В 2023 г. объем утечек персональных данных в России достиг нового рекорда. Российский бизнес оказался под беспрецедентным давлением хакеров, действующих по идеологическим и политическим мотивам. Одновременно уход западных ИБ-вендоров усложнил задачу эффективной защиты данных.
В 2023 г. объем утечек персональных данных в России составил 1,12 млрд записей, что почти на 60% больше, чем в 2022 г. Количество инцидентов в 2023 г. сократилось на 15% до 656 эпизодов. Но это незначительное снижение с лихвой компенсировалось растущим объемом утечек — среднее количество персональных данных, слитых за один инцидент, в 2023 г. увеличилось почти вдвое — с 0,9 до 1,7 млн записей. Это говорит о заметном росте результативности кибератак. Хакеры стали взламывать информационные системы реже, но при этом в их руках все чаще оказывается крупная добыча, говорится в исследовании InfoWatch.
В компании Solar (ранее «Ростелеком-Солар») назвали масштабные утечки конфиденциальной информации, которые «происходят ежемесячно», ключевой киберугрозой для российского бизнеса в 2023 г. По данным BI.Zone, 15% хакерских атак в прошлом году пришлось на сферу ритейла, по 12% — на промышленные и топливно‑энергетические компании, а также финансовые и страховые организации, 10% было нацелено на транспортную отрасль и 9% атак пришлось на государственный сектор. В 8% случаев жертвами стали ИТ‑компании. На долю инженерии, связи, образования и науки выпало 5% выявленных атак, на строительную отрасль — 4%.
Истинный масштаб ущерба может быть существенно выше, поскольку в более, чем 35% прошлогодних утечках объем украденных данных не был известен. Кроме того, «серой зоной» остаются утечки, о которых компания может даже не подозревать, и которые могут продолжаться годами, отмечает Виктор Рыжков, руководитель направления развития бизнеса по защите данных Positive Technologies. «Злоумышленник — внешний или внутренний — может присутствовать в инфраструктуре и на регулярной основе выгружать небольшие кусочки данных, к которым у него есть доступ. В среднем, по результатам расследований кибератак, хакер проводит около 45 дней внутри сети компании до обнаружения. Бывали случаи, когда злоумышленник оставался незамеченным 5 лет», — говорит он.
По подсчетам Solar, в 2023 г. средний ущерб от одной утечки информации составил 5,5 млн руб. Данная оценка включает прямые финансовые издержки и не учитывает потенциальные репутационные потери, а также штрафные санкции.
Заметно возросло количество атак на финансовые организации, отмечают в InfoWatch. Доступ злоумышленников к персональным данным привел к расцвету мошенничества по телефону. В сутки россияне получают от мошенников до 8 млн телефонных звонков без учета звонков через мессенджеры. С учетом последних — до 15 млн звонков, рассказал на уральском форуме «Кибербезопасность в финансах» заместитель председателя правления Сбербанка Станислав Кузнецов. Для сравнения, в 2022 г. в сутки совершалось до 5 млн звонков от телефонных мошенников.
Рост хактивизма — одна из причин
Рост объемов утечек данных был спрогнозирован несколько лет назад и он обусловлен, в первую очередь, появлением крупных хранилищ персональных данных, (относящихся к социальным сервисам, операторам связи, маркетплейсам и т. д.) на фоне ускоренной цифровизации экономики. В настоящее время именно они становятся основными мишенями для кибератак, поясняют в InfoWatch.
В последние годы экономика России активно цифровизуется. Однако эксперты к главным причинам роста объема утечек данных относят не цифровизацию, а рост волны хактивизма (киберпреступлений по идеологическим и политическим мотивам), применение компаниями устаревших методов защиты, недооценку рисков, сокращение бюджетов и отказ от работы с западными решениями. «Цифровизация экономики идет уже много лет, и, конечно, оцифровка данных, централизация их хранения и разработки создают предпосылки для роста рисков атак с целью воздействия на эти данные. Но массовые утечки начали происходить только после начала СВО», — говорит заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов. С ним согласна кандидат технических наук, начальник аналитического центра кибербезопасности «Газинформсервис» Лидия Виткова. «Цифровизация создала большую поверхность для новых атак, но это лишь частично повлияло на рост количества утечек. Цифровизация экономики началась еще до 2010 г., а резкий всплеск утечек мы фиксируем с конца февраля 2022 г., и с тех пор волна не спадает», — говорит она.
Эксперты указывают на рост количества атак хактивистов. Их группировки атакуют крупные организации всех отраслей: от госсектора и транспортных компаний до ритейла. Так, по итогам 2023 г. около 80% объявлений о российских торговых компаниях на теневых рынках предлагают бесплатную раздачу украденных баз данных — это результат работы хактивистов, рассказывает Виктор Рыжков. При этом если раньше хактивистами становились нарушители с низким потенциалом (обычные пользователи), то сейчас все перешло на уровень целенаправленных и проработанных атак, к которым привлекают хактивистов, но управляют ими очень подготовленные группировки, указывает Лидия Виткова. Хакеры «прокачались», атаки стали сложнее и изощреннее, подтверждает Рустэм Хайретдинов.
«Все больше хактивистов переходят к финансово мотивированным преступлениям.
Заметный тренд 2023 г. — переход преступников этой категории от массовых атак к целевым, направленным на определенные компании, которые наиболее интересны злоумышленникам с точки зрения публичности. Сообщения о таких атаках и полученные конфиденциальные данные преступники активно публиковали в своих Telegram-каналах», — прокомментировал Олег Скулкин, руководитель BI.Zone Threat Intelligence.
«Успех атак связан с тем, что проектирование цифровых систем в мирное время проходило с недооценкой рисков таких атак и соответствующим этому подходу недофинансированием компонентов защиты цифровых систем», — говорит Рустэм Хайретдинов. Сегодня для защиты данных компании применяют подходы и инструменты, которые появились на рынке более 10 лет назад, указывает Виктор Рыжков. «Каждый из используемых продуктов предназначен для решения конкретной задачи: один — для защиты баз данных, второй — файловых хранилищ, третий отслеживает утечки конфиденциальной информации в сетевом трафике и т. д. Такой атомарный подход работал в то время, когда инфраструктура данных состояла из набора изолированных или мало связанных сегментов, каждый из которых был относительно статичным и слабо менялся во времени», — говорит он.
«С тех пор инфраструктура данных эволюционировала в большой, гетерогенный организм из сотен тысяч элементов, связанных между собой и быстро меняющихся в динамике. Эти изменения произошли благодаря появлению больших данных и усилению роли данных в жизни компании. Теперь данные — критически важный актив для принятия ключевых решений по операционным, тактическим и стратегическим вопросам. В этих новых условиях становится сложно не только выявлять инциденты информационной безопасности, но и классифицировать данные, которые хранит и обрабатывает организация, и точно определять, где и в каком виде они находятся. Без решения этих задач дальнейшее построение эффективных политик защиты просто невозможно», — считает Рыжков.
Никаких предпосылок для изменения тенденции
В ближайшее время число атак и объем утечек точно не уменьшатся, так как предпосылок для повышения уровня информационной безопасности или снижения числа атак нет, говорит основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. «Ожидать изменений можно через год-полтора после появления первых прецедентов в применении оборотных штрафов, когда бизнес поймет, что инвестировать в информационную безопасность дешевле, чем платить за утечки», — указывает он.
Руководитель сервиса Kaspersky Digital Footprint Intelligence Юлия Новикова также в ближайшее время не видит предпосылок для смены тенденции по росту объемов утечек данных. По прогнозам «Лаборатории Касперского», наибольшее число фактов компрометации по-прежнему будет относиться к представителям сферы ритейла, интернет-коммерции. «При этом мы также видим, что атакующие стали обращать больше внимания на ИТ-компании, финансовые учреждения, и, скорее всего, эта тенденция продолжится и далее», — говорит Новикова.
Лидия Виткова считает, что будут появляться новые сценарии социальной инженерии, мошенничества и фишинга, и будут продолжаться атаки на российских пользователей. «Но вот будет ли это приводить к утечкам, не уверена. Скорее, преступные группировки будут максимально использовать уже утекшие данные и переходить к сценариям с мошенничеством и к социальной инженерии», — считает она.
По прогнозам Positive Technologies, в 2024 г. госсектор России столкнется с увеличением числа высококвалифицированных целевых атак. Они будут иметь более разрушительные последствия, которые могут привести к утечкам как персональных данных, так и другой конфиденциальной информации. При этом при взломе корпоративной инфраструктуры будет усиливаться роль социальной инженерии, указывает Ашот Оганесян. «Если раньше основными методами атак были фишинг и сканирование, то сейчас появляется все больше схем с поддельными сообщениями в мессенджерах, с помощью которых мошенники получают доступ к персональным данным сотрудников. Не за горами подобные же схемы получения доступа к внутренним ресурсам», — комментирует эксперт.
Вторая важная тенденция, по мнению Оганесяна, — растущее число взломов компаний-аутсорсеров, после которых на черный рынок попадают данные десятков их клиентов. При этом сами аутсорсеры отличаются низким уровнем информационной безопасности, так как сама их бизнес-модель предусматривает низкую цену за счет минимальных вложений в свою инфраструктуру.
Необходим комплексный подход
По подсчетам Positive Technologies, на сегодняшний день почти 40% российских компаний с численностью сотрудников от 500 человек используют 5 и более продуктов для защиты данных, среди которых есть непрофильные. «Разнообразие применяемых инструментов усложняет мониторинг обращения к данным, замедляет реагирование на вредоносную активность, затрудняет классификацию и инвентаризацию всей инфраструктуры данных», — объясняет Виктор Рыжков.
«В этих условиях на рынке формируется потребность в продукте, который способен понимать, где и какие данные хранятся, как они соотносятся друг с другом, независимо от их типа и локации, и уже с учетом этого знания обеспечивать их защиту. Основой для этого может стать практическая реализация концепции Data Security Platform (платформа безопасности данных, новый класс решений, который ввела компания Gartner — прим. ред). Однако подобных продуктов на российском рынке пока нет», — резюмирует эксперт.
На отсутствие решений, которые бы отвечали современным вызовам, также указывает Ашот Оганесян. «Разработчики по большей части делают громкие заявления. При этом новых продуктов на рынке все так же мало, даже импортозаместить ушедших западных вендоров до конца не удается», — сетует он.
«Довольно долго в информационной безопасности доминировала парадигма защиты инфраструктуры — вся безопасность крутилась вокруг уязвимостей и мониторинга событий в информационных системах. Как видим по инцидентам — этого недостаточно, — делится Рустэм Хайретдинов. — Уязвимости — только вход в цифровую систему, цель хакеров — данные. Поэтому нужно особенное внимание уделять защите собственно данных — а для этого надо понимать, как и зачем их использует бизнес. Возможно, многие унаследованные процессы сбора, обработки и хранения данных являются избыточными и, изменив их, можно существенно снизить риски».
Эксперт указывает на своевременность появления в 2023 г. требований по защите данных в системах управления базами данных (СУБД), сформулированных Федеральной службой по техническому и экспортному контролю РФ. В них подробно описаны направления защиты: контроль доступа, контроль администраторов, контроль транзакций, контроль обращений к СУБД. «Также важно обезличивать (маскировать) данные при их передаче внутренним и внешним подрядчикам с целью тестирования или обучения нейросетей. Важно, чтобы процессы защиты существовали не сами по себе, а были встроенной функцией цифровой системы», — добавляет он.
«Корпоративному сектору необходим комплексный подход к безопасности информации: строгое соблюдение политик предоставления доступа, мониторинг всей ИТ-инфраструктуры, превентивная работа с сотрудниками. Все эти меры дают возможность быстрее проводить расследования и выявлять инсайдеров. Не менее важно уделять внимание корпоративному обучению и тренингам по цифровой грамотности сотрудников», — делится, в свою очередь, Юлия Новикова.
«Также любой компании важно иметь четко оформленный алгоритм действий на случай утечки данных. Он должен состоять из трех этапов: идентификации инцидента, коммуникации и реагирования на инцидент. Так, если компания узнала о возможной утечке информации из открытых источников, в первую очередь стоит подтвердить или опровергнуть факт компрометации данных. Если инцидент подтвердился, следующим шагом будет оценка его масштабов, анализ атакованных ИТ-систем. В этом случае важно провести корректную коммуникацию со всеми заинтересованными сторонами, в том числе сообщить в регулирующий орган детали расследования. Затем важно принять соответствующие технические меры для устранения инцидента и его последствий: провести расследование, определить вектор атаки и факт закрепления злоумышленников в ИТ-инфраструктуре, и устранить угрозу», — рассказывает она.
Не время для экономии
«На рынке присутствует значительный сегмент экономящих клиентов, которые отказываются даже от минимальных вложений в инфраструктуру и, например, не обновляют имеющееся программное обеспечение, чтобы не оплачивать продление лицензий. Их массово ломают с помощью сканеров уязвимостей», — говорит Ашот Оганесян.
«Компаниям не нужно ждать, что скоро все атаки прекратятся или конкретно их обойдут стороной, — говорит Лидия Виткова. — Скорее всего, не обойдут, поэтому нужно, как говорится, держать руку на пульсе. Интересно, что сегодня злоумышленники все чаще используют возможности искусственного интеллекта, но, как ни странно, применение программного обеспечения с элементами ИИ на стороне защиты все еще не так популярно, хотя это дает возможность бороться со злоумышленниками более эффективно. Рекомендую обратить внимание на такие решения, рассмотреть возможность включения их в свой портфель продуктов для обеспечения ИБ».
Бизнесу также стоит наладить процесс обучения сотрудников и повышения их цифровой гигиены, добавляет Виткова. Сейчас это очень важная часть повышения уровня информационной безопасности не только отдельно взятой компании, но и всего государства в целом, говорит она.
«Злоумышленники часто реализуют атаки вручную, поэтому одних средств защиты давно уже недостаточно. Важно понимать, кто и как будет атаковать. Только так можно избежать возможного ущерба, — комментирует Олег Скулкин. — К примеру, чтобы минимизировать риски, связанные с утечками данных корпоративной почты, следует придумывать для всех ресурсов разные пароли, периодически менять их, а для хранения использовать специальные программы — менеджеры паролей. Также полезно регулярно проверять наличие почтовых адресов компании в базах утечек. Для этого можно использовать решения класса Digital Risk Protection (защита цифровых активов — прим. ред.), которые позволяют выявлять утечки корпоративных данных. Пользователям же важно быть внимательными. Сообщать об аномалиях службе кибербезопасности и соблюдать как минимум базовые рекомендации по кибергигиене. Не открывать подозрительные файлы, не переходить по непроверенным ссылкам, не устанавливать программы из ненадежных источников, не подключаться к незнакомым Wi-Fi-сетям, помнить про обновления и резервные копии».