Инсайдеры оседлали утечки информации
Финансовые организации теряют данные из-за действий собственных сотрудников
Доля утечек данных из финансового сектора, к которым имели отношение инсайдеры, с небольшими вариациями сохраняется на довольно высоком уровне — около трети всех подобных инцидентов. Такие утечки могут быть более опасны, чем действия хакеров, так как связаны с прямым доступом работников банка к чувствительной информации и знанием особенностей внутренних процессов. При этом банки постоянно совершенствуют защиту от подобных угроз, в том числе используя контроль и отслеживание данных, которые перемещаются внутри и за пределами корпоративной сети.
Фото: Евгений Павленко, Коммерсантъ
По итогам девяти месяцев 2024 года доля утечек данных из финансовых организаций, произошедших в результате действий инсайдеров, составила 31%, следует из данных системного интегратора «Информзащита». Этот показатель ниже, чем в аналогичном периоде 2023 года (34%), но выше, чем в 2022 году (28%). В ГК «Солар» также подтверждают, что инсайдеры являются одной из основной причиной утечек данных именно из финансовых организаций.
Банкиры также подтверждают значимость этого канала передачи информации. Современные средства защиты, которые используются в банках, пройти практически нереально, отмечает глава комитета по информбезопасности Ассоциации российских банков Андрей Федорец.
По его словам, утечки или разного рода обеспечение доступа к данным — это исключительно действия, осуществленные с помощью внутреннего злоумышленника.
При этом, по данным «Солар», в целом кредитные организации находятся в топ-3 по объемам утекших данных. Вместе с тем, по оценке InfoWatch, за первое полугодие 2024 года в финансовых организациях утечек стало меньше на 62% относительно аналогичного периода прошлого года, а число утекших записей персональных данных составило 49,5 млн шт. За девять месяцев 2024 года произошло около 500 случаев утечек данных в финансовом секторе, оценивают в «Информзащите».
По словам экспертов, сохранение стабильной доли утечек данных из-за действий инсайдеров связано со сложностью их выявления, при этом внутренние угрозы более опасны, чем внешние. По словам руководителя направления аналитических исследований Positive Technologies Ирины Зиновкиной, у инсайдеров изначально есть легитимный доступ к инфраструктуре и обрабатываемым данным и его уровень зависит от должности и полномочий. Соответственно, инсайдерам не надо, например, искать уязвимые сервисы или внедрять вредоносное ПО, чтобы украсть данные, им достаточно найти незащищенный канал, чтобы передать данные за пределы организации, поясняет она. Более того, благодаря знанию особенностей внутренних процессов и деталей по работе системы защиты инсайдер может действовать гораздо дольше и более скрытно, чем внешний нарушитель, добавляет руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT компании «Инфосистемы Джет» Руслан Амиров.
Средний ущерб от «слива» данных в 2024 году составляет $46 тыс., оценивает «Информзащита».
Чаще всего в утекшей информации фигурируют персональные данные (75%), банковская документация (27%) и данные банковских карт клиентов (22%). Причем в одном инциденте могут быть несколько видов данных, уточняют там. Однако на первое место по ценности выходит информация о банковских счетах и картах, так как использование таких данных в разговорах или переписке значительно снижает уровень тревоги и повышает доверие жертвы к мошеннику, отмечает господин Амиров. Персональные данные жертвы могут быть получены и аккумулированы мошенниками из других источников. Кроме того, по словам эксперта, ценность представляют и сведения о других операциях, например о взятии кредитов, поскольку такие детали позволяют максимально втереться в доверие к потенциальной жертве, к тому же эту информацию можно продать конкурентам жертвы.
Впрочем, финансовые организации постоянно совершенствуют защиту от подобных угроз, используя DLP-системы, логирование, данные Threat Intelligence, рассказывают эксперты F.A.C.C.T. Так, DLP-системы помогают контролировать и отслеживать данные, которые перемещаются внутри и за пределами корпоративной сети, и предотвращает их незаконное разглашение. Логирование подразумевает фиксацию и структурирование информации о работе системы в отдельные лог-файлы, что позволяет при необходимости определить, какой инцидент произошел. Кроме того, эксперты по информбезопасности отмечают, что такие действия помогают осуществлять мониторинг актуальных угроз и группировок киберпреступников, что в дальнейшем позволит снижать их негативное влияние.