Что такое утечка персональных данных?
Персональные данные (ПДн) — это любая информация, которая позволяет идентифицировать человека. Выделяют четыре категории ПДн:
-
Общедоступные — сведения, размещённые по согласию субъекта и доступные неограниченному кругу лиц: Ф.И.О., место жительства, возраст, дата рождения, профессия, номер телефона, email. Они присутствуют в открытых источниках: в справочниках, соцсетях, на сайтах.
-
Специальные — данные, которые раскрывают особенности жизни человека: история болезни, гендерная и расовая принадлежность, наличие судимости, религиозные и политические взгляды.
-
Биометрические — уникальные физиологические характеристики: отпечатки пальцев, рисунок сетчатки глаза, строение лица, генный код. Они применяются для идентификации в информационных системах и службах ИБ.
-
Иные — прочая личная информация.
Утечка ПДн — это несанкционированное попадание конфиденциальной информации в общий доступ или к злоумышленникам. Последние применяют раскрытые данные для получения выгоды от частного лица или организации
Как происходит утечка персональных данных?
Согласно отчёту экспертно-аналитического центра InfoWatch, в 2023 году общее количество утечек ПДн в мире увеличилось на 61,5% по сравнению с 2022 годом и составило 11 549 случаев. Главная причина утечки персональных данных — кибератаки, которые составили 98% от общего числа инцидентов. 93,8% утечек произошло по вине внешних нарушителей, более 3% — непривилегированных сотрудников. Причиной большинства инцидентов внутреннего характера — 55,6% — стали случайные нарушения ИБ персоналом компаний.
Непреднамеренное раскрытие по вине инсайдеров случаются из-за несоблюдения правил безопасности: некорректного хранения паролей и документов, неправильной утилизации бумажных носителей, подверженности манипуляциям социальных инженеров. Сведения, хранящиеся в незашифрованном виде, могут быть украдены в случае утери носителя. Встречается и намеренное компрометирование данных сотрудниками разного уровня, которые продают их или используют в личных целях.
Какими методами пользуются злоумышленники?
Утечка персональных данных чаще всего происходит в результате кибератак, которые проводятся с использованием следующих методов:
-
Вирусное программное обеспечение, наносящее вред устройству пользователя. Наиболее распространены программы для удалённого управления, шифровальщики, шпионы, загрузчики.
-
Социальная инженерия. Атаки, основанные на манипуляции в процессе человеческого взаимодействия: атакующий обманом заставляет пользователя нарушать процедуры ИБ, чтобы завладеть данными.
-
Фишинг. Кибератака реализуется в форме массовой рассылки электронных писем, которые выглядят как сообщения из надёжных или известных источников. Киберпреступник рассчитывает, что жертва не заметит подделки и добровольно введёт свои личные данные. Наиболее известен почтовый фишинг, при котором атакующие массово рассылают электронные письма и с помощью манипулятивных техник побуждают пользователей перейти по подменённым ссылкам.
-
Расширенные постоянные угрозы. Это целевая кибератака с применением специальных инструментов, при которой атакующий проникает в корпоративную сеть и длительное время остаётся незамеченным, занимаясь кражей данных.
-
Вторжения типа «человек посередине». При этих кибератаках нарушитель перехватывает сообщения, пересылаемые между двумя сторонами, которые считают, что общаются между собой.
-
SQL-инъекция. Метод, при котором атакующий получает доступ к базе данных веб-ресурсов путём добавления строки вредоносного SQL-кода в её запрос. SQL-инъекция делает доступными конфиденциальные данные и позволяет выполнять вредоносные SQL-выражения.
Особую опасность представляют методы социальной инженерии, поскольку они дают возможность обходить даже самые сложные системы ИБ. Повышение частоты их использования обусловлено простотой получения интересующих данных по сравнению с техническим вторжением в информационные системы и сложностью автоматизированного обнаружения. Мошенники используют психологические методики воздействия на людей, основанные на манипулировании базовыми эмоциями: страхом, ожиданиями, жадностью, любопытством, сердоболием, эмпатией.
Что является мишенью для атаки?
Чаще всего цель кражи данных — получение экономической выгоды. Киберпреступники атакуют органы государственной власти, учреждения образования и здравоохранения, промышленные, финансовые и ИТ-компании, бизнес и граждан. Основными мишенями являются логины и пароли, паспортные данные и номера СНИЛС, данные банковских карт, телефонные номера и email.
ПДн могут быть конечной или промежуточной целью кибератаки. В первом случае сведения продаются или используются для мошенничества, во втором — для реализации дальнейших атак, часто путём социальной инженерии.
Чем опасна утечка персональных данных?
Для компаний, которые не смогли защитить обрабатываемые данные, инцидент сопряжён со следующими последствиями:
-
расходы на восстановление разрушенной системы ИБ;
-
привлечение к ответственности со стороны регуляторов в виде штрафов;
-
исковые требования сотрудников или клиентов о возмещении морального вреда и контрагентов при распространении информации, содержащей коммерческую тайну;
-
потеря цифровых финансовых активов;
-
снижение репутации, которое приводит к потере клиентов и рынков;
-
снижение капитализации, стоимости акций и облигаций;
-
необходимость повышения маркетинговых расходов;
-
риск рейдерских атак, основанных на полученных данных.
Для граждан основная угроза заключается в денежных потерях. Преступники могут совершить онлайн-покупку, оформить кредит или микрозайм либо убедить жертву самостоятельно перевести средства, используя техники социальной инженерии.
Как не стать жертвой утечки данных?
Зачастую для похищения ПДн используются уязвимости ИБ компании. Обеспечение защищённости информации — комплексная задача, включающая безопасность следующих областей:
-
Сетевые подключения. Позволяет выявлять и блокировать сетевые вторжения. Включает средства управления данными и доступом: межсетевые экраны, антивирусы, систему предотвращения вторжений (IPS), сетевую аналитику и поиск угроз.
-
Облако. Включает решения, средства управления, политики и службы, которые помогают защитить облачное развёртывание организации от атак.
-
Конечные точки. Позволяет защитить оборудование работников с помощью средств управления безопасностью, расширенного предотвращения угроз и технологий, которые обеспечивают расследование киберпреступлений.
-
Мобильное оборудование. Предотвращает атаки, совершаемые через мобильные устройства, имеющие доступ к корпоративным данным, и защищает операционные системы от рутирования и взлома.
-
Интернет вещей. Предохраняет подключённые аппараты путём их обнаружения, классификации и автоматической сегментации для управления сетевой активностью и использования IPS в качестве виртуального патча для предотвращения эксплойтов против уязвимых девайсов.
-
Веб-приложения. Предотвращает атаки на веб-приложения и останавливает любое вредоносное взаимодействие с приложениями и API.
Традиционная модель безопасности ориентирована на периметр организации. Однако в условиях внедрения облачных решений и удалённой работы становится актуален более детальный подход нулевого доверия, защищающий отдельные ресурсы посредством сочетания микросегментации, мониторинга и применения контроля доступа на основе ролей.
Для защиты ПДн необходимо ввести строгую политику управления информацией, использовать многофакторную аутентификацию и обеспечить физическую безопасность: ввести пропускной режим, установить видеонаблюдение и контролируемый доступ к устройствам. Также требуется проводить регулярное обучение сотрудников организации.
Что делать при утечке персональных данных?
Если ПДн всё же были скомпрометированы, важно оперативно отреагировать на инцидент, чтобы минимизировать возможный ущерб. Следующие меры направлены на то, как обезопасить себя при утечке персональных данных:
-
Определить набор ПДн, которые были украдены, и ранжировать их по приоритетности.
-
Сменить раскрытые логины и пароли.
-
Настроить двухфакторную аутентификацию. За счёт ввода дополнительной информации для выполнения целевого действия увеличивается защищённость учётной записи.
-
Отслеживать все учётные записи. Иногда злоумышленники постепенно собирают дополнительные ПДн в разных источниках, чтобы нанести более серьёзный ущерб, поэтому важно вовремя зафиксировать любую подозрительную активность.
-
Защитить финансовые сведения. Если злоумышленники похитили платёжную информацию, то следует заблокировать банковскую карту и выпустить новую.
В качестве меры контроля можно настроить кредитный мониторинг, который даст возможность узнавать об изменениях в кредитной истории. Периодическое изучение кредитного отчёта поможет заметить постороннюю активность и вовремя среагировать. Своевременная реакция позволит избежать серьёзного ущерба от утечки в большинстве случаев.