- Понад 1,2 млрд записів персональних даних - вже на чорному ринку
- Причини витоків інформації
- Наслідки витоків для компаній
- Наслідки витоків для суб'єктів даних
- Заходи щодо зниження кількості інцидентів
Незважаючи на посилення вимог регуляторів, на публікації про гучні інциденти і на постійні попередження практиків, проблема витоків інформації залишається актуальною. Велика частина компаній страждає від витоків, викликаних невисоким рівнем обізнаності персоналу в питаннях інформаційної безпеки або мотивованими діями інсайдерів.
1. Не порушуючи 1,2 млрд записів персональних даних - вже на чорному ринку
2. Причини витоку інформації
3. Наслідки витоків для компаній
4. Наслідки витоків для суб'єктів даних
5. Заходи щодо зниження кількості інцидентів
За даними незалежного дослідження Ponemon Institute, щорічно фіксується понад півтори тисячі випадків витоків інформації, і це лише ті інциденти, які були оприлюднені.
Тільки за останні кілька місяців 2016 року стало відомо про такі випадки витоку даних, як поширення бази ФСКН з сотнями записів персональних даних ВІЛ-інфікованих людей.
За номером телефону на сайті phonenumber.to досі можна отримати персональні дані користувачів. Дані мільйонів користувачів таких інформаційних гігантів, як Yahoo і Dropbox, виявилися скомпрометовані , Про що стало відомо тільки 2-3 роки.
Наслідки витоків відомі - для бізнесу це штрафи, фінансові втрати, шкоди репутації. Для суб'єктів даних спектр ризику більш широкий - від нав'язливої реклами до можливості стати жертвою злочинів. Аналітичний центр «МФІ Софт» вирішив подивитися на проблему з іншого боку і вивчити ту інформацію, яка в підсумку потрапляє на чорний ринок даних.
Понад 1,2 млрд записів персональних даних - вже на чорному ринку
результати дослідження «Чорний ринок баз даних» аналітичного центру «МФІ Софт» за листопад 2016 року показують, що у вільному продажу в Росії знаходяться сотні баз даних, що містять понад 1254 млн записів. В ході дослідження були вивчені пропозиції найбільших піратських форумів і інтернет-майданчиків, де виявилися бази різних галузей і регіонів країни. Найбільш поширеними виявилися нелегальні бази даних фінансової сфери, такі як банківські БД і контактні бази брокерів - 43%.
Малюнок 1. Рейтинг баз даних на чорному ринку по галузях
Щоб отримати персональні дані практично будь-якого цікавить людини, за статистикою, потрібно викласти від 1500 до 30000 рублів на кілька баз даних з різних секторів. Витративши всього кілька годин на вивчення сайтів з продажу баз даних, можна знайти потрібну інформацію, включаючи стан банківських рахунків, ім'я та вік дитини, місце роботи та посаду. Звичайно, надходження баз на відкритий ринок зазвичай затримується на рік-два, але, як показує практика, мало хто змінює номери телефонів, електронні адреси та банківські рахунки за цей період.
Середня вартість однієї записи - 35 копійок. Найбільш дорогі - бази страхових компаній. Найдешевше - бази, зібрані парсинга відкритих джерел. До них відносяться бази учасників різних конференцій, клієнтів інтернет-магазинів, - вони стоять в середньому 0,02 грн.
Малюнок 2. Порівняння вартості однієї записи по галузям
Причини витоків інформації
Згідно з дослідженням «МФІ Софт», в більшості випадків (78%) інформація потрапляла на ринок в результаті інсайда. Друге джерело - недобросовісні оператори персональних даних, які торгують особистою інформацією своїх клієнтів (13%). І в тому і в іншому випадку інформація може бути додатково збагачена «галузевої» специфікою - даними по рахунках, вкладах, покупкам, майну та ін. Все це розширює можливості покупців такої інформації.
За характером даних вдалося з'ясувати, що найчастіше такими зловмисниками є співробітники комерційних і клієнтських служб. Іноді зустрічаються бази, в розкраданні яких брали участь IT-фахівці - це можна встановити за характером інформації, що міститься в базах даних. Так, при проведенні дослідження була виявлена база великого оператора стільникового зв'язку, що містить в собі 2 мільйони клієнтських записів, а також бази клієнтів 18 банків - серед них є представники топ-10 найбільших російських банків і популярних мікрофінансових організацій.
Малюнок 3. Основні причини витоків інформації
Наслідки витоків для компаній
У більшості випадків при витоку даних відбувається порушення ФЗ-152 «Про персональних даних», а отже, можна очікувати санкцій з боку регуляторів. Однак це не найсерйозніші ризики, які загрожують компаніям: навіть з прийняттям у другому читанні нових поправок в законопроект йдеться про штраф в 75 тисяч рублів за порушення зберігання персональних даних. З точки зору бізнес-ризиків, більш критичний відтік клієнтів при передачі бази конкурентам і шкоди репутації при оприлюдненні факту витоку - тут збитки можуть становити мільйони.
У правовій сфері також є ризик звернення клієнтів до суду з метою компенсації шкоди, заподіяної в результаті витоку. В кінцевому рахунку, витоку інформації тягнуть за собою фінансові збитки.
Наслідки витоків для суб'єктів даних
Імовірність настання негативних наслідків для тих, чиї дані оприлюднені, безпосередньо залежить від повноти і характеру інформації, що зберігається в базі даних.
Так, витік «в треті руки» даних електронних торговельних майданчиків не грозить нічим серйозним, крім отримання спаму, а ось база з інформацією про добробут, із зазначенням такої інформації, як адреса проживання, дані банківських рахунків, може «допомогти» стати жертвою злочину.
Майже кожна десята запис (8% виявлених даних) може з високою ймовірністю спричинити за собою тяжкі негативні наслідки - використовуватися для підробки кредитних договорів, махінацій з нерухомістю, банківського шахрайства або привести до більш тяжких наслідків із застосуванням соціальної інженерії. У продаваної базі можна знайти повні контактні дані особи з його паспортними даними, поточним місцем проживання, випискою по банківському рахунку і перерахуванням майна, інформацією про податки і штрафи. Саме до таких баз даних проявляють інтерес злочинці з метою грабежу, шантажу і здійснення іншої протиправної діяльності.
Заходи щодо зниження кількості інцидентів
Основна причина витоку - низький рівень інформаційної безпеки бізнесу в країні. Бази даних не охороняються належним чином, служба безпеки не має можливості контролювати доступ до баз даних, перевищення повноважень з боку співробітників або злом ззовні.
Провідні виробники СУБД, наприклад Oracle, дають можливість аудиту баз штатними засобами. Хоча швидкість роботи з базами істотно знижується, це дозволяє підвищити рівень безпеки.
Великі компанії вважають за краще використовувати спеціалізовані системи захисту баз даних, які не впливають на продуктивність. Здебільшого це представники фінансової галузі і великого бізнесу.
Але в силу неочевидності фінансового і репутаційного шкоди, яка може бути завдана при розголошенні інформації вкрадених баз, захист клієнтів залишається долею обраних. В організаціях часто навіть не знають про те що витік бази до настання наслідків - будь то інтернет-магазин або мережевий ритейлер.