Средний ущерб от утечки информации для российских организаций в 2023 г. составил 5,5 млн руб. Сумма не включает прямые финансовые издержки, не учитывает потенциальные репутационные потери и штрафные санкции.
К таким выводам пришли аналитики группы компаний "Солар". По данным ГК "Солар", с утечками информации чаще всего сталкиваются компании из сферы ретейла (37%), финансового сектора (20%) и игровой индустрии (10%). "Общий объем опубликованных данных составляет 91,8 ТБ. Даже потери 5% конфиденциальных данных от утечек достаточно, чтобы компания утратила лидирующие позиции на рынке. Репутационные потери не поддаются прогнозированию и тесно связаны с финансовыми, так как оказывают прямое воздействие на снижение доходов из-за негативного восприятия компании. По оценкам экспертов ГК "Солар", более 55% средств на ликвидацию последствий таких инцидентов в организациях тратятся именно на решение проблем, связанных с репутационными потерями", - сообщила компания.
Старший аналитик информационной безопасности исследовательской группы Positive Technologies Федор Чунижеков подтвердил ComNews, что количество утечек в России и мире растет, причем утечки конфиденциальной информации являются одной из основных угроз. "Мы зафиксировали в первом полугодии 2023 г. 1607 случаев успешных кибератак в мире, и в 59% этих инцидентов последствиями стали утечки конфиденциальной информации, в то время как за аналогичный период прошлого года зафиксировано 1416 инцидентов, в 42% из которых были утечки конфиденциальной информации", - рассказал Федор Чунижеков.
По его словам, в первом полугодии наиболее подверженными утечкам конфиденциальной информации стали организации из сферы услуг - в 86% инцидентов из этой отрасли были обнаружены утечки конфиденциальной информации. За сферой услуг идет ретейл - в 84% успешных атак отмечены утечки. Третье и четвертое места остались за ИT-компаниями (81%) и медицинскими учреждениями (74%), а замыкают пятерку онлайн-сервисы (70%).
Цифровизация как зона риска
Компания Angara Security полагает, что ретейл, финансовый сектор, гемблинг и другие массовые сервисы чаще других отраслей оказываются в центре внимания из-за утечек персональных данных в силу высокого уровня цифровизации - наличия мобильных приложений и десктопных версий веб-ресурсов, которые аккумулируют миллионы учетных записей.
"Выводы исследования "Солар" во многом совпадают с результатами опроса более 50 CISO ретейлеров и e-commerce-бизнеса, который Angara Security провела летом 2023 г. Свыше 70% специалистов отметили, что за последний год сталкивались с DDoS-атаками на веб-ресурсы, а также изменение характера атак. Они становятся "веерными", хактивисты используют VPS, proxy, VPN и уязвимости абонентского оборудования. Целями являются http- и https-ресурсы и открытые TCP-порты, которые заранее сканируются перед атакой", - сообщила ComNews пресс-служба Angara Security.
По данным компании, в настоящее время до 83% трафика в веб-приложениях составляют API-вызовы, при этом эксперты прогнозируют, что число атак через API-приложения удвоится уже в следующем году. "В этом случае под угрозой оказываются бонусные счета в программах лояльности, платежные данные на онлайн-площадках, в мобильных приложениях маркетплейсов", - подчеркнула пресс-служба Angara Security.
Еще одна важная проблема защищенности веб-приложений - это разрыв между ИT-разработкой и ИБ, отметила пресс-служба Angara Security. "В большинстве случаев приемка безопасности веб-приложений происходит в конце цикла разработки, когда на проверку кода со стороны ИБ-специалистов практически не остается времени. Поэтому необходимо включать безопасность в процесс автоматизации DevOps, чтобы свести количество уязвимостей в готовых продуктах к минимуму. Это позволит значительно оптимизировать обработку уязвимостей, собираемых сканером, которая иногда может занимать до нескольких дней, а также улучшить взаимодействие между различными отделами, работающими над созданием веб-ресурсов и мобильных приложений", - отметила пресс-служба Angara Security.
Защищай и властвуй
Ведущий консультант по информационной безопасности ИБ-компании Innostage Татьяна Никонорова рассказала ComNews, что утечки могут происходить из-за недостатков технической или организационной защиты. "Первая причина устраняется с помощью внедрения грамотно настроенных средств защиты, вторая - повышением осведомленности и мотивации сотрудников. Рассуждая о вероятности утечки данных, сейчас все еще приходится говорить не "если случится утечка", а "когда она случится". А когда она случилась, бороться уже поздно: данные опубликованы. В таком случае нужно минимизировать риск негативных последствий для субъектов - как минимум признать факт утечки и проинформировать о нем", - подчеркнула Татьяна Никонорова.
Она отметила, что на фоне цифровизации персональных данных (появления цифровых паспортов, сервисов госуслуг и др.) стоит ожидать появления новых способов мошенничества и, соответственно, развития методов противодействия им, однако новые технические методы борьбы вряд ли начнут использоваться до конца года. "Будут развиваться организационные методы борьбы с фишингом, социальной инженерией и повышаться качество внедрения и настройки средств защиты. В частности, улучшится осведомленность узких фокус-групп - белых, синих воротничков, детей и пожилых людей", - считает ведущий консультант по ИБ Innostage.
Генеральный директор компании RooX, которая специализируется на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора, Алексей Хмельницкий напомнил, что утечки данных - это комплексная проблема, решение которой тоже должно быть комплексным.
"Основных составляющих для снижения рисков утечек несколько. Первое - разработка систем управления доступом должна проводиться на базе принципа "нулевого доверия", который означает особый контроль доступа сотрудников к информационным системам компании. Даже если пользователь работает внутри корпоративной сети и использует корпоративный компьютер, он должен пройти процедуру идентификации и аутентификации, а при каждом доступе к какому-либо корпоративному ресурсу подтверждать свои права", - считает Алексей Хмельницкий.
По его словам, необходимо обязательное использование многофакторной аутентификации (MFA). "При всех недостатках СМС-кодов они значительно увеличивают безопасность, что подтверждается исследованиями Google и Microsoft в области MFA. Для более серьезных случаев необходимо применять "железные" токены с ключом КЭП или криптографические способы авторизации и аутентификации. В идеале аутентификация должна быть адаптивной с анализом контекста аутентификации, в том числе с использованием средств Machine Learning", - рассказал гендиректор RooX.
Он добавил, что среди других составляющих комплексной защиты от утечек данных - антивирусная проверка файлов, использование специализированного ПО для защиты от утечек данных (DLP), внедрение системы управления мобильными устройствами, находящимися у сотрудников (MDM), и применение файерволов для защиты веб-приложений.