Data-утрата

Злоумышленники в сфере информационных технологий меняют свою тактику — всё чаще они крадут данные в организациях, относящихся к сегменту малого и среднего бизнеса. При этом наблюдается снижение объёмов скомпрометированных данных из крупных компаний. Эксперты напрямую связывают это с качеством киберзащищённости. Большие игроки на рынке могут позволить себе выделить бюджет на выстраивание комплексной системы компьютерной безопасности, а предприниматели пока не готовы тратить на это серьёзные средства. Такая тенденция характерна как для России, так и для Пермского края.

В прошлом году кибермошенники украли у россиян рекордные 15,8 млрд руб., из которых только ущерб от неправомерного доступа к пользовательским сведениям составил 8 млрд руб. По информации Роскомнадзора, за 2023 год было зафиксировано 168 значимых утечек персональных данных. Из-за этого в открытый доступ попало более 300 млн записей. В первом квартале текущего года, по данным Kaspersky Digital Footprint Intelligence, в даркнете было опубликовано 102 млн строк с пользовательскими сведениями, более 19 млн из них содержали пароли россиян, что в шесть раз превышает показатель аналогичного периода предыдущего года.

Чем дальше — тем больше

В трендах текущего года — атаки на малый и средний бизнес. С января по март эксперты «Лаборатории Касперского» зафиксировали рост объёма утёкших данных среди представителей МСБ почти в четыре раза (с 12 млн строк до 47 млн). В то же время количество фактов публикаций баз данных крупных организаций уменьшилось с 12 до трёх.

Эту статистику подтверждает и генеральный директор пермской компании ООО «Наступательная безопасность» Дмитрий Волков. По его словам, с начала года действительно наблюдается кратный рост утечек от организаций МСБ при значительном снижении потерь данных в крупных компаниях.

«Это обусловлено тем, что злоумышленники выбирают более лёгкую цель, а крупный бизнес за последние годы ощутимо подтянул уровень защиты, благо имел на это и средства, и людей. Подверженность утечкам зависит от нескольких факторов, таких как наличие действительно работающих средств контроля и подготовленность людей к тому, что они могут быть элементом атаки на компанию, — говорит Дмитрий Волков. — Да, можно, конечно же, с помощью различных средств компьютерной безопасности позакрывать все каналы утечки информации, но не все компании малого и среднего бизнеса могут себе это позволить, как по финансам, так и по наличию компетентных специалистов, способных это поддерживать, да и выявление уязвимостей в этих средствах защиты никто не отменял».

Кому это нужно

По мнению экспертов, рост доли киберпреступлений вызван двумя объективными причинами: развитие и распространение цифровых технологий, которые постепенно проникают во все сферы жизни людей, а также анонимность действий и, соответственно, более сложный процесс поиска злоумышленников. Атакующие этим умело пользуются.

В большинстве случаев данные похищаются с целью получения выкупа или публикации какой-то компрометирующей либо защищаемой информации, а также для развития атак на другие сервисы и компании.

Традиционно больше всего утечек данных фиксируется в сфере ретейла, отмечают в «Лаборатории Касперского». Однако если смотреть на объёмы информации, то более 72 млн, или 87% всех пользовательских данных, опубликованных за первый квартал 2024 года, относится к финансовым организациям (банки, микрофинансовые организации, страховые компании).

Энергетика, промышленные предприятия и здравоохранение больше интересны зло­умышленникам не с точки зрения утечек, а как объекты, деятельность которых влияет на комфорт и стабильность в различных сферах жизни. По словам Дмитрия Волкова, атаки на энергетику и промышленность, как правило, совершают посредством шифровальщиков. Зачастую такие нападения являются целевыми.

«Год не закончен, но пока что можно заметить снижение атак на образовательную сферу и IT-компании. Но это не значит, что им можно расслабиться, скорее даже наоборот. Телеком и операторы связи продолжают становиться промежуточным звеном при атаках на другие компании», — добавляет гендиректор ООО «Наступательная безопасность».

Пути потерь

По словам Дмитрия Волкова, более чем в половине случаев причиной потерь пользовательских сведений является вредоносное программное обеспечение либо скомпрометированные учётные данные: «Примерно четверть случаев — это эксплуатация уязвимостей на внешнем периметре, далее подкуп сотрудников или социальная инженерия, которая в этом году значительно снизилась в отношении компаний — операторов данных, но не сдаёт позиции в отношении физических лиц».

Аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц отмечает, что приоритетом для киберпреступников остаются пароли, особенно от финансовых аккаунтов и различных интернет-сервисов.

«Часто подобная информация попадает в руки злоумышленников не в результате атак на компании, а из-за программ-стилеров, которые проникают на устройства жертвы», — отмечает Игорь Фиц. — В среднем с одного устройства злоумышленники украли 50 учётных записей».

По данным экспертов рынка, значительная часть утечек данных происходит также из-за неправомерных действий сотрудников. В связи с этим заинтересованные в безопасности компании должны уделять внимание повышению цифровой грамотности персонала. Однако, несмотря на очевидность угроз, только 45% организаций МСП намерены усилить защитные процессы в течение этого года. Об этом свидетельствуют результаты исследования компании «К2 Кибербезопасность». В ближайшие месяцы планируют посвятить этому время 8% организаций. Есть и те, кто вообще пока не планирует пересматривать защиту (4%). Из опроса также следует, что только 43% компаний прошли аудит информбезопасности в течение последних трёх лет, 11% проводили проверку более трёх лет назад. При этом пятая часть компаний (21%) вообще никогда не проводили аудит.

В ответе за сведения

Между тем уже в этом году Госдума планирует принять закон об ужесточении наказания для компаний, которые допустили утечку персональных данных граждан. Документ уже принят в первом чтении.

Внесённые правки предполагают установление штрафных санкций до 15 млн руб. для организации, допустившей утечку персональных сведений. В случае повторного нарушения могут быть назначены оборотные штрафы в размере от 0,1 до 3% выручки за календарный год, но не менее 15 млн руб. и не более 500 млн руб.

Как отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин, действующие меры ответственности за утечку данных мало кого стимулируют серьёзно относиться к защите персональных сведений, поскольку штрафы составляют максимум 100—300 тыс. руб. для юрлиц. В результате сегодня на чёрном рынке круговорот баз с персональными данными просто беспрецедентный.

«Вопрос защиты информации сегодня как никогда актуален. Думаю, что правильной стратегией на уровне организации станет выстраивание многоуровневой защиты процесса обработки персональных данных, включая как обезличивание, так и защиту на программном уровне», — говорит парламентарий.

По информации Минцифры РФ, реализация задачи по обезличиванию больших данных, для того чтобы исключить нанесение ущерба гражданам из-за утечек информации о них, начнётся в России с 2025 года в рамках профильного нацпроекта.