

Каналы утечки данных
Под утечкой данных подразумевается ситуация, когда ценные сведения становятся доступны посторонним людям, которые не должны иметь доступ к этим сведениям.
Такая ситуация может возникнуть по разным причинам. Чаще всего под «утечками» понимаются инциденты, в которых замешаны сотрудники пострадавшей организации. Также утечкой называется доступ злоумышленников извне к корпоративной информации. В нашей статье рассмотрим каналы утечки данных, актуальные для большинства предприятий.
План статьи:
1. Мировая статистика утечек данных
2. Статистика по утечкам данных в России
4. Три состояния информации и риски утечек
5. Каналы утечки информации на предприятии
7. Утечки из незащищенных баз данных
8. DLP-системы для защиты от утечек данных
Мировая статистика утечек данных
По итогам 2024 года количество утечек данных достигло рекордных масштабов: было скомпрометировано более 22 миллиардов записей, а число инцидентов выросло на 14 % по сравнению с предыдущим годом. Крупнейшая из утечек, связанная с National Public Data, затронула 2,9 миллиарда записей.
Известно, что 25 % всех целевых атак включали использование бэкдор-технологий, а до 50 % вредоносных программ содержали модули для сохранения скрытого доступа.
Причинами утечек чаще всего становятся человеческий фактор (74 %). При этом из-за намеренных действий внутренних нарушителей из управленческого персонала допущено ≈3–4% инцидентов.
Фишинг, ошибки конфигурации и использование украденных учетных данных — самые популярные причины (до 46 %). Также выявлено, что более 25% атак с помощью вредоносного ПО проведено с помощью программы-шифровальщика.
Серьезной проблемой при утечке данных также является время реакции на инцидент. В среднем утечка обнаруживается спустя 200–210 дней, и примерно 70–75 дней уходит на устранение причин инцидента и последствий утечки данных. Это подчеркивает важность задачи кибербезопасности на предприятии, особенно в разрезе борьбы с утечками данных.
Статистика по утечкам данных в России
В 2024 году около 1,58 млрд записей персональных данных утекло в открытый доступ. Это рост на 31,7 % по сравнению с предыдущим 2024 годом.
По объему утекших данных Россия стабильно находится в списке лидеров, меняя места от пятого до второго. Также на первых местах по утечкам данных в мире находятся такие страны: США, Индия, Китай, Испания.
Фиксируется высокая скорость утечек данных, более 1,7 тыс. записей в минуту, согласно информации за 2024 год.
Виды утечек информации
Утечки информации принято разделять на два вида: преднамеренные и непреднамеренные. Рассмотрим каждый из видов отдельно.
Непреднамеренные утечки данных — это все инциденты в информационном поле предприятия, приведшие к утечке данных за пределы охраняемого периметра по причине человеческой халатности и ошибок в работе с данными. Непреднамеренные утечки заранее не спланированы и не несут злонамеренный характер, однако последствия этих действий не отличаются по масштабам ущерба от другого вида — преднамеренных.
Причинами непреднамеренных утечек данных являются:
- отказ от использования или слабые программные меры защиты корпоративной информации от утечек;
- неявное разграничение информации по уровню конфиденциальности, в том числе отказ от введения режима коммерческой тайны в организации;
- фишинг и социальная инженерия, когда сотрудник под влиянием злоумышленника раскрывают чувствительную информацию;
- несоблюдение сотрудниками правил ИБ, прописанных в политиках информационной безопасности;
- недостаточная осведомленность сотрудников о средствах контроля и защиты конфиденциальности информации и возможных типах атак;
- отсутствие разграничения доступа к информации сотрудникам или некачественное внедрение модели безопасности Zero Trust;
- использование во внутрикорпоративной коммуникации персональных аккаунтов от мессенджеров, социальных сетей, email;
- неправильная настройка облачных хранилищ, открывающая доступ к корпоративным данным;
- ошибки при массовой рассылке, например, отправка конфиденциальной информации несанкционированным адресатам;
- автоматическая синхронизация корпоративных данных с личными устройствами, особенно при использовании BYOD-практики (bring your own device) без должной защиты;
- отсутствие контроля переносных типов устройств и их использования в рамках предприятия и др. причины.
Преднамеренные утечки — это все утечки, вызванные инсайдерской деятельностью сотрудников или атакой на информационное поле предприятия извне.
Инсайдерам доступна конфиденциальная информация, и по разным причинам у них есть намерение передать ее заинтересованным лицам. Подробнее причины инсайдерской деятельности и типы инсайдеров мы исследовали в этой статье.
Информация может быть подвержена утечке и по причинам внешнего воздействия на предприятие. Речь идет о хакерских атаках и физическом шпионаже. Причины преднамеренных утечек:
- использование вредоносного программного обеспечения, в том числе типа шпионского ПО и кейлоггера для сбора, копирования и передачи информации;
- атаки через уязвимости программного обеспечения и операционной системы, в том числе атаки «нулевого дня» (Zero-day);
- сетевые атаки типа «человек посередине», киберспуфинг, DoS- и DDoS-атаки;
- использование специализированного прослушивающего оборудования для считывания колебания, вызываемые звуковыми волнами, в разговорах;
- прослушка телефонных линий;
- физическое вмешательство, в том числе несанкционированный доступ к серверам, рабочим станциям, маршрутизаторам;
- кража устройств (ноутбуков, телефонов, флеше-карт) с незащищенной информацией;
- атака через третьих лиц (подрядчиков) и др. причины.
Методов и инструментов для кражи информации придумано множество. Есть такие экзотические, как программа, которая превращает последовательности битов в мерцания пикселей на мониторе. Эти мерцания слабы и незаметны невооруженному глазу, но считываются специальным оборудованием.
Также не стоит забывать, что конфиденциальную информацию могут подсмотреть или подслушать, без всякого оборудования.
Три состояния информации и риски утечек
Для эффективного построения системы защиты информации важно понимать, в каких состояниях она может находиться и через какие каналы потенциально возможна ее утечка. Вне зависимости от типа данных, персональных, коммерческих или технологических, вся цифровая информация в процессе жизненного цикла проходит через три ключевых состояния: хранение, передача и обработка. Каждое из этих состояний имеет свои особенности, уязвимости и требует применения соответствующих мер безопасности.
Риски утечки информации в хранении
Информация может храниться в виде файлов или баз данных на локальных компьютерах, серверах, в облачных хранилищах, на съемных типах носителей либо в физическом виде.
Хранящаяся информация может быть подвержена рискам утечки из-за негативного воздействия следующего типа:
- повреждение и деградация носителей информации из-за физического воздействия, неправильной эксплуатации, превышения срока службы изделий для хранения;
- технических уязвимостей и конфигурационных ошибок в настройке систем хранения;
- халатности сотрудника, отвечающего за корректное хранение данных и др.
Еще чтобы получить доступ к информации в хранении, хакеры могут использовать вредоносное ПО, скомпрометированные пароли и логины для аутентификации, программные и технические средства взлома. На практике: злоумышленник (хакер, инсайдер, промышленный шпион) внедряет вредоносное программное обеспечение через фишинг, пиратское программное обеспечение, невыявленные баги в системах управления хранением для реализации негативного сценария по захвату данных.
В фишинг-письмах содержится ссылка, ведущая на зараженный ресурс, или прикреплен файл, в который встроен вредоносный код. Чтобы спровоцировать пользователя перейти по ссылке или открыть файл, письмо может имитировать уведомления из банков или государственных организаций, извещения о штрафах, выигрышах, неуплатах и т.д. Также фишинговые письма используются для получения паролей и логинов. В этом случае письмо также может имитировать какое-то уведомление от официального лица и содержать форму для ввода данных. Вредоносное ПО также попадает на компьютеры вместе с пиратскими программами и файлами, скачанными из зараженных источников.
Некоторые программы, в частности, вирусы-вымогатели, могут устанавливаться хакерами вручную уже после того, как те получают доступ к корпоративной сети.
Чтобы получить пароли и логины, используются самые разные методы — от уже упомянутых фишинговых писем и шпионского оборудования, до физической прослушки и визуального наблюдения. Часто пароли бывают скомпрометированы, когда сотрудники компании пользуются общественными незащищенными сетями, вроде публичного wi-fi в кафе.
Стоит упомянуть еще один источник пользовательских данных, который используют хакеры. Когда случаются утечки информации, базы с данными клиентов и сотрудников пострадавших компаний оказываются на хакерских форумах. Эти базы выставляются на аукционах за деньги или выкладываются бесплатно. Некоторые такие архивы содержат десятки миллионов записей.
В связи с этим крайне не рекомендуется использовать один пароль для множества сервисов. Если у одного из них случится утечка, скомпрометированный пароль смогут использовать для получения доступа к остальным ресурсам.
Риски утечки информации в движении
Передача информации по цифровым каналам в движении — критически важный этап для предприятия, сопровождаемый высоким риском компрометации. Несмотря на распространенность современных средств шифрования и контроль каналов коммуникации, утечка данных в движении (data in transit) по-прежнему является одной из самых распространенных форм информационных инцидентов. Ниже приведены ключевые угрозы, сопровождающие данный вектор риска.
1. Атаки типа «человек посередине» или «Man-in-the-Middle» (MITM)
Одна из наиболее изощренных и распространенных форм кибератаки. Суть MITM-атаки заключается в том, что злоумышленник тайно перехватывает коммуникацию между двумя доверяющими друг другу сторонами — будь то пользователь и сайт, сотрудник и сервер компании, клиент и мобильное приложение. Получая доступ к передаваемым данным, он может их считывать, модифицировать, подменять или перенаправлять.
2. Перехват незашифрованного трафика
В случае, если трафик передается без шифрования (например, через устаревший протокол HTTP вместо HTTPS, небезопасный тип мессенджеров), данные легко могут быть перехвачены с помощью специализированных программных инструментов для анализа сетевого трафика. В таком случае простая переписка по email, переданная в незашифрованном виде, может стать объектом интереса злоумышленников — особенно если она содержит финансовые сведения, документы, логины или другие элементы цифровой идентичности.
3. Использование устаревших и небезопасных протоколов передачи данных, особенно актуально для госструктур
Наследие раннего интернета до сих пор используется в некоторых корпоративных и государственных системах. Протоколы типа FTP, Telnet, POP3, SMTP без SSL/TLS передают данные в чистом виде без какой-либо защиты.
4. Компрометация VPN, прокси-серверов и туннелей
Многие организации считают VPN достаточным уровнем защиты при удаленной работе. Однако VPN-сервисы, особенно бесплатные, могут сами становиться источником утечки — путем логирования активности, установки вредоносного ПО или предоставления третьим лицам доступа к передаваемым данным.
Даже при использовании корпоративных VPN-сетей необходимо учитывать человеческий фактор: неправильно настроенные туннели, отсутствие двуфакторной аутентификации, незащищенные точки входа могут быть использованы киберпреступниками.
Риски утечки информации в обработке
Определение обработки данных дано в Федеральном законе РФ №152-ФЗ от 27.07.2006 г. «О персональных данных», согласно которого, все действия или их совокупность по сбору, записи, систематизации, накоплению, обновлению, уничтожению, блокировке и др. относятся к этому действию.
К ключевым этапам обработки данных относятся получение данных от субъекта информации или от других источников (сбор данных), целевое использование информации, передача, удаление или уничтожение с носителей.
Риски утечки информации в обработке в таком случае представлены в виде:
- ошибок в конфигурации применяемых программных инструментов для обработки;
- ошибок из-за невнимательности, некомпетентности сотрудников, что привело к необратимым изменениям информации;
- неправильных форматов сохранения информации и др. причины.
Каналы утечки информации на предприятии
В условиях цифровизации и роста объема обрабатываемой информации предприятия все чаще сталкиваются с рисками утечки данных. Поэтому важно не только защищать данные, но и понимать, по каким каналам они могут покинуть пределы организации. Каналы утечки данных могут быть как очевидными, так и скрытыми, и их своевременное выявление позволяет выстроить эффективную стратегию информационной безопасности и обеспечить контроль над всеми возможными точками риска
Типы каналов утечки данных
Выделяется несколько типов каналов утечки данных. Рассмотрим их подробнее.
Электронные каналы связи. Это все цифровые каналы для отправки данных на внешние адреса, пересылки файлов и конфиденциальной информации через чаты, загрузки информации в несанкционированные сервисы, передачи данных через формы, теневые каналы связи и незащищенные соединения. К электронным каналам связи относятся электронная почта, мессенджеры, облачные хранилища, веб-сайты и HTTP-соединения, сетевые каналы (FTP, P2P).
Физические каналы утечек данных. Это все физические носители для копирования и выноса данных, печати, фото- и видеосъемки экранов, документов, процесса переговоров, средства голосовой связи. К физическим каналам утечек данных относятся USB-накопители, физические документы, аппаратура для съемки и головы коммуникаций.
Человеческий фактор. Это утечка данных через инсайдеров, имеющих доступ к конфиденциальной информации и сотрудников, подверженных давлению и приемам социальной инженерии.
Технические уязвимости. К утечке данных могут привести устаревание используемого программного обеспечения на предприятии, использование нелицензионного ПО, а также систем безопасности без постоянного мониторинга уязвимостей и регулярного аудита их эффективности. Такие факторы значительно повышают риск компрометации данных и делают инфраструктуру предприятия уязвимой для внешних атак.
Организационные риски, повлиявшие на утечку данных. Это совокупность негативного воздействия на информацию, вызванного третьими сторонами: подрядчиками, внешние исполнители задач, аутсорсеры, сотрудники в период увольнения.
Неочевидные каналы утечки данных. Это акустические и радиоканалы, которые используются для скрытой записи переговоров или перехват сигналов, а также IoT-устройства (камеры, принтеры, голосовые помощники), подключенные к сети без надлежащей защиты.
Утечки из незащищенных баз данных
Специалисты по кибербезопасности провели эксперимент: они создали фальшивую базу данных с тестовыми данными и намеренно оставили ее в открытом доступе, без пароля. Уже через 8 часов после запуска начались попытки несанкционированного доступа, а за 11 дней база подверглась более чем 200 атакам. После того как ее индексировали поисковики, активность злоумышленников резко возросла. В финале данные были зашифрованы программой-вымогателем, с требованием выкупа.
Результаты эксперимента ясно показывают, что оставленная без защиты база становится мишенью злоумышленников очень быстро. А случаются такие инциденты нередко.
Получив доступ к незащищенной базе, хакеры могут украсть и выставить полученную информацию на продажу на специальных форумах. Зашифровать данные с помощью вируса-шифровальщика и продавать ключ-дешифратор к информации. Может быть подсажено шпионское ПО или вирус, который будет в скрытом режиме собирать логины и пароли, веб-активность пользователей, предоставлять удаленное управление, выполнять функцию кейлоггера.
Важно понимать! Даже небольшой промежуток времени без защиты (несколько дней) может критически повлиять на конфиденциальность информации и привести к утечкам данных.
DLP-системы для защиты от утечек данных
Для контроля движения информации и предотвращения утечек данных на предприятиях применяются различные программные и аппаратные средства. Одним из наиболее эффективных инструментов являются DLP-системы. Они представляют собой комплекс решений, включающих агенты, устанавливаемые на рабочие станции сотрудников, и модули, ответственные за сбор, анализ и контроль информации, поступающей от этих агентов.
На примере работы программного комплекса Falcongaze SecureTower, DLP-системы отслеживают несанкционированное копирование данных на внешние носители, передачу информации по электронной почте, через мессенджеры, веб-сервисы, загрузку в облачные хранилища, печать документов и даже их хранение вне защищенной среды. Система уведомляет сотрудника отдела информационной безопасности об инциденте, а также может как блокировать запрещенные действия и вести их журналирование в модуле «Расследования» для последующего анализа. Поведение DLP-системы оценивается через заранее установленные политики безопасности, которые настраиваются с учетом особенностей деятельности компании.
Один из ключевых элементов контроля каналов коммуникации и предупреждения утечек данных через них — поведенческий анализ. DLP-система Falcongaze SecureTower видит и анализирует всю цифровую активность в контуре предприятия, что позволяет выявлять потенциальные угрозы еще до фактической утечки информации.
Подробно о работе последней версии Falcongaze SecureTower Oxygen можно узнать из презентации.
Система отслеживает активность сотрудников в мессенджерах, в Интернете, внутрикорпаративном общении, печати документов, копировании на носители конфиденциальных данных, использовании скриншотов и т.д. Сотрудник отдела информационной безопасности всегда видит активность персонала: обращение к служебным документам, использование определенных ключевых слов, упоминания конкурентов или руководства компании, попытки выгрузки информации в мессенджеры и облака. Эти косвенные признаки могут свидетельствовать о потенциальной угрозе со стороны сотрудника и быть основанием для более тщательного контроля его активности. Это обеспечивает своевременное пресечение инцидентов безопасности и утечек информации.
Эффективную работу DLP-систем обеспечивает технология контентного анализа. В систему заранее загружаются шаблоны конфиденциальных документов, изображения, ключевые фразы и параметры. При передаче или сохранении информации система сравнивает содержимое с этими эталонами, что позволяет оперативно выявить попытки передачи закрытых данных.
Исследовать возможности Falcongaze SecureTower для контроля каналов утечки данных на вашем предприятии можно бесплатно в течение 30 дней. Свяжитесь с представителями компании для получения полной консультации.
Вывод
Понимание возможных каналов утечки данных позволяет выстроить многослойную систему защиты. На основе этих знаний создается эффективная, комплексная защита информации, способная противостоять внутренним и внешним угрозам безопасности.