7.07. Сливы и утечки данных
Сливы и утечки данных, инсайдерская деятельность
Что такое утечка данных? Это несанкционированное раскрытие конфиденциальной информации за пределы организации. Это может быть финансовая информация, внутренние переписки, исходный код, данные о клиентах, персональные данные пользователей, коммерческая тайна и любые другие данные, доступ к которым ограничен.
Она опасна потерей репутации, штрафами (юридическими последствиями), утечкой интеллектуальной собственности и конечно угрозой для бизнеса (взлом, вымогательство).
Какие бывают утечки данных?
| Тип утечки | Описание |
|---|---|
| Внешняя утечка | Происходит в результате атаки извне, например, при взломе системы злоумышленником через уязвимости или подбор учетных данных |
| Инсайдерская утечка | Совершается сотрудником организации — намеренно (например, передача данных конкуренту) или по неосторожности (некорректное обращение с данными) |
| Случайная утечка | Происходит без злого умысла: отправка конфиденциального письма не тому получателю, потеря носителя информации (флешка, ноутбук) |
| Целенаправленная утечка | Злоумышленник систематически собирает данные, используя целевые атаки (например, APT-кампании) |
| Пассивная утечка | Сбор информации без активного доступа к системе: перехват трафика, сканирование открытых портов, анализ DNS-запросов |
| Активная утечка | Прямое копирование, скачивание или передача данных за пределы организации с использованием сети, USB, облачных хранилищ и т.д. |
Инсайдер - человек, который имеет доступ к внутренним системам компании, например, работники, подрядчики, бывшие сотрудники, администраторы. Они имеют легальный доступ, могут обходить стандартные меры безопасности и не всегда действуют злонамеренно (часто - по ошибке).
Возможные действия, которые может предпринять инсайдер:
- копирование данных на сторонние носители;
- отправка данных (по E-mail);
- удаление или повреждение информации;
- злоупотребление полномочиями (просмотр личных данных клиентов и использование в своих целях);
- сохранение прав доступа после увольнения.
Почему могут быть утечки?
| Причина | Описание |
|---|---|
| Человеческий фактор | Ошибки персонала, игнорирование политик безопасности, попадание на фишинг, случайная отправка данных |
| Недостаточно развитые политики безопасности | Отсутствие чётких процедур управления доступом, аудита, резервного копирования и обучения сотрудников |
| Слабые пароли и отсутствие MFA | Использование простых или повторяющихся паролей, отсутствие многофакторной аутентификации повышает риск компрометации учетных записей |
| Уязвимости в ПО | Эксплуатация известных уязвимостей в приложениях и библиотеках, особенно при отсутствии своевременных обновлений |
| Неправильная настройка облачных сервисов | Открытые бакеты (например, S3), незащищённые API-эндпоинты, чрезмерные права доступа в облаке |
| Злоумышленники (внешние и внутренние) | Целенаправленные атаки со стороны внешних хакеров или действий недобросовестных сотрудников с целью хищения данных |
Как защищаться от утечек?
- Политика управления доступом:
- Принцип минимальных привилегий (Least Privilege);
- Разделение ролей (RBAC);
- Удаление доступа при увольнении.
- Контроль активности:
- Аудит действий пользователей;
- Логирование и мониторинг (SIEM);
- Обнаружение аномалий (User and Entity Behavior Analytics — UEBA).
- Обучение сотрудников:
- Регулярные тренинги по ИБ;
- Тестирование на фишинг;
- Повышение осведомлённости.
- Защита данных:
- Шифрование (данных в покое и в движении);
- DLP-системы (Data Loss Prevention);
- Безопасное хранение и передача.
- Аудит и тестирование:
- Регулярные пентесты;
- Сканирование уязвимостей;
- Анализ логов.
- Реагирование на инциденты:
- План реагирования на утечки;
- Уведомление регуляторов (GDPR, CCPA и др.);
- Расследование и анализ причин.
Таким образом, чтобы не допустить утечек, определите, какие данные являются критически важными, назначьте уровень конфиденциоальности для таких данных, настройте контроль доступа, логирование, регулярно проверяйте уязвимости, проводите пентесты и обязательно проводите обучение сотрудников. Чтобы они не ошибались, лучше изначально грамотно организовать работу. Если есть риск утечки информации при использовании каких-то методов и инструментов в работе, лучше отказаться.
Научите также молодых специалистов грамотно «гуглить» и использовать нейросети - не нужно отправлять код целиком или искать по потенциально секретным вещам, лучше подменять названия таблиц, переменных, путей и всего, что может быть нежелательным к утечке, на какие-то другие, выдуманные названия. К примеру, заменить Users на Cats, или что-то вроде того.
Примеры известных утечек:
| Утечка | Год | Последствия |
|---|---|---|
| Equifax | 2017 | Утечка персональных и финансовых данных 147 миллионов пользователей, включая номера социального страхования и паспортные данные |
| Yahoo | 2013–2014 | Компрометация около 3 миллиардов учётных записей, включая хеши паролей, секретные вопросы и контактную информацию |
| T-Mobile | 2021 | Утечка данных более чем 50 миллионов клиентов, включая ФИО, номера телефонов, адреса и паспортные данные |
| Colonial Pipeline | 2021 | Взлом системы по одному из учётных записей с простым паролем, что привело к остановке работы трубопровода и временному дефициту топлива на востоке США |
| Telegram | 2023 | Утечка порядка 80 миллионов записей пользователей, вызванная эксплуатацией уязвимостей в сторонних API-клиентах и открытом доступе к данным |
| Российские банки | 2022–2023 | Множественные инциденты с утечками персональных данных, кредитных историй и фрагментов переписок клиентов через сторонние сервисы и незащищённые интерфейсы |