Кто крадет корпоративные секреты

Переход офисов на удаленный режим работы спровоцировал рост инцидентов, связанных с предумышленным хищением данных. Это следует из материалов «Ростелекома», с которыми ознакомились «Ведомости». Речь идет только о попытках слива или выноса данных, которые удалось выявить и пресечь, уточняют авторы отчета. По данным проведенного ими опроса, количество таких случаев в марте – июне 2020 г. по сравнению с докарантинным периодом выросло на 25%.

«Ростелеком» проводил опрос среди своих корпоративных клиентов – это госструктуры, компании, работающие в ТЭКе, финансовой сфере, предприятия пищевой промышленности, судостроители, телекомоператоры и проч.

Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин подтверждает, что эпидемия COVID-19 и массовый переход компаний на удаленную работу отразились на информационной безопасности. Это связано в том числе с использованием сотрудниками персональных устройств для работы дома. В таком случае сложно обеспечить выполнение требований безопасности (например, установить корпоративный антивирус, обеспечить двухфакторную аутентификацию, шифрование данных, журналирование событий, своевременное обновление всех систем), а контролировать их соблюдение практически невозможно, подчеркивает он.

Согласно данным другого опроса, проведенного «Ростелекомом», более 60% работодателей опасаются, что утечки могут произойти по вине увольняющихся сотрудников. Чаще всего (в 61% случаев) они пытаются забрать с собой базы данных клиентов компании, реже – конфиденциальную информацию об условиях сделок и тендеров, секреты разработок и ноу-хау (см. таблицу). Наибольший финансовый ущерб наносит работодателям при этом последующее использование украденной закрытой конкурсной документации и разработок, констатирует «Ростелеком».

Одной из самых масштабных утечек прошлого года компания SearchInform признала утечку данных 5000 клиентов Сбербанка. Данные украл сотрудник, сообщал банк: это 28-летний руководитель сектора в бизнес-подразделении, имеющий доступ к базам. Он дал признательные показания.

Потери экономики России в 2019 г. от действий кибермошенников в целом Сбербанк оценил в 2,5 трлн руб., заявлял зампред правления банка Станислав Кузнецов.

Он отмечал, что риски кибербезопасности сегодня являются одними из самых существенных. Потери российской экономики от действий кибермошенников в 2020 г. могут составить 3,5–3,6 трлн руб. Кузнецов признавал, что банк и сам недооценил риски «внутреннего предательства».

Среди крупных инсайдерских утечек 2020 г. – выставленная на продажу в середине мая база 9 млн клиентов логистического оператора СДЭК, напомнил «Ведомостям» основатель сервиса разведки утечек DLBI Ашот Оганесян. Возможность получения инсайдерского доступа к информационным системам этой компании давно рекламировалась на форумах, посвященных криминальному «пробиву», отметил он. Теперь, видимо, кому-то удалось сделать массовую выгрузку и, скорее всего, этот кто-то именно инсайдер, предполагает эксперт.

К этой категории, по его словам, можно отнести появившуюся в мае на закрытых форумах базу автовладельцев России, в которой, по словам продавца, 129 млн записей общим объемом 24 Гб, включающих ФИО, ИНН, адрес, дату рождения, паспортные данные владельца автомобиля и другие данные. К предположительно инсайдерским утечкам можно отнести недавние проблемы клиентов «МТС банка», включавшие хищения средств из личных кабинетов и принудительный сброс паролей. Но здесь, как и в кейсе с попавшими в продажу в апреле данными 12 млн клиентов финансового супермаркета «Юником24», нельзя с уверенностью сказать, как именно были получены данные клиентов – путем эксплуатации уязвимости, копирования случайно открытого сервера или кражи инсайдером, пояснил Оганесян.

Чтобы пресечь утечки, компании могут закрывать уходящим сотрудникам некоторые каналы передачи данных: например, доступ к мессенджерам или возможность пользоваться съемными носителями информации, считает руководитель направления DLP «Ростелекома» Галина Рябова. Они также могут быть помещены под ежедневный мониторинг – сплошной или выборочный, когда контролируются только мессенджеры или только отправляемые по всем каналам файлы, говорит она. «Продвинутые технологии анализа поведения пользователей (User Behavior Analytics; UBA) позволяют на ранней стадии выявить признаки подозрительной активности сотрудников, которые уже решили уволиться, но еще не уведомили об этом работодателя», – утверждает Рябова.

Выявить и нейтрализовать злоумышленников внутри компании часто позволяет обучение основной массы сотрудников правилам цифровой грамотности и основам информационной безопасности, уверена представитель платформы для повышения цифровой грамотности Kaspersky Security Awareness Елена Молчанова. Когда сотрудники становятся достаточно обученными, они значительно чаще рапортуют о проблемах с информационной безопасностью и вообще существенно больше обращают внимание на любые неожиданности и подозрительные вещи, рассказывает она. Если служба информбезопасности видит повышенное количество странностей вокруг кого-либо, ей значительно легче выявить шпиона-инсайдера, объясняет Молчанова.

Предотвращение таких утечек как раз то, зачем в компаниях нужен отдел информационной безопасности, рассуждает технический директор Qrator Labs Артем Гавриченков. Это долгая планомерная рутинная работа: разграничение прав доступа к документам, шифрование, управление программным обеспечением клиентских устройств, внедрение водяных знаков в сенситивные документы, технические средства защиты авторских прав (DRM), перечисляет он. На коленке, за пару недель хорошую защиту не сделать, именно поэтому компании страдают от утечек в периоды кризисов, уверен Гавриченков.