания и утрате командного духа. Интересы компании у таких сотрудников постепенно отходят на второй план и, как следствие, они перестают уделять должное внимание соблюдению регламентов работы с конфиденциальными документами. Ссылка на источник