Самый ценный ресурс в мире сегодня — это не золото, не нефть и даже не биткоины. Самый ценный ресурс — это данные.
Поэтому те, кто владеет важной информацией, пытается спрятать ее от тех, кто желает ее заполучить. Иногда защитить данные не получается, и к ним получают доступ те, кто этот доступ иметь не должен. Такая ситуация носит определение утечки данных.
В статье мы рассмотрим:
3. Основные каналы утечки данных
4. Как и почему происходят утечки?
6. Как DLP-система SecureTower защищает организации от утечек данных?
Утечка данных — это намеренное или случайное раскрытие конфиденциальной информации. В этом материале мы подробно рассмотрим вопрос утечки данных на предприятиях.
При организации системы защиты данных необходимо инвентаризировать все информационные активы и классифицировать их по степени критичности в случае утечки, изменения или уничтожения.
Как правило, все данные, которые хранят и обрабатывают на предприятиях, делят на общедоступные и конфиденциальные.
Далее мы рассмотрим категории данных, утечка которых может повлечь санкции со стороны ИБ-регуляторов, материальный и репутационный ущерб — то есть конфиденциальных данных.
Персональные данные (далее — ПД). Речь идет о любой информации, которую собирают и обрабатывают организации и через которую можно установить личность пользователя: дату рождения, адреса электронной почты, паспортные данные, биометрические данные, сведения медицинского характера, место проживания и регистрации и проч.
Проблема утечек персональных данных достигла кризисного уровня в России и за ее пределами. Так, по информации «Сбера», уже в 2023 году персональные данные 90% россиян попали в общий доступ.
Также важно учитывать, что примерно треть от всех утекших персональных данных приходится на аутентификационную информацию.
Аутентификационная информация, то есть логины, пароли, номера телефонов, коды для авторизации и любые другие данные, используя которые можно получить доступ к учетным записям, онлайн-кабинетам банков, различным сервисам и, конечно, информационным системам организаций.
Информация, составляющая коммерческую тайну. К такой информации можно отнести любые сведения, которые позволяют их владельцу увеличивать доходы и снижать расходы, сохранять конкурентное преимущество и утрата которых может повлечь материальный ущерб и недополучение выгоды. Как правило, к такой информации относятся финансовые сведения, данные о заключенных сделках, секреты производства, ноу-хау, данные о разработках и технологиях и проч.
О том, какие сведения можно отнести к коммерческой тайне, мы писали в этой статье.
Государственная тайна. В условиях текущей геополитической ситуации вопрос защиты данных, представляющих государственную тайну, стоит особенно остро. К гостайне можно отнести данные разведки, информацию о расположении стратегически важных объектов, научно-технические разработки и проч.
Профессиональная тайна. Речь идет о данных, относящихся к профессиональной деятельности: банковская, врачебная, нотариальная и проч.
Служебная тайна. Данные, которые собирают и обрабатывают различные службы, в том числе государственные органы, и предоставляются только по запросу граждан: информация ЗАГСов, налоговых служб и проч.
Документы внутреннего пользования. Внутренняя служебная переписка, приказы, положения, различные протоколы и акты, отчетная документация, заявления и проч.
В зависимости от специфики деятельности организации перечень данных может изменяться, дополняться по мере расширения штата, открытия новых направлений работы, создания филиалов и в случае любых других изменений.
Важно понимать: любые чувствительные сведения, описанные выше, представляют интерес для мошенников и могут попасть в общий доступ. Далее мы рассмотрим, почему происходят утечки информации.
Каналы утечек можно условно разделить на три группы: технические, материально-вещественные и аудиовизуальные. На практике утечки чаще всего происходит в следующих информационных каналах:
Кроме того, данные могут быть перехвачены при передаче от устройства к устройству.
Причины несанкционированного доступа можно условно разделить на 2 категории:
Разберем возможные причины подробнее.
В сфере информационной безопасности и кибербезопасности уязвимость представляет собой недоработку или пробел в компьютерной системе, которые могут быть использованы злоумышленниками для проникновения или внедрения вредоносного программного обеспечения. В качестве примера можно привести наиболее распространенные уязвимости информационных систем:
Согласно данным интернет-издания Infosecurity Magazine, 95% утечек данных в 2024 году связаны с человеческим фактором.
Речь идет не только о намеренном сливе сведений ограниченного доступа сотрудниками организации. Зачастую кибератаки на предприятия проходят успешно из-за невнимательности или халатности персонала. Далее мы разберем наиболее распространенные формы утечек вследствие человеческого фактора.
Организации тратят миллионы рублей на дорогостоящее программное обеспечение для защиты от внедрения и противодействия кибератакам. При этом основной процент утечек приходится на ошибки персонала.
Так, сотрудник организации может отправить письмо с конфиденциальными данными не тому адресату, при переносе данных может неправильно настроить конечный сервер и случайно открыть к нему доступ всем желающим, случайно запостить отложенную запись с превью обновленного продукта и так далее.
Утечкам вследствие человеческой ошибки подвержены как небольшие компании, так и крупные корпорации.
В качестве примера можно привести крупнейшую утечку сверхчувствительной информации на сайте для взрослых CAM4 вследствие неправильной настройки баз хранения данных. Случай примечателен тем, что в числе данных были почтовые адреса миллионов пользователей, их имена и фамилии, предпочтения, данные кредитных карт, страна происхождения и даже переписки в сервисе. Насколько это известно, данные были в открытом доступе всего полчаса. На сегодня не удалось установить, успели ли злоумышленники воспользоваться ошибкой и скопировать данные. При этом вполне реально представить последствия. Получив доступ к чувствительной информации, преступники могли шантажировать миллионы пользователей по всей планете.
При организации системы безопасности всегда стоит учитывать вероятность оплошности, которую могут допустить сотрудники — даже высокопоставленные.
DLP-система Falcongaze SecureTower позволяет существенно минимизировать риски утечки информации по вине сотрудников организации. Узнайте больше тут.
Недостаточная осведомленность персонала в вопросах информационной безопасности и ответственности за нарушения, непродуманная ИБ-политика и полное отсутствие контроля со стороны руководства также могут привести к эксфильтрации данных — уже вследствие не ошибки, а халатных действий персонала.
В качестве примера можно привести крупную утечку в ноябре 2024 года. Ксерокопии паспортов, страховых полисов, водительских удостоверений были выброшены на стихийной свалке в Астраханской области. Инцидент нельзя назвать ошибкой — налицо халатность.
Согласно ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация обязана уничтожить материальные носители персональных данных при достижении или изменении цели сбора. Уничтожение бумажных документов рекомендовано проводить механическим путем — сжечь или измельчить таким образом, чтобы было невозможно восстановить носитель.
Еще один пример халатности, которая может привести к утечке, — оставление без присмотра или утеря носителя конфиденциальной информации или устройства с доступом к сведениям ограниченного доступа. В качестве примера можно вспомнить инцидент 2017 года, когда из автомобиля сотрудника Coplin Health Systems был похищен ноутбук, содержащий данные 43 000 пациентов клиники.
Анекдотичная ситуация произошла в 2018 году. Документы с пометками «Только для служебного пользования» и «Важно для национальной безопасности» были оставлены в кармане спинки сиденья коммерческого самолета. Их оставил сотрудник министерства внутренней безопасности, а обнаружил — сотрудник известного американского телеканала CNN.
Исходя из написанного выше, действовать халатно могут как рядовые, так и высокопоставленные сотрудники.
Киберкриминальные группировки совершенствуют методы фишинга и социальной инженерии, совершают многоступенчатые целевые атаки на организации, используют возможности искусственного интеллекта и нейросетей.
Как показывает практика, жертвой атак хакеров может стать любой человек, вне зависимости от занимаемой должности, уровня образования и навыков в области кибербезопасности.
Ситуация усугубляется тем, что в большинстве организаций все еще не выработаны механизмы секьюритизации персонала, отсутствует система обучения основам кибергигиены и безопасного поведения в сети. Тем временем давление киберкриминальных группировок на граждан и организации только растет.
Так, пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина сообщила, что только в России в период с 2023 по 2024 год число выявленных фишинговых атак выросло на рекордные 425%.Что касается атак с использованием социальной инженерии на граждан и организации, в 2024 году их число выросло на 92% и 51% соответственно.
Подробнее тему фишинга и социнженерии мы раскрыли в этом материале вместе с генеральным директором Falcongaze Александром Акимовым.
При отсутствии надежных мер защиты информации внутренние сотрудники будут представлять серьезную угрозу для безопасности данных.
Бывшие сотрудники или текущие, но нелояльные к руководству, могут сливать информацию из злого умысла. Также часто можно наблюдать ситуации, когда накануне увольнения специалисты пытаются забрать с собой наработки и базы клиентов, по сути, пытаются украсть интеллектуальную собственность организации.
В качестве примера можно привести случай из практики Falcongaze.
Сотрудник компании, специализирующейся на продаже CRM-систем, продавал горячие лиды компании-конкуренту. Система перехватила переписку и оповестила офицера безопасности.
Другие примеры успешного внедрения DLP-системы мы рассмотрели тут.
Некоторые внутренние специалисты могут передавать охраняемую информацию третьим лицам, часто за относительно небольшое вознаграждение.
В качестве примера можно привести недавний случай: в апреле 2025 года жители Сыктывкара, 46-летний частный детектив и 54-летний сотрудник службы экономической безопасности одного из банков, вступили в сговор. Целью была передача информации о банковских операциях и счетах лиц, в отношении которых велась разыскная деятельность.
Важно! Особую опасность представляют привилегированные сотрудники с правами доступа к конфиденциальным данным. Кроме того, нередки случаи, когда инсайдерами становятся доверенные специалисты, работающие в компании несколько лет, не вызывающие подозрений.
Речь идет о похищении или сборе незаконным способом любой конфиденциальной информации, которая представляет ценность для организации.
Как правило, малые и средние компании используют методы подкупа и шантаж, похищают носители информации, внедряют своих агентов в штат конкурирующих компаний, применяют программно-технические средства, чтобы догнать или обогнать конкурентов, которые занимают лидирующее положение на рынке.
В условиях текущей геополитической ситуации промышленный шпионаж может выходить на уровень межгосударственной конкуренции, где к вопросам экономической выгоды и конкурентоспособности присовокупляются и вопросы национальной безопасности.
Возможные последствия от утечек могут варьироваться в зависимости от специфики деятельности организации и информации, которую она обрабатывает и хранит.
Можно выделить следующие возможные негативные последствия, связанные с утечкой данных.
На практике вопросы материального ущерба уходят далеко за стоимость потерянного информационного актива. В 2024 году средняя стоимость утечки информации составила беспрецедентную сумму в 4 880 000 долларов. Эта сумма — не единоразовая выплата, а совокупность издержек, выплат, расходов, растянутых на большом промежутке времени с момента инцидента.
Так, утечка данных для авторизации в системах и сервисах производственного предприятия может привести к порче и уничтожению дорогостоящего оборудования и остановке процессов. Восстановление информационной системы также подразумевает затраты.
Утечка технологической информации, чертежей и ноу-хау зачастую приводит к снижению конкурентоспособности на рынке.
В случае если компания приглашает юристов или внешнего специалиста для расследования и ликвидации последствий инцидента, она также понесет издержки.
Уведомление пострадавших в случае эксфильтрации персданных — еще одна возможная статья расходов. Email- или SMS-рассылки обойдутся особенно дорого, если утечка крупная.
Неочевидная статья расходов — это выкуп похищенных данных у злоумышленников. Выплата выкупа при этом не гарантирует, что конфиденциальная информация не станет общеизвестной.
Возможные выплаты и компенсации пострадавшим, судебные издержки, штрафы — сегодня утечки информации чрезвычайно дорого обходятся организациям и имеют далеко идущие последствия.
Неспособность организации защищать конфиденциальные сведения может подорвать доверие партнеров и клиентов, что в конечном итоге приводит к потере возможной прибыли из-за незаключенных сделок, разрывов выгодных контрактов и так далее.
Репутационный ущерб в случае утечки сегодня приводит к снижению стоимости акций компании.
Персональные данные граждан могут быть проданы в даркнете и использованы криминальными группировками для целевых кибератак на граждан, медицинские данные — для преследования и шантажа.
Данные о работе автоматизированной системы управления промышленным предприятием могут быть задействованы для создания аварийных ситуаций, нарушения работы городской инфраструктуры и проч.
Важно учитывать и угрозы национальной безопасности, которые могут возникнуть в случае утечки чувствительной информации. Данные о расположении военных предприятий, телекоммуникационных сетей и других объектов критической информационной инфраструктуры могут представлять интерес для недружественных государств. Персональные данные граждан могут использоваться для рассылок с целью воздействия на общественное мнение, разжигания межнациональной вражды, панических настроений.
В мире серьезно ужесточаются санкции и растут штрафы за утечки персональных данных — и именно на эту категорию информации приходится наибольшее число утечек.
Утечка персональных баз данных нарушает федеральный закон ФЗ-152 в России, что повлечет за собой штрафы и санкции со стороны регулирующих органов.
Кроме того, с ноября 2024 года серьезно выросли штрафы за утечку персданных. Сегодня в отдельных случаях они могут достигать суммы в 50 000 000 рублей.
В случае утечки, которая повлекла особо тяжкие последствия, оператора могут привлечь к уголовной ответственности.
На сегодня не существует методов, внедрение которых полностью исключит вероятность утечки. При этом, выполняя следующие рекомендации, компании могут существенно сократить угрозу эксфильтрации данных, а вместе с этим — материальные и репутационные риски.
Составление политики безопасности предприятия. Речь идет о создании задокументированного перечня практик и правил, используемых в компании, направленных на обеспечение защиты конфиденциальных данных.
О том, как составить политику безопасности, вы можете прочитать в этой статье.
Секьюритизация персонала, или обучение сотрудников основам безопасного поведения в сети. Использование даже самых дорогостоящих и надежных средств защиты информации бессмысленно, если сотрудники организации не осведомлены о правилах кибергигиены. В рамках секьюритизации необходимо под подпись ознакомить персонал с правилами информационной безопасности, принятыми в организации. При этом важно своевременно информировать об актуальных ИБ-угрозах и методах противодействия им, рассказывать о распространенных схемах интернет-мошенничества и проч.
Как правило, методы обучения включают:
Специалисты в области рекомендуют проводить так называемые «киберучения». Речь идет о симуляции действий мошенников. Цель мероприятия — проверить устойчивость сотрудников к давлению извне.
Если сотрудник не распознает фишинг, его отправляют на обучение повторно.
Уничтожение данных, цель сбора которых достигнута или изменилась. Важно: с 2023 года уничтожение персданных граждан потребует составление акта. Если персданные обрабатывались с помощью вычислительной техники, будет необходимо выгрузить сведения, подтверждающие факт уничтожения, из журнала регистрации событий в информационной системе. При отсутствии акта уничтожения регулятор вправе наложить штраф на оператора.
Использование антивирусов. Антивирусное программное обеспечение защищает от установки и запуска вредоносного кода на рабочих станциях, мобильных устройствах, маршрутизаторах и даже устройствах резервного копирования, подключенных к сети. Антивирусное ПО использует сигнатурные, эвристические и основанные на поведении методы обнаружения для предотвращения внедрения за контур безопасности предприятия.
Использование средств криптографической защиты. Криптография обеспечивает конфиденциальность данных, шифруя отправленные сообщения с помощью алгоритма с ключом, известным только отправителю и получателю.
Установка SIEM-систем. Это решение по обеспечению безопасности, которое помогает организациям распознавать и устранять потенциальные угрозы и уязвимости до того, как они смогут нарушить работу предприятия. SIEM принимает данные о событиях из широкого спектра источников по всей ИТ-инфраструктуре организации: данные журнала событий от пользователей, конечных точек, приложений, источников данных, облачных хранилищ, а также данные от оборудования и программного обеспечения ИБ, такого как брандмауэры или антивирусы. Все данные собираются, сопоставляются и анализируются в режиме реального времени.
Решения SIEM значительно улучшают среднее время обнаружения угроз и среднее время реагирования, а также позволяют автоматизировать многие рутинные ИБ-операции. Все это значительно разгружает ИБ-специалистов и повышает общий уровень .
Установка DLP-систем. Как было сказано выше, основной процент утечек приходится на человеческий фактор. DLP-системы перехватывают, собирают и анализируют информацию, циркулирующую внутри информационной системы организации. Использование систем позволяет существенно минимизировать риски утечки данных по вине персонала и сократить влияние человеческого фактора на информационную безопасность организации.
DLP SecureTower перехватывает и анализирует информацию в большинстве информационных каналов, в том числе в тех, что описаны в разделе «Основные каналы утечки данных».
Вся перехваченная информация анализируется на предмет утечки, а также на соответствие правилам безопасности.
В системе уже предустановлено свыше 200 правил, при этом можно настроить правила самостоятельно, с учетом потребностей и специфики работы каждой конкретной организации.
При необходимости можно настроить блокировку отправки данных по цифровому отпечатку — это позволит предотвратить утечку документов, содержащих даже небольшие фрагменты конфиденциальной информации.
Помимо этого, система имеет функционал по мониторингу лояльности персонала и позволяет выявлять негативные настроения в коллективе.
Опробуйте полные возможности DLP-системы SecureTower бесплатно в течение 30 дней.
Утечка информации — это урон организации. Экономический, репутационный, моральный… переоценить его невозможно. Из-за одной маленькой утечки можно потерять всё. У вас могут украсть данные клиентов и увести их, могут украсть данные сотрудников и предложить им более выгодные условия работы. А могут просто украденные данные опубликовать или продать, и тогда все потеряют доверие к вам. От вас могут уйти клиенты, вас могут бросить ваши сотрудники, потому что будут уверены: раз это произошло один раз, то обязательно произойдет снова. Поэтому учите сотрудников противостоять социальным инженерам, приучите их дважды, а лучше трижды проверять правильность как отправляемых данных, так и адресата. Научите сотрудников не стесняться проверять личности окружающих людей. Поставьте лучшие из доступных файрвол и антивирус, чтобы вас было сложнее достать извне. И, наконец, разверните DLP-систему, чтобы отслеживать потоки данных и заранее знать, если ваши данные кто-то захочет «вынести» — прокомментировал Александр Акимов, генеральный директор Falcongaze