Каналы утечки данных

Под утечкой данных подразумевается ситуация, когда ценные сведения становятся доступны широкому кругу лиц или нескольким людям, которые не должны иметь доступ к этим сведениям.

Такая ситуация может возникнуть по разным причинам. Чаще всего под «утечками» мы понимаем инциденты, в которых замешаны сотрудники пострадавшей организации. Они могут или специально украсть и передать информацию, или разгласить ее по неосторожности или незнанию. Также утечкой мы называем доступ злоумышленников извне к корпоративной информации. Доступ они могут получить множеством способов — от использования сложного шпионского оборудования до банального копирования информации из незащищенной базы данных.

Сейчас, когда мы говорим об утечках, то преимущественно подразумеваем информацию, существующую в цифровом виде. Но, безусловно, по сей день используются и более традиционные носители — бумажные документы, магнитные ленты и т.д. Эти носители также можно украсть или скопировать, и это также будет утечкой. В конце концов и электронный носитель можно тайно вынести в кубике Рубика.

Однако сегодня подавляющая часть информации все же хранится в цифровом виде. Поэтому мы рассмотрим цифровые каналы утечек данных. Именно они являются сегодня главной мишенью злоумышленников.

Виды утечек информации

Утечки информации бывают преднамеренными и непреднамеренными. Непреднамеренные могут возникать:

- из-за слабых мер защиты или вовсе из-за их отсутствия;

- неявного обозначения конфиденциальности информации (в организации не введен режим коммерческой тайны);

- по причине несоблюдения сотрудниками правил безопасности (недостатки процесса обучения сотрудников).

 

Преднамеренные утечки являются результатом инсайдерской деятельности сотрудников. Инсайдерам доступна конфиденциальная информация, и по разным причинам у них есть намерение передать ее заинтересованным лицам. Также это называется промышленным шпионажем.

Информацию могут украсть злоумышленники извне. Речь идет о хакерских атаках и использовании злоумышленниками специальных методов и приемов:

- прослушка телефонных линий;

- использование шпионского ПО для копирования информации, регистрации нажатия клавиш, кражи логинов и паролей и т.д.;

- использование оборудования, которое считывает колебания, вызываемые звуковыми волнами, для прослушки разговоров;

- «врезка» в каналы и протоколы передачи данных;

- и т.д.

Методов и инструментов для кражи информации придумано множество. Есть такие экзотические, как программа, которая превращает последовательности битов в мерцания пикселей на мониторе. Эти мерцания слабы и незаметны невооруженному глазу, но считываются специальным оборудованием.

Также не стоит забывать, что конфиденциальную информацию могут банально подсмотреть и подслушать, без всякого оборудования.

Три состояния информации и каналы утечек

Цифровая информация может находится в трех состояниях:

- хранение;

- движение (передача);

- обработка.

 

Информация может храниться в виде файлов или баз данных на локальных компьютерах, серверах или в облачных хранилищах.

 

Хранящаяся информация может быть скопирована, удалена или модифицирована. Для этого злоумышленник должен получить доступ. Как уже было сказано, это может быть сотрудник компании — инсайдер, или посторонний человек.

 

Чтобы получить доступ к информации, хакеры могут использовать:

- вредоносное ПО;

- добытые пароли и логины;

- средства взлома.

Вредоносное ПО попадает в корпоративные сети и на компьютеры разными путями. Один из самых популярных способов — рассылка зараженных писем. В таких письмах или содержится ссылка, ведущая на зараженный ресурс, или прикреплен файл, в который встроен вредоносный код. Чтобы спровоцировать пользователя перейти по ссылке или открыть файл, письмо может имитировать уведомления из банков или государственных организаций, руководства, извещения о штрафах, выигрышах, неуплатах и т.д.

Также фишинговые письма используются для получения паролей и логинов. В этом случае письмо также может имитировать какое-то уведомление от официального лица и содержать форму для ввода данных.

Стоит сказать, что по статистике очень многим утечкам информации предшествуют целенаправленные фишинговые рассылки.

 

Вредоносное ПО также попадает на компьютеры вместе с пиратскими программами и файлами, скачанными из зараженных источников.

Некоторые программы, в частности, вирусы-вымогатели, могут устанавливаться хакерами вручную уже после того, как те получают доступ к корпоративной сети.

Чтобы получить пароли и логины, используются самые разные методы — от уже упомянутых фишинговых писем и шпионского оборудования, до совершенно банальных подглядываний и подслушиваний. Часто пароли бывают скомпрометированы, когда сотрудники компании пользуются общественными незащищенными сетями, вроде публичного wi-fi в кафе.

Стоит упомянуть еще один источник пользовательских данных, который используют хакеры. Когда случаются утечки информации, базы с данными клиентов и сотрудников пострадавших компаний оказываются на хакерских форумах. Эти базы выставляются на аукционах за деньги или выкладываются бесплатно. Некоторые такие архивы содержат десятки миллионов записей.

В связи с этим крайне не рекомендуется использовать один пароль для множества сервисов. Если у одного из них случится утечка, скомпрометированный пароль смогут использовать для получения доступа к остальным.

Утечки из незащищенных баз данных

Проводилось исследование, в котором специалисты по информационной безопасности создали базу данных, наполнили ее фейковой информацией и оставили в общем доступе, не защитив паролем. В таком виде она «провисела» 11 дней. Результаты оказались следующими:

- в среднем база была атакована 18 раз в день;

- первая атака случилась через 8 часов после начала эксперимента — еще до того, как база была проиндексирована;

- после индексации специальными поисковиками число атак увеличилось, причем практически мгновенно;

- хакеры пытались узнать информацию о настройках безопасности;

- в конце концов данные были зашифрованы вирусом-вымогателем, и, соответственно, появилось требование выкупа.

Результаты эксперимента ясно показывают, что оставленная без защиты база становится мишенью злоумышленников очень быстро. А случаются такие инциденты нередко.

Получив доступ к незащищенной базе, хакеры могут поступать по-разному. Данные могут быть просто украдены и выставлены на продажу на специальных форумах. Данные могут быть зашифрованы, а за их расшифровку выставлен выкуп. Может быть подсажено шпионское ПО или вирус, который будет тайно выполнять нужные злоумышленникам операции.

 

Если база находится без защиты продолжительное время, а это всего несколько дней, то очень вероятно, что случится все это вместе взятое.

Бреши в настройках безопасности в 99 случаях из 100 — человеческая ошибка. При этом если подходить к защите облачных баз ответственно, то у облачного хранения есть явные преимущества перед локальными серверами.

Главное преимущество — физический доступ неавторизованных лиц к центрам обработки данных, где находятся сервера, практически исключен.

Второе — компании, оказывающие услуги облачного хранения, делают резервные копии данных, чтобы их можно было восстановить в случае утери или повреждения.

В-третьих, некоторые облачные хранилища шифруют хранимую информацию. Так что даже при получении хакерами доступа к ней, они не могут ее использовать, так как не владеют ключами дешифрования.

Стоит упомянуть, что у хранения информации на персональных девайсах есть еще одна негативная сторона — девайсы теряются. В начале 2020 года была опубликована любопытная статистика. Члены британского правительства за предыдущий год потеряли около 2000 мобильных девайсов — ноутбуков, планшетов и телефонов.

Использование технических каналов утечек информации

Часто компании объединяют компьютеры сотрудников и сетевые устройства в локальные сети.  В корпоративную сеть входит множество устройств и узлов. Это не только рабочие компьютеры сотрудников. Это также офисная техника — принтеры, сканеры, это сервера для хранения папок и файлов для общего доступа. Вследствие неосторожности сотрудников, инсайдерской деятельности или вторжения извне могут происходить утечки из корпоративных сетей.

 

Также сеть может быть скомпрометирована вследствие утечки данных из какого-то сервиса, к которому компания напрямую отношения не имеет. Чтобы такого не происходило, как уже было сказано, нельзя использовать одинаковые пароли для всех сервисов. Особенно одновременно для публичных и корпоративных.

Подключение к линиям связи

При помощи программно-аппаратных средств злоумышленники могут подключаться к линиям передачи информации. Так, они могут «прослушивать» телефонную линию или перехватывать данные, используя специальное ПО для контроля протоколов передачи данных. Частично от такого способа извлечения информации может помочь шифрование. Зашифрованные данные не представляют ценности для злоумышленников, так как не могут быть декодированы.

Обнаружить физическое вторжение в канал передачи данных можно при помощи регистрации изменений физических характеристик среды передачи сигнала, а также по изменениям характеристик самого сигнала.

Некоторые средства защиты от утечек информации

Для контроля движения информации, а также предотвращения утечек данных используются различные программные средства. Один из самых распространенных инструментов — DLP-системы. Они состоят из агентов, которые устанавливаются на компьютеры сотрудников, и модулей, отвечающих за контроль и анализ информации, поступающей от агентов. Эти системы помогают предотвращать несанкционированное копирование информации на внешние носители, передачу по почте и через мессенджеры, отправку на печать и даже хранение классифицированных документов.

 

DLP-система может как блокировать нежелательные действия, так и журналировать их. Выбор стратегии и поведения программы осуществляется на этапе настройки политик безопасности.

При помощи DLP-системы можно не только обнаружить уже свершившийся факт утечки, но и вычислить сотрудника, только намеревающегося разгласить информацию. Для этого используется анализ трафика в мессенджерах и по любым каналам общения. Программа проверяет, использует ли сотрудник имена конкурентов, сотрудников компании, что говорит о руководстве, не ищет ли новую работу. По этим косвенным данным можно судить о том, склонен ли работник к передаче данных и может ли выступить в роли шпиона.

Аппаратные средства используются для контроля физических каналов передачи информации, таких как телефонные линии. Также специальные устройства применяются для сканирования помещений на наличие передающих и записывающих устройств, шпионских приспособлений.

Контентный анализ. Технология, используемая в DLP-системах. Ее суть заключается в том, что в программу закладываются образцы конфиденциальных документов, изображения и ключевые слова. И программа, контролируя почтовые клиенты, мессенджеры и протоколы передачи данных, сравнивает с этими образцами сообщения, которые пользователи отправляют или хранят на компьютерах.

Шифрование — защита информации от утечки путем ее кодирования с помощью специального ключа. Современный протокол передачи данных в интернете https отличается от http именно шифрованием пересылаемых пакетов. Для злоумышленников, сумевших подключиться к каналу передачи, перехваченные сообщения выглядят как бессмысленные последовательности символов, которые невозможно дешифровать, не имея ключа.

Стоит также сказать, что все программно-технические средства защиты от утечек информации лишь помогают ее защищать. Главная же задача состоит в том, чтобы выработать стратегию защиты информации и выработать общие правила в рамках компании. Общепринятая мера для этого — введение режима коммерческой тайны. Лишь совместные действия руководства, менеджмента и сотрудников помогут сохранить корпоративные данные и не ставить под угрозу конкурентоспособность компании.