Данная угроза, наверное, единственная в курсе, на которую пользователь не способен существенным образом воздействовать, а в то же время утечка данных – очень серьезно способна повлиять на жизнь ее жертвы.
Что такое утечка? Давайте рассмотрим утечку данных на примере истории простого пользователя Александра. Александр пользовался сайтом для знакомств, выкладывал там фотографии, вел душевные переписки с интересными людьми, сообщал интимные детали, и при этом был женат. Прошло время, годы взяли свое, Александр остепенился, удалил страничку на сайте знакомств и зажил спокойной семейной жизнью.
Но Александр не учел, что удаление страницы не более чем визуальная фикция, и все его выложенные фотографии, данные, переписки по-прежнему хранятся в базе данных сайта. И вот в один день хакеры взламывают сайт знакомств, похищают базу данных и выкладывают ее на продажу в даркнете.
Кто виноват? Системный администратор сайта знакомств и его руководство принимало все должные меры: регулярный независимый аудит, своевременное обновление всех компонентов, высококлассные специалисты, строгая политика безопасности для всех сотрудников. Но это не помогло, как не помогало во многих других историях.
Почему утечка данных важна для каждого?
Кража личных данных приводит к мошенничеству, финансовым махинациям, поддельным действиям от имени пострадавшего, спаму, фишингу, краже личных стредств и т.д. А слив учетных записей может привести к временной или постоянной потере доступа к различным сервисам и платформам.
Как компании меняют свои бюджеты и приоритеты, чтобы защитить свои активы и клиентов от кибератак
- 63 процента компаний внедрили биометрическую систему или планируют ее внедрить
Бюджеты на безопасность увеличились в среднем на 6% в 2023 году по сравнению с увеличением на 17% в предыдущем бюджетном цикле - В 2023 году ИТ-бюджеты увеличились в 40 процентах организаций, при этом кибербезопасность станет одной из основных категорий увеличения инвестиций.
- Было предсказано, что глобальные расходы на кибербезопасность в совокупности превысят 1,75 триллиона долларов в период с 2021 по 2025 год.
- Мировые расходы на ИТ-безопасность выросли до 193 миллиардов долларов в 2022 году и, по прогнозам, к концу 2023 года вырастут на 12,1 процента до 219 миллиардов долларов.
- После большого скачка в 2021 году количество попыток использования программ-вымогателей упало до 494 миллионов в 2022 году. Это по-прежнему на 60 процентов выше, чем в 2020 году.
- В ближайшие два года 58 процентов организаций перенесут свои портфели приложений в общедоступное облако. Это меняет инструменты и подходы, которые им понадобятся для предотвращения атак.
Последствия утечки данных
Вернемся к Александру. И вот сайт знакомств был взломан, какие последствия могут ожидать Александра? Возьмем для примера реальный случай – сайт знакомств Ashley Madison. Это не просто сайт знакомств, где одинокие люди могут найти свою любовь, и даже не такой, где барышни могут продать свою любовь за деньги, это сайт для супружеских измен.
Девиз сайта «Жизнь коротка. Заведи интрижку», который, правда, вследствие взлома был сменен, отлично символизировал всю философию проекта. Потому многие справедливо не испытывали сочувствия к жертвам, еще меньше сочувствия было к владельцам сайта, которые были уличены в создании страничек женщин-ботов для привлечения мужчин.
Сразу как база Ashley Madison оказалась в публичном доступе, множество вымогателей и шантажистов начали изучать адресатов, искать их профили в социальных сетях, пробивать информацию о семейном положении. Если жертва оказывалась «примерным семьянином», с ней связывались и угрожали в случае отказа выплатить выкуп оповестить членов его семьи об изменах.
Особый интерес представляли геи, скрывающие свою ориентацию везде, кроме сайта знакомств. Многие из них соглашались без каких-либо гарантий заплатить вымогателям за сохранение в тайне их сексуальных предпочтений, особенно если они проживали в мусульманских странах, где законы шариата рассматривают гомосексуальные связи как преступление, заслуживающее смертной казни.
Не обошлось и без суицидов. Техасский полицейский покончил с собой, когда его личный email обнаружился в утекшей базе данных сайта знакомств Ashley Madison. Капитан полиции, 25 лет служивший в полиции Сан-Антонио, не смог пережить удара по репутации и общественного порицания. Известно, что это не единственный случай самоубийства вследствие публикации данных.
СМИ подхватили эстафету травли и начали делать подборки примерных семьянинов, разоблаченных при утечке базы данных сайта Ashley Madison. Например, в СМИ вы можете найти историю Джоша Даггара, семьянина, много лет состоявшего в браке, и, судя по социальным сетям, он, жена и четверо детей были счастливы.
В профиле на сайте Ashley Madison Джош искал подругу для секса с игрушками, орального секса и непристойных разговоров. Когда его история стала общеизвестной, он опубликовал заявление, в котором раскаялся в произошедшем.
Я был самым большим лицемером. Исповедуя веру и семейные ценности, я тайно в течение нескольких лет смотрел порнографию в интернете, это стало тайным увлечением и я стал неверным своей жене. Мне так стыдно за двойную жизнь, которой я жил. Меня огорчает, что мой грех навлек обиду, боль и позор на мою семью, жену и больше всего на Иисуса и всех тех, кто исповедует веру в негоДжош Даггар
Сайты знакомств не единственный случай, когда общедоступными могут стать подробности интимной жизни. Иногда взламывают базы данных частных клиник, и общедоступными оказываются истории болезней клиентов медицинского учреждения. Вряд ли кто-то хочет, чтобы знакомые, коллеги или даже вторая половинка узнали о вашем выпавшем геморрое, бесплодии, импотенции или других недугах. Эти данные также могут послужить материалом для шантажистов.
Например, не так давно в сети оказались выложены более 25 тысяч фотографий пациентов, сделавших пластические операции. Фотографии выложили хакеры, именуемые себя Tsar Team, а добыли они их, взломав базу данных одной из литовских клиник пластической хирургии. Самое неприятное для пациентов (главным образом, пациенток) – некоторые из них были в обнаженном виде, некоторые фотографии включали половые органы крупным планом. Вспомните эту историю, если вам придется сфотографироваться без одежды в клинике.
Типы утечек данных:
Кибератаки
Предприятия являются основной целью хакеров. Они имеют доступ к большему количеству ресурсов — будь то в виде доходов, кредитов или акций — чем частные лица. И точек входа больше. Преступнику достаточно обмануть одного сотрудника из десятков или даже сотен, чтобы организовать успешный крупномасштабный взлом.
А киберпреступники взламывают малый бизнес так же часто, как и компании из списка Fortune 500. Например, в 2021 году хакеры проникли в компанию по производству запчастей для грузовиков, раскрыв SSN более 6500 человек в базе данных компании.
Виды украденных данных
- Персональные данные сотрудников, клиентов или партнеров
- Финансовая информация, например номера кредитных карт компании.
- Коммерческие тайны, такие как дизайн продукции или предстоящие патентные заявки.
- Внутренние документы компании, такие как финансовые отчеты или заметки.
- Для предприятий в сфере здравоохранения: медицинские записи и информация о страховании
Потенциальные риски
- Программы-вымогатели, которые вынуждают компании платить деньги за восстановление доступа к своим данным.
- Шантаж, т.е. вымогательство у предприятий платы за предотвращение разглашения украденных конфиденциальных данных.
- Рыночные атаки, такие как короткие продажи акций или инсайдерская торговля, основанная на украденной информации.
- Корпоративный шпионаж, основанный на украденных коммерческих секретах
- Криптоджекинг, то есть установка программного обеспечения для майнинга криптовалюты на взломанные машины.
- «Хактивизм», при котором хакеры порочат бренды во имя дела
Испорченный имидж бренда для любой компании, у которой были раскрыты конфиденциальные пользовательские данные.
Физические атаки
- Потеряное устройство или документ . Потерянное устройство, на котором хранятся важные данные, может попасть в чужие руки , предоставив нашедшему все, что находится на жестком диске, и даже несанкционированный доступ к защищенным веб-сайтам.
- Кража документов . Чтобы начать успешную атаку, злоумышленнику будет достаточно всего одного документа , например удостоверение личности или медицинская карта. Например, в 2022 году женщине из Нью-Йорка было предъявлено обвинение в краже более 29 700 долларов с банковского счета жертвы, используя только украденные водительские права
- Кража устройства Если вор украдет ваше устройство, он сможет получить доступ ко всем вашим документам и логинам всех ваших учетных записей, включая банковские счета .
- Неправильная утилизация .
Системные и человеческие ошибки
- Фишинг возникает, когда хакер, выдающий себя за доверенного лица, обманом заставляет кого-то поделиться личной информацией. В 2022 году хакер взломал компанию-разработчика программного обеспечения Twilio, отправив сотрудникам поддельные текстовые сообщения , предупреждая их об истекших паролях. Ссылка в текстах вела на клон страницы входа в Twilio, предназначенный для кражи учетных данных.
- Неправильно настроенные брандмауэры - Брандмауэры предотвращают передачу определенных типов информации в сеть и из нее, но требуют точных настроек и разрешений. ИТ-администратору легко настроить их неправильно.
- Задержка с исправлением, патчи — это обновления программного обеспечения, устраняющие известные уязвимости. Но когда пользователи откладывают установку обновлений, их системы по-прежнему подвергаются риску. В 2017 году Equifax пострадала от одной из крупнейших утечек данных в истории, поскольку компания не смогла вовремя установить исправление безопасности
- Незащищенная облачная среда - Многие компании сегодня используют облачные платформы, такие как Microsoft Azure, Google Cloud Platform или Amazon Web Services; но возможно они их неправильно настроили.
Страхование от утечки данных
Чтобы снизить риск, связанный с потерей данных, многие компании в настоящее время приобретают страховку. Страхование от утечки данных помогает покрыть расходы, связанные с нарушением безопасности. Её можно использовать для поддержки и защиты широкого спектра компонентов, таких как кризисы в сфере связей с общественностью, решения по защите и ответственность. Она также может покрыть любые судебные издержки, накопленные в результате нарушения.