Всё чаще сведения выводят в виде фотографий и скриншотов.

Несмотря на развитие инструментов безопасности, число утечек конфиденциальной информации компаний и частных лиц не снижается. При этом организации неохотно сообщают о таких инцидентах, стремясь скрыть размер нанесенного ущерба. По каким каналам уходят корпоративные данные и как вычислить инсайдеров, разбирались «Известия».

Волк в овечьей шкуре

Компании «КРОК» и EveryTag изучили наиболее популярные каналы инсайдерских утечек (исследование имеется в распоряжении «Известий»). Опрос финансового, промышленного, ритейл- и ИТ-сегментов показал, что 35% утечек приходится на фотографирование и скриншоты экрана. Еще 13% сотрудников делают физические копии документов. И только 30% сливов совершаются в текстовом формате через мессенджеры, e-mail и соцсети.

Как считают исследователи, благодаря распространению удаленной работы сотрудники компаний получили доступ к важным данным из дома, что открыло возможности хищения информации. Но из-за внедрения DLP-систем копирование документов на носитель информации (флеш-карту и т. п.) или отправка данных через мессенджеры перестали быть безопасными, поэтому «кроты» переключились на фотографирование.

76% организаций знают об утечках и пытаются расследовать их, показал опрос. У 21% компаний нет возможности найти инсайдеров. А 17% даже не отслеживают подобные инциденты.

Почти половина опрошенных заявляют, что классические инструменты защиты не могут спасти конфиденциальную информацию от копирования. В ход идут методы борьбы с инсайдерами, ранее использовавшиеся «серьезной» контрразведкой. Так, сотрудники одной добывающей компании сливали в Telegram-каналы документы, раскрывающие детали сделок по освоению месторождения, рассказали в EveryTag. Компания под видом важных сведений разослала сотрудникам разные по содержанию данные. По тому, какая именно информация утекла, и был вычислен инсайдер.

(Не)случайно утекло

В настоящий момент инсайдерские сливы являются самой распространенной причиной утечки корпоративных данных, сообщили «Известиям» в компании разработчика DeviceLock DLP. По вине недобросовестных сотрудников происходит около 70% всех утечек. Далее идут хакерские атаки (около 15%) и небрежность при хранении и уничтожении данных — от выброшенных на свалку архивов до открытых серверов баз данных. На долю последних также приходится около 15%.

— При этом большая часть утечек не раскрывается. И если в случае с хакерами этому есть объективные причины — если те не потребуют выкуп, их в принципе трудно обнаружить, то в случае с инсайдерами расследованию чаще всего препятствуют сами компании, пытающиеся скрыть и объем утечки, и плачевное состояние информационной безопасности. Причем выявить инсайдера обычно несложно, например, с помощью проверки списка имевших доступ к конкретной информации, — пояснила генеральный директор разработчика DeviceLock DLP Олеся Ярмоленко.

Нередко сведения утекают из-за рассеянности работников, считает эксперт по кибербезопасности Сергей Вакулин. Так, в США конгрессмен Мо Брукс случайно запостил в соцсети логин и пароль от своей почты. Политик опубликовал твит, к которому прикрепил фото своего компьютера. В кадр попал стикер, приклеенный к монитору, на котором пользователи разглядели пин-код и пароль от почты. Что примечательно, Брукс входит в подкомитет по кибербезопасности.

Похожий случай произошел в Европе. Нидерландский журналист сумел попасть на закрытую видеоконференцию министров обороны стран ЕС. В «Твиттере» министра обороны Нидерландов была опубликована фотография, на которую попали пять из шести цифр кода для подключения к конференции. Журналист путем перебора вычислил недостающий символ, ввел код и присоединился к видеозвонку.

В целом, чем выше цифровая грамотность сотрудника, чем чаще он рапортует о подозрительных операциях и ошибках, замечает Елена Молчанова, представитель направления для повышения цифровой грамотности Kaspersky Security Awareness. Особенно повышенная бдительность полезна в работе с партнерами.

— Возьмем фишинг и атаки через цепочки поставщиков, — приводит пример Молчанова. — Организации часто открывают поставщикам и партнерам доступ к внутренней информации, чтобы те могли выполнять обязательства по контракту, но, конечно, это может привести к утечке.

Данные на поверхности

Другой способ испортить жизнь конкурентам — кибератаки. Но и здесь эксперты признают: очень часто ничего взламывать не нужно, всё и так лежит на поверхности. Одна из самых популярных системных уязвимостей связана с открытыми директориями, в которых хранятся все каталоги и файлы сайта. Бывает, что такая важная информация остается незащищенной.

— Обычно это ошибки программистов или системных администраторов, которые забывают закрыть доступ к определенным директориям. Найти открытый файл может даже новичок, если показать ему, как сократить путь до нужной папки. Мне и самому приходилось обнаруживать открытые директории, в том числе у государственных ресурсов, — поделился Сергей Вакулин.

С открытыми директориями также связано понятие «доркать». Речь идет об операторах поиска — словах, добавляемых к запросам в Google для получения более точных результатов. Такие команды помогают выявить грубейшие дыры в безопасности. Например, добавочная команда «cache:» выдает поиск в кэше Google, «filetype:» позволяет искать информацию в определенном типе файлов, а «inurl:admin» в сочетании с «site:» может привести к админке конкретного сайта.

Однако подобных атак можно избежать.

— Программист создает файл на хостинге или сервере и прописывает команду, благодаря которой поисковые системы не смогут проиндексировать ваш ресурс, — рассказал Вакулин.

Это личное

Другая серьезная проблема — слив персональных данных. По словам специалистов, часто на такую «подработку» соглашаются бывшие и действующие сотрудники правоохранительных органов. Стоимость же утечки зависит от значимости пробиваемого лица.

— Паспортные данные обычного человека стоят в районе 2-3 тыс. рублей, — говорит Сергей Вакулин. — За сведения о вышестоящих лицах ценник может возрастать до 100 или 200 тыс. рублей. За данные о журналисте, возможно, возьмут 50 тыс. рублей.

В компании разработчика DeviceLock DLP назвали схожие цифры.

— Если говорить об услугах «пробива», то на начало этого года стоимость выписки по счету составляла от 10 до 15 тыс. рублей за месяц в зависимости от банка. Стоимость детализации звонков и СМС — от 2 до 15 тыс. рублей за месяц. Обращения к базам госведомств, где информационная безопасность традиционно слаба, стоили от 1 до 2 тыс. рублей за запрос, — рассказала Олеся Ярмоленко.

Бороться со сливами довольно трудно. В марте 2021 года Роскомнадзор заблокировал несколько Telegram-каналов, предоставляющих персональные данные: «Глаз Бога», «Архангел», Smart_SearchBot. Однако никакого влияния на рынок торговли персональными данными их закрытие не оказало, уверена Ярмоленко.

— Основная часть его приходится на закрытые форумы и сайты даркнета, а в их работе ничего не изменилось. Кроме того, на месте закрытых Telegram-каналов постоянно возникают новые, а тот же «Глаз Бога» уже вернулся к работе, якобы уладив свои проблемы с правоохранителями, — отметила собеседница.

Более действенной мерой иногда оказывается внедрение. В июне этого года стало известно о завершении операции «Троянский щит». На протяжении трех лет ФБР вместе с австралийской полицией продвигало среди преступников мессенджер с шифрованием An0m, а затем отследило все переписки и провело аресты в 18 странах. Под следствие попали более 800 человек.