Утечки данных: больше всего в 2022 году в России пострадал ритейл

О том, какие отрасли пострадали больше всего, как защититься пользователям и какую стратегию выбрать бизнесу, чтобы снизить риск возникновения инцидентов, рассказывает Игорь Фиц, эксперт по кибербезопасности «Лаборатории Касперского».

В 2022 году эксперты Kaspersky Digital Footprint Intelligence зафиксировали 168 фактов значимых утечек баз данных российских компаний. Причем если раньше атакующие преимущественно преследовали финансовую выгоду, то теперь они выкладывают информацию в свободный доступ из идейных соображений и стремятся придать такие случаи широкой огласке.

Официальное определение утечки данных звучит так: это событие информационной безопасности, при котором конфиденциальные данные становятся доступными для посторонних. Так, одним из видов конфиденциальной информации являются пользовательские данные, которые в 2022 году массово выкладывали в свободный доступ в интернет — на теневые площадки или в мессенджеры, такие как Telegram.

Всего за 2022 год злоумышленники выложили более 2 млрд записей. Если распределить случаи утечек равномерно в течение года, то получится, что информация публиковалась примерно через день. Объем скомпрометированных данных можно сравнить с 90 млн стихотворений А. С. Пушкина «Я помню чудное мгновенье» или 180 тысячами поэм Гомера «Одиссея». А если проводить аналогию в более техническом ключе, то, например, тот же лист Excel способен вместить не более 1 048 576 строк.

Как правило, стандартная строка с пользовательскими данными содержит ФИО, адрес электронной почты и номер телефона, а в некоторых случаях – даже паспортные данные и пароли. Так, в выложенных в открытый доступ базах парольная информация зафиксирована почти в 48 млн записях. При этом в публичный доступ попадают данные не только «домашних» пользователей, но и сотрудников компаний: должности, электронные корпоративные и личные адреса, номера мобильных телефонов и финансовые сведения.

Ключевая мишень — ритейл

Утечки фиксировались в организациях самых разных сфер, исключений нет. При этом большая часть пользовательских данных (64%) была скомпрометирована именно в крупных компаниях. Так, основной удар злоумышленников пришелся на организации из сферы ритейла (27%). От 10% до 12% всех утечек произошли в компаниях сфер «Карьера и образование», «Интернет-сервисы» и «Рестораны и доставка еды».

Лидеры-отрасли по объему «утекшей» информации — сферы доставки (34%) и ритейла (14%). В топ-10 по количеству опубликованных пользовательских данных вошли по две утечки компаний из этих отраслей.

Количество инцидентов с разбивкой по отраслям в 2022 году, отчет «Лаборатории Касперского» «Значимые утечки данных в 2022»

Наименьшее количество утечек в 2022 году произошло в сфере финансов, здравоохранении и недвижимости. Стоит отметить, что в перечисленных областях хранится наиболее конфиденциальная пользовательская информация, которая представляет особый интерес для злоумышленников. Поэтому часто базы данных подобных организаций можно наблюдать в свободном доступе с большой задержкой, уже после того, как они перестают иметь ценность для атакующих. Так, в начале 2023 года можно заметить новости о компрометации пользовательских баз данных финансовых организаций, которые были взломаны в 2022 году и ранее.

Можно ли избежать утечек или риск есть всегда?

Утечки могут происходить по разным причинам. Увы, от них на 100% не защищена ни одна отрасль. Даже если компании принимают все необходимые технические меры, в том числе вовремя обновляют уязвимое ПО, которым обычно пользуются злоумышленники для совершения кибератак, в игру может вступить человеческий фактор. Под ним имеется в виду низкая цифровая грамотность сотрудников, недостаточный уровень квалификации тех, кто работает с системами, в которых хранится информация подобного рода, неосторожное обращение с данными. Всегда стоит помнить о том, что персонал является самым уязвимым звеном в системе безопасности. При этом утечки могут происходить и вследствие действий инсайдеров: некоторые сотрудники, у которых есть доступ к конфиденциальной информации, могут воспользоваться этим в корыстных целях или со злым умыслом.

Telegram — ключевой хаб для утечек

Данные могут публиковать как на теневых форумах, так и в мессенджерах. Если до 2022 года массивы скомпрометированных сведений в основном распространялись через форумы в даркнете, то сейчас злоумышленники-хактивисты стремятся придать утечкам общественный резонанс. Для этих целей теневые площадки, выступающие в роли закрытых сообществ, не слишком подходят.

Вероятно, поэтому с марта 2022 года информацию о скомпрометированных данных стали чаще распространять через Telegram — мессенджер, которым пользуются миллионы людей по всему миру. Аудитория постов на эту тему в Telegram-каналах была в среднем в 20 раз больше, чем у публикаций на даркнет-форумах. Наибольшее число просмотров подобных баз в мессенджере достигало сотни тысяч, в то время как на теневых площадках исчислялось десятками тысяч. 

Тем не менее злоумышленники по-прежнему активны и на форумах в даркнете. Ценные базы данных также передаются внутри небольших сообществ, продаются на форумах, а не представляющие интереса выкладываются в свободный доступ, в том числе для повышения репутации атакующих на теневых площадках. В целом в 2022 году 62% объявлений с базами данных были изначально опубликованы на форумах в даркнете, а 37% — в Telegram-каналах.

Продолжатся ли утечки в 2023 году?

По нашим прогнозам, утечки данных в 2023 году продолжатся. При этом число таких случаев может вырасти на 20% (вынос). Кроме того, злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников. В результате они смогут получать подробное досье на человека и затем реализовывать более продвинутые, таргетированные схемы социальной инженерии и кибершпионажа в атаках на бизнес. К тому же такими скомпилированными базами могут воспользоваться и телефонные мошенники, у которых появляется возможность использовать эту информацию для большей убедительности своих легенд.

Как можно защитить свои персональные данные?

Обычному пользователю следует соблюдать правила кибергигиены: например, лучше оставлять пустыми необязательные для заполнения поля при регистрации или оформлении заказов. Также имеет смысл завести дополнительный номер телефона и адрес электронной почты, чтобы пользоваться ими для регистрации на различных интернет-ресурсах. Не стоит вводить личные данные в полях комментариев при оформлении доставки: информацию о членах семьи, код от домофона. Мы также не рекомендуем устанавливать одинаковые пароли при регистрации аккаунтов. В случае трудностей с созданием и запоминанием уникальных комбинаций используйте менеджеры паролей. Если у сервиса есть возможность поставить двухфакторную аутентификацию для входа в аккаунт, настройте ее, чтобы минимизировать риски кражи учетной записи.

Что делать компаниям, чтобы предотвращать утечки?

Один из наиболее эффективных способов для организаций избежать атаки — сделать попытку взлома нерентабельной: чтобы временные и денежные ресурсы были гораздо больше потенциальной выгоды, которую атакующие могут получить в результате взлома. Это касается как затраченных средств для кибергруппировок, так и персональной ответственности сотрудников, в обязанности которых входит взаимодействие с критическими данными. Поэтому необходим комплексный подход к безопасности информации: строгое соблюдение политик предоставления доступа, мониторинг всей ИT-инфраструктуры, превентивная работа с сотрудниками. Все эти меры дают возможность быстрее проводить расследования и выявлять инсайдеров. Не менее важно уделять внимание корпоративному обучению и тренингам по цифровой грамотности сотрудников. 

Если инцидент все-таки произошел, необходимо своевременно и правильно реагировать на него, а также обязательно проводить расследование, чтобы устранить не только последствия, но и причину, что позволит не допустить его повторения в будущем. У каждой компании должен быть сформирован четкий алгоритм действий, состоящий из трех этапов: идентификации инцидента, коммуникации с заинтересованными сторонами и реагирования на инцидент. Более подробный порядок действий в случае обнаружения информации о возможной утечке данных, а также практические рекомендации для компаний команда Kaspersky Digital Footprint Intelligence представила в отчете «Значимые утечки данных 2022».

Ландшафт угроз развивается со стремительной скоростью, и компаниям приходится быстро адаптироваться. Чтобы защитить организацию от утечек, важно вести непрерывный мониторинг открытого интернета и даркнета, проактивно отслеживать появление аккаунтов с корпоративной почтой в публичном пространстве и на теневых площадках. Для этого можно воспользоваться специальными сервисами информационной безопасности: они позволяют клиентам в числе первых узнавать о произошедших инцидентах и оперативно реагировать на них. Такие сервисы предоставляет в том числе и наша компания.