Утечки данных 2019: статистика, тенденции кибербезопасности и меры по снижению рисков взлома

В минувшем году новостные ленты пестрили заголовками об утечках данных банков, социальных сетей, веб-сервисов, мобильных приложений. Все понимали, что ничего хорошего в этом нет, но весь масштаб трагедии в полной мере никто не осознавал.

Мы решили рассказать, как часто в мире происходят утечки данных, кто на самом деле во всём этом виноват и как организациям обезопасить данные своих клиентов.

Согласно докладу о глобальных рисках Всемирного экономического форума 2019 года, мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкивается каждая организация. По своей значимости эти риски приравниваются к экологическим проблемам.

В официальном ежегодном отчете о киберпреступности (ACR) за 2019 год, опубликованном Cybersecurity Ventures, сообщается, что атаки хакеров во всём мире происходят каждые 14 секунд, а к 2021 году их частота возрастёт до каждой 11 секунды.

Специалисты компании InfoWatch в конце года рассказали Известиям, что за прошлый год в сеть утекло более 14 млрд. конфиденциальных записей. Рост числа утечек во всём мире по сравнению с 2018 годом увеличился на 10%, в России – более чем на 40%.

Согласно последнему отчёту DLA Piper о статистике GDPR (Общий регламент защиты персональных данных ЕС), Нидерланды, Германия и Великобритания занимают первые три строчки по количеству уведомлений о нарушениях данных, о которых было сообщено регулятору.

За период с 28 января 2019 г. по 27 января 2020 г. количество уведомлений в день увеличилось с 247 до 278 в сравнении с периодом с 25 мая 2018 г. по 27 января 2019 г. Рост составил 12,6%. В 2020 году эксперты прогнозируют рост этих показателей.

По словам начальника отдела центра жалоб на интернет-преступления ФБР, США, общее число зарегистрированных киберпреступлений составляет всего лишь 10–12% от фактического числа. Всё потому, что пострадавшие граждане или организации, подвергшиеся вымогательству в сети, боятся обращаться за профессиональной помощью для решения вопроса из-за рисков допустить публикацию украденной информации.

В отчете NETSCOUT зафиксирована самая большая DDoS-атака за всю историю – 1,7 ТБ/сек., жертвой которой стала одна американская компания. Для сравнения, самая высокая доступная скорость интернета Xfinity – 2000 мбит/сек.

Университет Сиднея в Австралии опубликовал исследование, в котором говорится, что большинство анонимных транзакций и незаконных действий в сети происходят с использованием криптовалюты биткоин, общий оборот которых составляет 76 млрд. долларов. Это эквивалентно сумме оборота всех наркотиков в США и Европе. Большинство хакеров требуют выкуп именно в этой криптовалюте.

С развитием повсеместного проникновения интернета и роста аудитории различных сервисов, 2019 год естественным образом побил все рекорды и по количеству утекших данных и по размеру штрафов, которые накладывали на организации регулирующие органы по защите персональных данных.

Мы даже завели специальную страницу, где фиксировали (и продолжаем фиксировать) все самые заметные утечки данных в России и мире с начала 2019 года. Конечно, она не отражает всей картины происходящего. Она содержит только те данные, которые попадают в СМИ. Но даже глядя только на эту статистику, становится понятно, что киберпреступность является серьёзной угрозой для любой компании в мире и одной из самых больших проблем человечества.

30 января 2019 г. Weird рассказал о самой большой утечке данных за всю историю – 2,2 млрд. уникальных имен пользователей и паролей свободно распространялись хакерами на форумах и торрент-трекерах. Мегапак прозвали коллекцией №2–5, которая насчитывала 845 ГБ данных и около 25 млрд. записей. Коллекция №1, обнаруженная ранее в январе того же года, содержала только 773 млн. уникальных имён пользователей и паролей.

2 июля 2019 г. Forbes сообщил, что исследователи обнаружили на незащищенном сервере почти 2 млрд. пользовательских записей «Умного дома» китайской компании Orvibo, которые содержали различную информацию – от кодов сброса учетных записей до паролей пользователей.

22 ноября 2019 г. Weird узнали, что на одном сервере обнаружено 1,2 млрд. пользовательских данных, которые содержат почти 50 млн. домашних и мобильных телефонных номеров и связанных с ними профилей в популярных соц. сетях: Facebook, Twitter, LinkedIn, Github, а также 622 млн. уникальных адресов электронной почты.

24 мая 2019 г. на портале KrebsonSecurity опубликовали статью, из которой стало известно, что крупная американская страховая компания First American Financial Corporation допустила утечку 885 млн. оцифрованных данных клиентов: банковские реквизиты, номера социального страхования, квитанции о транзакциях, изображения водительских прав и пр.

25 февраля 2019 г. директор по кибербезопасности и журналист SecurityDiscovery.com Боб Дьяченко, сообщил, что обнаружил на незащищённом сервере дамб данных MongoDB размером 150 ГБ, который был не запаролен. База содержала порядка 800 млн. адресов электронной почты, из которых 4 млн. содержали ещё и номера телефонов.

23 сентября 2019 г. специалисты компании по кибербезопасности DeviceLock сообщили Известиям, что с сервера оператора фискальных данных (ОФД) «Дримкас» утекло 76 млн. записей, которые содержали полные реквизиты фискальных чеков, включая порядковые номера, дату и время, ФИО продавца, количество товара, их названия и цены.

1 октября 2019 г. портал об информационной безопасности Comparitech.com совместно с исследователем по кибербезопасности Бобом Дьяченко обнаружили в Интернете 20 млн. налоговых деклараций российских граждан, которые больше года были доступны без пароля на сервере Amazon Elasticsearch. Данные содержали ФИО, адреса, статусы резидентов, номера паспортов, телефонные номера, суммы налогов.

27 февраля 2019 г. портал autonews.ru опубликовал расследование, в котором утверждалось, что за сумму подписки в 750 руб./сутки или 2 500 руб./месяц можно было получить доступ к базе 30 млн. автовладельцев, которые оплачивали парковку в Москве при помощи мобильного приложения Департамента транспорта Москвы или просто по номеру телефона. При заказе отчета можно было получить подробные данные из баз ГИБДД, включая госномера всех когда-либо зарегистрированных на гражданина автомобилей, VIN-номера, номера ПТС и СТС, даты, места и продолжительность стоянки.

1 октября 2019 г. уже упомянутым ранее Бобом Дьяченко в сотрудничестве со специалистами портала Comparitech.com была обнаружена база с 20 млн. налоговых деклараций граждан России за период с 2009 по 2016 год, которая была доступна без пароля на сервере Amazon Web Services Elasticsearch. Записи включали в себя ФИО, адреса, статусы резидентов, номера паспортов, телефонные номера, идентификационные номера налогоплательщиков, имена работодателей и суммы налогов.

7 октября 2019 г. Коммерсанту стало известно, что данные 9 млн. абонентов широкополосного доступа в Интернет от «Билайн» выложили в сеть. Сотрудники издательства, у которых подключен или был когда-то подключен интернет от «Билайна», нашли в базе свое полное ФИО, адрес, мобильный и домашний телефоны.

Все компании, которые собирают, хранят и передают ценную личную информацию о потребителях, являются возможными объектами кражи данных. Похищенную информацию киберпреступники используют для дальнейшего обогащения, перепродавая её на чёрных рынках, требуя выкуп от пострадавших за сохранение и неразглашение конфиденциальных сведений или для банальной кражи средств.

Согласно исследованию, проведенному Институтом Ponemon при финансовой поддержке Raytheon в 2018 году, тремя основными причинами взлома данных являются:

1. Внешняя хакерская атака – 24,6%;

2. Сбой системы безопасности и внутренние уязвимости – 19,5%;
3. Человеческий фактор – 18,7%.

Злоумышленники постоянно разрабатывают новые способы кражи конфиденциальных данных. Все устройства, приложения и пользователи подвержены более чем 100 различным векторам атак, основные среди которых – следующие:

Вредоносное ПО. Общий термин, используемый для описания любого программного обеспечения, предназначенного для нанесения ущерба компьютерам, серверам или любому устройству, подключенному к сети. Вредоносное ПО может быть в форме вирусов, троянов или вымогателей.

Ransomware. Разновидность вредоносного ПО, которое ограничивает доступ к вашим файлам до тех пор, пока вы не заплатите выкуп. Ограничение происходит за счёт установки специального шифрования на жестком диске или сервере, снять которое самостоятельно без специальных ключей практически невозможно.

Вирусы. Используются для распространения с одного компьютера на любое подключенное устройство. Они предназначены для того, чтобы дать хакерам удаленный контроль над вашей системой.

Фишинг. Способ интернет-мошенничества, в котором злоумышленники подделывают оригинальные электронные письма или веб-страницы с целью кражи личной информации пользователей.

Кейлоггеры. Разновидность вирусов, которые фиксируют действия пользователя ПК: нажатия клавиш на клавиатуре, движения и клики мыши, дату и время нажатия. Эти данные могут передаваться в автоматическом режиме на сетевой диск, FTP-сервер или по электронной почте.

Clickjacking. Способ, который заставляет пользователей веб-сайтов щёлкать по невидимым или замаскированным элементам для запуска и выполнения непреднамеренных действий.

DDoS-атаки, при которых хакеры пытаются помешать пользователям получить доступ к сервисам. Согласно исследованию Cybint, почти 60% компаний сталкивались с такого рода атаками.

Список можно продолжать, но особого смысла в этом нет. Главным остаётся то, что хакеры постоянно совершенствуют свои навыки и уже давно внедряют искусственный интеллект, который преподносит системам обнаружения потенциальных угроз массу сюрпризов.

В прошлом году также являлись ахиллесовой пятой информационной безопасности.

Так, например, из-за уязвимости в системе управления проектами Jira в сеть утекла конфиденциальная информация сотрудников NASA.

Из-за уязвимости в программном обеспечении Click2Gov в сеть утекли данные 20 тыс. платежных карт жителей 8 городов США.

Исследователь информационной безопасности Ибрагим Балич обнаружил уязвимость в приложении Twitter на Android. Она позволяла сопоставлять 17 млн. номеров телефонов с ID посредством функции загрузки контактов в приложение.

Многие компании пренебрегают важностью оценки уязвимостей и тестирования своих платформ. Только крупные предприятия используют полноценные системы мониторинга на основе рисков и широкого спектра вероятных атак. В малом и среднем бизнесе не происходит практически никакого изучения, сбора и анализа рисков внешнего воздействия.

Если с хакерскими атаками и сбоями систем безопасности ситуация более-менее понятна – от этого практически никто не застрахован, то фактор человеческой ошибки, к сожалению, является одной из самых частых и основных причин нарушений данных, которых вполне можно было бы избежать. Даже самые надежные системы информационной безопасности могут быть подорваны сотрудниками, которые не соблюдают элементарные требования безопасности и халатно относятся к своим обязанностям.

Так, например, 20 мая 2019 г. исследователь безопасности Анураг Сен обнаружил незапароленную базу данных с персональными данными свыше миллионов Instagram пользователей. Она принадлежала маркетинговой компании Chtrbox, которая собирала данные инфлюенсеров, знаменитостей и брендов для размещения рекламы. Записи содержали персональные данные пользователей (е-мейл, телефон) и данные, которые рассчитывали ценность каждого аккаунта, основываясь на количестве подписчиков, вовлеченности, охвате, лайках и проведёных акциях.

Другой случай, произошедший в конце января 2019 г., коснулся крупной IT-компании по информационной безопасности и управлению облачными данными – Rubrik. Исследователем по ИБ Оливером Хафом был обнаружен незащищённый сервер Amazon Elasticsearch с десятками ГБ информации о клиентах: именами, контактными данными, а также сведениями о работе каждого корпоративного клиента, начиная с октября 2018 года. Даже компании, специализирующиеся на кибербезопасности, становятся жертвами ошибок своих собственных сотрудников.

Одним из самых заметных, глупых и нелепых инцидентов, произошедших с безопасностью данных в декабре 2019 г., является кража трёх жестких дисков с данными 29 тыс. сотрудников Facebook из машины их бухгалтера. Они содержали данные о заработной плате, именах сотрудников, номерах банковских счетов и последние четыре цифры номеров социального страхования. Если не брать в расчёт сам факт кражи – от него также никто не застрахован, то жесткие диски просто даже не были зашифрованы. Это абсолютно недопустимо не только для крупных корпораций, но и для любой другой компании.

Согласно тому же докладу о глобальных рисках ВЭФ 2019, упомянутому выше, подавляющее большинство экспертов ожидают повышения частоты кибератак, ведущих к краже денег и данных (82%) и срыву операций (80%).

Одной из причин ускоренного роста киберпреступности, по мнению специалистов, являются технологические тренды. К 2022 году к интернету будет подключен один триллион устройств. К 2023 году у 80% людей появится аватар в цифровом мире. При этом более 50% интернет-трафика в 2024 году будут потреблять "умные" устройства.

Другой тенденцией, которую мы можем ожидать в 2020 году, станет использование искусственного интеллекта (ИИ) для борьбы с киберпреступностью. По мере того, как организации переходят от центра обработки данных к облачным платформам, использование технологий на основе ИИ будет продолжать расти и получать более широкое распространение.

Развитие Deepfakes технологий. Эксперты сходятся во мнении, что на предстоящих выборах президента США мы воочию увидим массу поддельных заявлений, с которых будущие кандидаты или знаменитости будут призывать голосовать за того или иного кандидата. Развитие фейковых видео- и аудиороликов, изображений, также создаёт высокий риск быть обманутым. Мы даже не будем подозревать, что разговариваем сейчас по телефону не со своим руководителем, а с мошенником, который сидит где-нибудь в Парагвае и требует оплатить какой-то странный счёт.

Эксперты ожидают, что провайдеры облачных данных пересмотрят вопрос аутентификации и повысят уровень безопасности своих сервисов. Слишком много данных утекло с облаков в 2019 году.

Исходя из трёх главных причин частых взломов данных, важно не только быть готовым к внешнему вмешательству, тестировать свою инфраструктуру, но и проводить регулярное обучение персонала, потому что сотрудники по-прежнему являются самым слабым звеном в отражении атак киберпреступников. Если они не могут распознать угрозу безопасности, то они и не смогут её предотвратить.

Исследования показывают, что 30% сотрудников не имеют ни малейшего представления о том, что такое фишинговые письма. Это лучше всего объясняет методологию мошенников порой не изобретать велосипед, а воспользоваться старыми проверенными методами, которые приводят к убыткам, составляющим более 26 млрд. долларов в год во всём мире.

Проводите регулярные семинары внутри компании. Расскажите сотрудникам о распространённых методах сетевых атак, угрозах безопасности и их роли в соблюдении правил информационной безопасности.

Обучите их тому, как распознавать и реагировать на различные атаки, используя четкие и понятные руководства. Регулярно проверяйте их и смотрите, насколько хорошо они всё усвоили. Эта информация даст вам понимание, насколько ваша компания подвержена риску допустить утёчку данных изнутри.

Известная практика – выплачивать вознаграждения разработчикам за поиск уязвимостей в продуктах, услугах, веб-сайтах или приложениях. Практикуйте это либо силами своих системных администраторов, либо наймом специалистов по кибербезопасности, которые стоят на стороне добра. Пример такой услуги.

Лучше заплатить этичным хакерам за найденную уязвимость и исправить её, чем попасть в скандал с нарушением данных, заплатить огромный штраф и уничтожить свою репутацию.

Любой антивирус должен обладать этими основными возможностями:

• Обнаружение и предотвращение шпионского, вредоносного и рекламного ПО;
• Всестороннее антивирусное сканирование;
  
• Защита от вредоносных программ с помощью встроенного межсетевого экрана;
  
• Советник по сайту, который интегрируется с вашим браузером, чтобы предупредить вас перед посещением любых потенциально опасных сайтов;
  
• Ограничение доступа к бизнес-данным.
  

Софт, скачанный из Интернета, может содержать шпионское ПО. Купите лицензионную версию и спите спокойно.

МФА немного сложней, чем двухфакторная аутентификация, но более надёжная, т. к. создает дополнительные препятствия для взломщиков.

Пароли действуют как ключи к вашему бизнесу, поэтому к ним следует относиться с максимальной серьёзностью. Не облегчайте работу мошенникам – не оставляйте их в свободном доступе.

Чтобы избежать взлома, используйте надежные пароли. Не лишним будет использовать менеджеры паролей для их генерации и хранения, которые нетрудно освоить.

Распространенная ошибка, которую часто совершают сотрудники, – использование общественного Wi-Fi в аэропортах, отелях и кафе для работы. Это делает их устройства уязвимыми для атак. Киберпреступник может перехватить безопасное соединение и украсть все данные.

VPN обеспечивает высокое шифрование, перенаправляет данные и скрывает вашу личность в Интернете. Ваши данные шифруются и остаются в безопасности.

Вирусы парализовывают компьютерные сети организаций и крадут конфиденциальную информацию не только из облаков, но и с физических носителей. Поэтому важно обезопасить жесткие диски надёжным шифрованием от внешнего проникновения.

Статистика показывает, что кража данных является актуальной проблемой для любой организации в мире. Интернет-мошенники с каждым днём становятся всё более опытными и противостоять их навыкам под силу далеко не каждой компании. Но если мы как минимум будем готовы к внешнему вторжению, риск утечки данных может быть сведён к минимуму. Главное – помнить, что безопасность данных начинается с вас.

Повышайте свой уровень информационной безопасности.

Предупреждён — значит вооружён.