Финансовый сектор страдает от утечек

Экспертно-аналитический центр группы компаний InfoWatch опубликовал результаты исследования утечек информации из организаций финансовой сферы. По данным исследования в 2019 г. более чем в 27 раз увеличился объем утечек персональных данных и платежной информации, скомпрометированных в результате неосторожности или неправомерных действий персонала банков, страховых компаний, иных организаций финансового сегмента, а также в результате активности внешних злоумышленников (хакерские атаки). По совокупности всех этих действий за год скомпрометировано более 1,04 млрд пользовательских записей (персональные данные и платежные сведения). По данным экспертов, за прошедший год в мире зафиксировано 218 утечек конфиденциальной информации в финансовом секторе, что на 7,9% больше, чем годом ранее. Такое количество инцидентов составляет 8,7% от всех утечек, зарегистрированных в мире в 2019 г. В 2018 г. доля утечек из финансовых компаний в общем распределении была немного выше – 8,9%. Эксперты объясняют это тем, что "за последний год опережающими темпами росло число утечек в государственных и муниципальных организациях, а также в таких отраслях, как промышленность и транспорт". В России количество утечек из финансовой сферы в 2019 г. выросло на 57,6%, а их доля составляет 13,2% от общего количества зафиксированных в стране утечек. "Очевидная разница в динамике российских и мировых утечек из организаций финансового сегмента объясняется, с одной стороны, сравнительно низкой "базой", с которой "растет" число утечек в России — утечки из банков и страховых компаний до недавнего времени фиксировались и публиковались нечасто", - отмечает ведущий аналитик ГК InfoWatch Сергей Хайрук. - С другой стороны, Россия показывает более интенсивный рост по сравнению с миром во многом за счет повышенного внимания к утечкам в финансовом секторе со стороны общественности". Исследователи InfoWatch выяснили, что в финансовом секторе традиционно высока доля утекших платежных данных, то есть сведений банковских карт, необходимых для совершения транзакций. В мире среди всех скомпрометированных записей из финансового сектора она составляет 26,1%. В России эта доля почти вдвое ниже и составляет 13,5%. Утечки информации, содержащей персональные данные, для финансовых и страховых компаний в глобальном масштабе составили 64,5%, а в России этот показатель оказался выше на 12 процентных пунктов. В отчете отмечается, что менее чем в 10% случаев утечек в мировой сфере финансов были скомпрометированы сведения, составляющие коммерческую тайну. Аналитики InfoWatch пришли к выводу о том, что основная часть утечек в финансовом сегменте происходит в результате умышленных действий или неосторожности внутреннего нарушителя. Такое положение характерно как для мира в целом, так и для России. "Однако стоит отметить, что среди зарегистрированных случаев доля утечек данных по вине внешнего злоумышленника (хакерские атаки и другие действия неизвестных лиц) в российском финансовом сегменте в четыре с лишним раза ниже, чем в мировом масштабе. При этом, если в общей совокупности отраслей во всем мире доля утечек по вине или неосторожности внутреннего нарушителя в последние годы снизилось (2018 г. – 61%, 2019 г. – 54%), то в финансовой сфере наблюдается рост - 45% в 2018 г. против 63% в 2019 г.", - приводят они данные. Авторы исследования говорят о том, что характер утечек в сфере финансов сильно зависит от используемых организациями технических средств. Подавляющее большинство утечек происходят по причине недостаточного контроля конфиденциальной информации, а также в связи с неисполнением правил работы с охраняемыми данными. Основным каналом утечки данных остается сеть. На долю этого канала в финансовом сегменте приходится 83,2% всех утечек, и она год от года растет. Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций. Они оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций. В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой. В случае, когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. "Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, — рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. — Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга". Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин отметил, что увеличение объема утечек можно связать с ростом массива данных, которые финансовые организации собирают о своих клиентах, а также их передачей другим стейкхолдерам, например, для дальнейшего анализа. "В условиях более масштабной бизнес-цепочки, которая сопровождается сбором и обменом информацией, традиционные решения, такие как DLP-системы, чья цель – предотвращать потенциальные утечки, выглядят неэффективными, поскольку они могут контролировать только узкий спектр технологических моментов, связанных с утечками данных, и бесполезны против инсайдеров, использующих, к примеру, личные устройства без DLP-агентов. К тому же, сотрудники банков могут собирать данные, не только непосредственно выгружая их, а, например, просто сделав фотографию экрана, на котором будут отражены нужные данные. Без радикальных решений наподобие запрета на пронос телефонов или раздаче корпоративных телефонов с DLP-агентами, DLP-системы едва ли действенны. Современные решения должны доказывать свою эффективность в условиях возросшего объема хранимых данных, обеспечивая безопасность по всему периметру информационной системы той или иной организации и обнаруживая потенциальное мошенничество еще на стадии его подготовки", - рассказал Сергей Никитин. "Говоря о количестве утечек в России, их рост можно связать с безответственным отношением к обработке и хранению данных. Стоит лишь вспомнить, что персональные данные сегодня запрашивают на каждом шагу – для входа в любой бизнес-центр вас скорее всего попросят предоставить паспортные данные. Эта проблема имеет два измерения – это халатное отношение к хранению данных со стороны тех, кто их собирает, но также и со стороны пользователей, которые зачастую не задумываются о том, кому и зачем они дают разрешение на обработку и хранение своих персональных данных, - рассказывает Сергей Никитин корреспонденту ComNews. - Чтобы не сгущать краски стоит отметить, что финансовые данные, с помощью которых реально украсть деньги, а именно данные банковских карт, CVV коды, похищают реже. Как правило, утекают данные о клиентах финансовых организаций – их паспортные данные, актуальные номера телефонов и адреса электронной почты. Однако существует проблема корреляции баз данных: злоумышленники могут собирать как можно больше данных о конкретном пользователе из разных источников и использовать собранную информацию для того, чтобы войти в доверие к потенциальной жертве мошенничества". Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов обратил внимание на то, что крупные российские финансовые организации очень ответственно подходят к обеспечению кибербезопасности, конфиденциальная информация хорошо защищается, доступ к ней строго ограничен. "Благодаря действиям регулятора и законодательным инициативам такие компании постоянно совершенствуют системы безопасности. В последний год, действительно, было много новостей об утечках данных из банков, однако часто настоящими источниками такой информации становятся не сами организации, а их поставщики и партнеры, где уровень кибербезопасности гораздо ниже. Сейчас у злоумышленников сохраняется интерес к персональным данным, поэтому количество таких инцидентов продолжит оставаться на высоком уровне", - прокомментировал Сергей Голованов. Директор Центра информационной безопасности компании "Инфосистемы Джет" Андрей Янкин отметил, что статистика строится на данных об известных утечках (общественности и авторам таких исследований) путем экстраполяции на весь рынок. "Поэтому точных цифр тут в принципе быть не может. Многие компании предпочитают не рисковать репутацией и стремятся "замалчивать" факты утечки данных. Все, кто занимается ИБ, сталкивается с этим явлением постоянно. Однако в целом с трендами, описываемыми компанией InfoWatch, мы согласны. Применение технических средств для контроля и блокирования утечек важно, но зачастую проблема лежит, скорее, в плоскости проверки и контроля персонала, тщательности внутренних расследований и неотвратимости наказания. После множества публикаций в СМИ об утечках данных число уголовных дел в отношении работников компаний, допустивших утечку, резко возросло. Раньше такие случаи гораздо чаще предпочитали замалчивать, чтобы не подмочить репутацию организации", - рассказал Андрей Янкин. Ссылка на источник