Утекшие данные в России все чаще используются для «кражи личности»

Утекшие данные в России все чаще используются для «кражи личности»

Аналитический центр компании InfoWatch представил глобальное исследование утечек информации за первую половину 2014 года. Впервые в отчет включены не только инциденты, произошедшие по вине внутренних нарушителей, но и утечки, ставшие результатом хакерских атак.

Согласно результатам исследования, Россия удерживает второе место по количеству инцидентов. В исследуемый период было выявлено 96 случаев утечки конфиденциальной информации из российских компаний и государственных организаций. Количество «российских» утечек по сравнению с первым полугодием 2013 года выросло более чем вдвое.

В мире за первое полугодие 2014 года было зарегистрировано 654 случая утечки конфиденциальной информации (3,5 инцидента в день), что на 32% превышает аналогичный показатель за прошлый год. Во всем мире скомпрометировано более 450 млн записей, в том числе финансовые и персональные данные.

Лишь в 22% случаев утечка информации происходила в результате хакерской активности (таргетированной атаки, фишинга, взлома веб-ресурса и пр.). В большинстве случаев (75%) информация утекала по вине внутреннего нарушителя. Однако авторы исследования отмечают, что масштаб последствий не зависит от вектора воздействия. Действия и внешних, и внутренних нарушителей могут быть в равной степени разрушительными, привести к компрометации огромных объемов данных.

Доли случайных и умышленных утечек в первом полугодии 2014 г. равны (по 44,6%). Такая картина наблюдается с 2008 года, вследствие чего аналитики делают вывод о стабилизации роста утечек и их распределений, в том числе из-за довольно широкого распространения средств защиты от утечек и контроля информации (впрочем, пока преимущественно в западных странах, на которые приходится более 70% зарегистрированных утечек).

Если говорить об утечках, происходивших в результате действий внутренних нарушителей, то в 71% случаев такими нарушителями оказывались рядовые сотрудники компаний – нынешние или бывшие (69,2% и 1,4% соответственно). Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (8,4%). В 3,1% случаев ценная информация была скомпрометирована по вине высших руководителей организаций.

В отчете впервые приводится классификация инцидентов по характеру действий нарушителя. К непосредственным утечкам данных относятся 83% случаев компрометации информации, 11% зафиксированных утечек были сопряжены с использованием сотрудниками служебного положения для получения личной выгоды, в 5% утечек произошли вследствие превышения сотрудниками прав доступа к информации.

Если в 2013 году аналитики говорили о «буме» утечек из государственных органов, то в 2014 году наблюдались крупные множественные утечки в образовательных и муниципальных учреждениях, госорганах, в высокотехнологичной отрасли (компрометация интернет-сервисов, утечки у провайдеров). Так, были зарегистрированы 14 утечек с числом скомпрометированных записей от миллиона и более. Среди компаний и сервисов, пострадавших от крупных утечек, Experian, Evernote, Snapchat, Orange. В ходе этих 14 крупнейших утечек было скомпрометировано в общей сложности более 430 млн записей клиентов и сотрудников компаний. Утечки чуть меньших объемов данных зафиксированы в медицине, торговле, финансовом секторе.

При этом в организациях среднего размера зафиксировано существенно больше утечек, чем в крупных компаниях. В ряде случаев в пределах одной отрасли совокупный объем скомпрометированных записей в средних компаниях равен совокупному объему скомпрометированных записей в крупных компаниях. Все это говорит о том, что вопрос защиты ПДн от утечек для среднего бизнеса сегодня столь же актуален, как и для крупного.

В 38,1% случаев утечка происходила через Сеть (личная электронная почта, облачные хранилища). Доля зарегистрированных утечек через этот канал серьезно выросла по сравнению с прошлым годом – на 17,2 п.п. Львиная доля утечек в I полугодии 2014 г. пришлась на три основных канала: Интернет (38,1%), бумажные документы (17,9%) и кража/потеря оборудования (9,9%). Аналитики считают, что этот рост обусловлен более широким внедрением DLP-систем, работающих в режиме мониторинга, в результате чего компании начали осознавать реальное число происходящих у них инцидентов.

В противоположность утечкам через Интернет, зафиксированное число которых можно считать весьма близким к реальному, утечки через мобильные устройства до сих пор находятся «в тени». Формально их доля за исследуемый период составила лишь 0,5%. Однако ввиду практически полного отсутствия контроля за корпоративной информацией, передаваемой через мобильные устройства, можно предположить, что в реальности число подобных инцидентов гораздо выше.

За исследуемый период подавляющее число случаев компрометации конфиденциальной информации (90,7%) было связано с утечками персональных или платежных данных. Эта тенденция наблюдалась и ранее, но в 2014 году чуть ли не три четверти утечек персональных данных были так или иначе связаны с «кражей личности». Утекающие данные впоследствии широко использовались в мошеннических схемах – оформлении кредитов на чужие данные, фальшивых требований по возврату налогов и проч.

«Данные 2014 года говорят о том, что российская картина утечек информации все стремительнее приближается к американской. Все большее распространение получает такой вид преступления, как «кража личности» – использование чужих персональных данных в собственных целях. Если раньше мы об этом читали только в иностранных СМИ, сегодня хищение чужих ПДн с целью мошенничества – обычная практика российских преступников, – комментирует исследование Наталья Касперская, генеральный директор ГК InfoWatch. – К счастью, для нашей страны пока не характерны массовые атаки на крупные онлайн-сервисы или операторов связи с целью хищения базы данных клиентов. Но это вопрос уже завтрашнего дня. Например, еще пять лет назад кража интеллектуальной собственности у работодателя была экзотикой, а сегодня мы слышим о подобных случаях ежедневно. Поэтому анализ глобальной картины утечек необходим российскому рынку, чтобы отслеживать мировые тенденции и предупреждать те угрозы информационной безопасности, которые возникнут перед ними уже завтра».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Усиление ответственности за утечки данных создает риски для ИБ-отрасли

Поправки в законодательство, усиливающие ответственность за утечки данных, подготовлены ко второму чтению. Однако законодатели не предусмотрели исключений для ИБ-специалистов, изучающих данного рода инциденты в профессиональных целях, что, по мнению отрасли, создает угрозу привлечения таких экспертов к ответственности вплоть до уголовной.

Как сообщил в официальном телеграм-канале председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн, Комитет по законодательству одобрил подготовленные ко 2 чтению поправки в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс (УК), резко усиливающие ответственность за утечки и незаконный оборот персональных данных.

В поправках предлагается увеличить размер штрафа в случае повторного нарушения для граждан до 30 тысяч рублей, для должностных лиц — до 200 тысяч, для юрлиц — до 500 тысяч рублей. Если объем данных превысил 1 тысячу субъектов, то штрафы в среднем утраиваются.

За массовую утечку данных (более 100 тысяч субъектов персданных или более 1 млн идентификаторов) штрафы вырастают до 400 тыс., 600 тыс. и до 15 млн рублей соответственно. При повторных нарушениях размер штрафа вырастет до 600 тысяч рублей для граждан и до 1,2 миллиона для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год.

В УК также предлагается новая статья, касающаяся незаконного использования персональных данных, с установлением штрафа до 300 тысяч рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.

Действие статьи УК РФ не распространяется только на обработку персональных данных физическими лицами исключительно для личных и семейных нужд. Однако, как обратили внимание законодателей представители 15 компаний, которые направили письмо в два комитета Госдумы, ответственных за данный законопроект, документ «не предусматривает исключений для компаний, преследующих легитимные цели защиты инфраструктуры от компьютерных атак».  Данное письмо оказалось в распоряжении «Коммерсанта».

Эксперты в данном обращении предлагают закрепить в проекте условия, исключающие уголовную ответственность для тех специалистов, которые занимаются расследованием утечек. По их мнению, важно сохранить возможность проведения анализа украденных данных.

По мнению целого ряда экспертов, опрошенных изданием, наибольшему риску подвержены те компании и специалисты, которые занимаются мониторингом утекших данных на разного рода форумах и каналах в мессенджерах. В итоге ИБ-компании, чтобы избежать юридических рисков, могут просто закрыть данные направления, что приведет к ослаблению противодействия тем, кто занимается распространением утекших данных.

«Деятельность компаний и профессионалов, специализирующихся на мониторинге утечек в малом и среднем бизнесе с целью минимизации рисков кибератак, может стать незаконной, что увеличит вероятность нарушений безопасности»,— отметил в комментарии для «Коммерсанта» генеральный директор компании PassLeak Антон Лопаницын.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru