Попробовать бесплатно
    Защита информации
    11.04.2025
    9 мин.

    Утечки данных: что это, чем опасны и как избежать?

    Самый ценный ресурс в мире сегодня — это не золото, не нефть и даже не биткоины. Самый ценный ресурс — это данные.

    Поэтому те, кто владеет важной информацией, пытается спрятать ее от тех, кто желает ее заполучить. Иногда защитить данные не получается, и к ним получают доступ те, кто этот доступ иметь не должен. Такая ситуация носит определение утечки данных.

    В статье мы рассмотрим:

    1. Что такое утечка данных?

    2. Какие данные могут утечь?

    3. Основные каналы утечки данных

    4. Как и почему происходят утечки?

    5. Чем опасны утечки данных?

    6. Как DLP-система SecureTower защищает организации от утечек данных?

     Что такое утечка данных?

    Утечка данных — это намеренное или случайное раскрытие конфиденциальной информации. В этом материале мы подробно рассмотрим вопрос утечки данных на предприятиях.

     Какие данные могут утечь?

    При организации системы защиты данных необходимо инвентаризировать все информационные активы и классифицировать их по степени критичности в случае утечки, изменения или уничтожения.

    Как правило, все данные, которые хранят и обрабатывают на предприятиях, делят на общедоступные и конфиденциальные. 

    Далее мы рассмотрим категории данных, утечка которых может повлечь санкции со стороны ИБ-регуляторов, материальный и репутационный ущерб — то есть конфиденциальных данных. 

    Персональные данные (далее — ПД). Речь идет о любой информации, которую собирают и обрабатывают организации и через которую можно установить личность пользователя: дату рождения, адреса электронной почты, паспортные данные, биометрические данные, сведения медицинского характера, место проживания и регистрации и проч.

    Проблема утечек персональных данных достигла кризисного уровня в России и за ее пределами. Так, по информации «Сбера», уже в 2023 году персональные данные 90% россиян попали в общий доступ. 

    Также важно учитывать, что примерно треть от всех утекших персональных данных приходится на аутентификационную информацию.

    Аутентификационная информация, то есть логины, пароли, номера телефонов, коды для авторизации и любые другие данные, используя которые можно получить доступ к учетным записям, онлайн-кабинетам банков, различным сервисам и, конечно, информационным системам организаций.

    Информация, составляющая коммерческую тайну. К такой информации можно отнести любые сведения, которые позволяют их владельцу увеличивать доходы и снижать расходы, сохранять конкурентное преимущество и утрата которых может повлечь материальный ущерб и недополучение выгоды. Как правило, к такой информации относятся финансовые сведения, данные о заключенных сделках, секреты производства, ноу-хау, данные о разработках и технологиях и проч.

    О том, какие сведения можно отнести к коммерческой тайне, мы писали в этой статье.

    Государственная тайна. В условиях текущей геополитической ситуации вопрос защиты данных, представляющих государственную тайну, стоит особенно остро. К гостайне можно отнести данные разведки, информацию о расположении стратегически важных объектов, научно-технические разработки и проч.

    Профессиональная тайна. Речь идет о данных, относящихся к профессиональной деятельности: банковская, врачебная, нотариальная и проч.

    Служебная тайна. Данные, которые собирают и обрабатывают различные службы, в том числе государственные органы, и предоставляются только по запросу граждан: информация ЗАГСов, налоговых служб и проч.

    Документы внутреннего пользования. Внутренняя служебная переписка, приказы, положения, различные протоколы и акты, отчетная документация, заявления и проч.

    В зависимости от специфики деятельности организации перечень данных может изменяться, дополняться по мере расширения штата, открытия новых направлений работы, создания филиалов и в случае любых других изменений.

    Важно понимать: любые чувствительные сведения, описанные выше, представляют интерес для мошенников и могут попасть в общий доступ. Далее мы рассмотрим, почему происходят утечки информации.

     Основные каналы утечки данных

    Каналы утечек можно условно разделить на три группы:  технические, материально-вещественные и аудиовизуальные. На практике утечки чаще всего происходит в следующих информационных каналах:

    • электронная почта и ее веб-версии;
    • устройства-носители (в случае хищения или утери);
    • облачные хранилища;
    • локальные и сетевые принтеры;
    • мессенджеры, социальные сети;
    • подключаемые устройства с внутренней памятью и проч.

    Кроме того, данные могут быть перехвачены при передаче от устройства к устройству.

     Как и почему происходят утечки?

    Причины несанкционированного доступа можно условно разделить на 2 категории:

    • уязвимости информационной системы;
    • ошибочные или намеренные действия пользователя, или человеческий фактор.

    Разберем возможные причины подробнее.

    Уязвимости информационной системы 

    В сфере информационной безопасности и кибербезопасности уязвимость представляет собой недоработку или пробел в компьютерной системе, которые могут быть использованы злоумышленниками для проникновения или внедрения вредоносного программного обеспечения. В качестве примера можно привести наиболее распространенные уязвимости информационных систем:

    • слабая парольная политика и отсутствие контроля доступов пользователей;
    • устаревшее, редко обновляемое программное обеспечение;
    • неправильная утилизация носителей информации без предварительной очистки данных;
    • отсутствие системы отзыва права доступа после увольнения;
    • использование незарегистрированных программных и аппаратных активов;
    • отсутствие мер физической безопасности носителей данных;
    • незащищенное подключение устройств к общедоступным сетям;
    • неконтролируемая загрузка и установка программного обеспечения из интернета;
    • отсутствие систематических внутренних аудитов;
    • сложная архитектура системы, сложный интерфейс сервисов и приложений, которые приводят к человеческим ошибкам.

    Чаще всего утечки данных происходят вследствие человеческого фактора

    Согласно данным интернет-издания Infosecurity Magazine, 95% утечек данных в 2024 году связаны с человеческим фактором.

    Речь идет не только о намеренном сливе сведений ограниченного доступа сотрудниками организации. Зачастую кибератаки на предприятия проходят успешно из-за невнимательности или халатности персонала. Далее мы разберем наиболее распространенные формы утечек вследствие человеческого фактора.

    Ошибка сотрудника, которая привела к утечке

    Организации тратят миллионы рублей на дорогостоящее программное обеспечение для защиты от внедрения и противодействия кибератакам. При этом основной процент утечек приходится на ошибки персонала.

    Так, сотрудник организации может отправить письмо с конфиденциальными данными не тому адресату, при переносе данных может неправильно настроить конечный сервер и случайно открыть к нему доступ всем желающим, случайно запостить отложенную запись с превью обновленного продукта и так далее.

    Утечкам вследствие человеческой ошибки подвержены как небольшие компании, так и крупные корпорации.

    В качестве примера можно привести крупнейшую утечку сверхчувствительной информации на сайте для взрослых CAM4 вследствие неправильной настройки баз хранения данных. Случай примечателен тем, что в числе данных были почтовые адреса миллионов пользователей, их имена и фамилии, предпочтения, данные кредитных карт, страна происхождения и даже переписки в сервисе. Насколько это известно, данные были в открытом доступе всего полчаса. На сегодня не удалось установить, успели ли злоумышленники воспользоваться ошибкой и скопировать данные. При этом вполне реально представить последствия. Получив доступ к чувствительной информации, преступники могли шантажировать миллионы пользователей по всей планете.

    При организации системы безопасности всегда стоит учитывать вероятность оплошности, которую могут допустить сотрудники — даже высокопоставленные.

    DLP-система Falcongaze SecureTower позволяет существенно минимизировать риски утечки информации по вине сотрудников организации. Узнайте больше тут.

    Халатность персонала

    Недостаточная осведомленность персонала в вопросах информационной безопасности и ответственности за нарушения, непродуманная ИБ-политика и полное отсутствие контроля со стороны руководства также могут привести к эксфильтрации данных — уже вследствие не ошибки, а халатных действий персонала.

    В качестве примера можно привести крупную утечку в ноябре 2024 года. Ксерокопии паспортов, страховых полисов, водительских удостоверений были выброшены на стихийной свалке в Астраханской области. Инцидент нельзя назвать ошибкой — налицо халатность.

    Согласно ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация обязана уничтожить материальные носители персональных данных при достижении или изменении цели сбора. Уничтожение бумажных документов рекомендовано проводить механическим путем — сжечь или измельчить таким образом, чтобы было невозможно восстановить носитель.

    Еще один пример халатности, которая может привести к утечке, — оставление без присмотра или утеря носителя конфиденциальной информации или устройства с доступом к сведениям ограниченного доступа. В качестве примера можно вспомнить инцидент 2017 года, когда из автомобиля сотрудника Coplin Health Systems был похищен ноутбук, содержащий данные 43 000 пациентов клиники. 

    Анекдотичная ситуация произошла в 2018 году. Документы с пометками «Только для служебного пользования» и «Важно для национальной безопасности» были оставлены в кармане спинки сиденья коммерческого самолета. Их оставил сотрудник министерства внутренней безопасности, а обнаружил — сотрудник известного американского телеканала CNN.

    Исходя из написанного выше, действовать халатно могут как рядовые, так и высокопоставленные сотрудники.

    Фишинг, социальная инженерия

    Киберкриминальные группировки совершенствуют методы фишинга и социальной инженерии, совершают многоступенчатые целевые атаки на организации, используют возможности искусственного интеллекта и нейросетей. 

    Как показывает практика, жертвой атак хакеров может стать любой человек, вне зависимости от занимаемой должности, уровня образования и навыков в области кибербезопасности.

    Ситуация усугубляется тем, что в большинстве организаций все еще не выработаны механизмы секьюритизации персонала, отсутствует система обучения основам кибергигиены и безопасного поведения в сети. Тем временем давление киберкриминальных группировок на граждан и организации только растет. 

    Так, пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина сообщила, что только в России в период с 2023 по 2024 год число выявленных фишинговых атак выросло на рекордные 425%.Что касается атак с использованием социальной инженерии на граждан и организации, в 2024 году их число выросло на 92% и 51% соответственно.

    Подробнее тему фишинга и социнженерии мы раскрыли в этом материале вместе с генеральным директором Falcongaze Александром Акимовым. 

    Целенаправленный слив данных сотрудниками организации, инсайдерская деятельность

    При отсутствии надежных мер защиты информации внутренние сотрудники будут представлять серьезную угрозу для безопасности данных.

    Бывшие сотрудники или текущие, но нелояльные к руководству, могут сливать информацию из злого умысла. Также часто можно наблюдать ситуации, когда накануне увольнения специалисты пытаются забрать с собой наработки и базы клиентов, по сути, пытаются украсть интеллектуальную собственность организации. 

    В качестве примера можно привести случай из практики Falcongaze.

    Сотрудник компании, специализирующейся на продаже CRM-систем, продавал горячие лиды компании-конкуренту. Система перехватила переписку и оповестила офицера безопасности.

    Другие примеры успешного внедрения DLP-системы мы рассмотрели тут.

    Некоторые внутренние специалисты могут передавать охраняемую информацию третьим лицам, часто за относительно небольшое вознаграждение.

    В качестве примера можно привести недавний случай: в апреле 2025 года жители Сыктывкара, 46-летний частный детектив и 54-летний сотрудник службы экономической безопасности одного из банков, вступили в сговор. Целью была передача информации о банковских операциях и счетах лиц, в отношении которых велась разыскная деятельность.

    Важно! Особую опасность представляют привилегированные сотрудники с правами доступа к конфиденциальным данным. Кроме того, нередки случаи, когда инсайдерами становятся доверенные специалисты, работающие в компании несколько лет, не вызывающие подозрений.

    Промышленный и коммерческий шпионаж

    Речь идет о похищении или сборе незаконным способом любой конфиденциальной информации, которая представляет ценность для организации. 

    Как правило, малые и средние компании используют методы подкупа и шантаж, похищают носители информации, внедряют своих агентов в штат конкурирующих компаний, применяют программно-технические средства, чтобы догнать или обогнать конкурентов, которые занимают лидирующее положение на рынке. 

    В условиях текущей геополитической ситуации промышленный шпионаж может выходить на уровень межгосударственной конкуренции, где к вопросам экономической выгоды и конкурентоспособности присовокупляются и вопросы национальной безопасности.

     Чем опасны утечки данных?

    Возможные последствия от утечек могут варьироваться в зависимости от специфики деятельности организации и информации, которую она обрабатывает и хранит.

    Можно выделить следующие возможные негативные последствия, связанные с утечкой данных.

    Материальный ущерб, потеря прибыли

    На практике вопросы материального ущерба уходят далеко за стоимость потерянного информационного актива. В 2024 году средняя стоимость утечки информации составила беспрецедентную сумму в 4 880 000 долларов. Эта сумма — не единоразовая выплата, а совокупность издержек, выплат, расходов, растянутых на большом промежутке времени с момента инцидента.

    Так, утечка данных для авторизации в системах и сервисах производственного предприятия может привести к порче и уничтожению дорогостоящего оборудования и остановке процессов. Восстановление информационной системы также подразумевает затраты.

    Утечка технологической информации, чертежей и ноу-хау зачастую приводит к снижению конкурентоспособности на рынке.

    В случае если компания приглашает юристов или внешнего  специалиста для расследования и ликвидации последствий инцидента, она также понесет издержки.

    Уведомление пострадавших в случае эксфильтрации персданных — еще одна возможная статья расходов. Email- или SMS-рассылки обойдутся особенно дорого, если утечка крупная.

    Неочевидная статья расходов — это выкуп похищенных данных у злоумышленников. Выплата выкупа при этом не гарантирует, что конфиденциальная информация не станет общеизвестной.

    Возможные выплаты и компенсации пострадавшим, судебные издержки, штрафы — сегодня утечки информации чрезвычайно дорого обходятся организациям  и имеют далеко идущие последствия.  

    Утрата репутации

    Неспособность организации защищать конфиденциальные сведения может подорвать доверие партнеров и клиентов, что в конечном итоге приводит к потере возможной прибыли из-за незаключенных сделок, разрывов выгодных контрактов и так далее.

    Репутационный ущерб в случае утечки сегодня приводит к снижению стоимости акций компании.

    Угрозы безопасности

    Персональные данные граждан могут быть проданы в даркнете и использованы криминальными группировками для целевых кибератак на граждан, медицинские данные — для преследования и шантажа.

    Данные о работе автоматизированной системы управления промышленным предприятием могут быть задействованы для создания аварийных ситуаций, нарушения работы городской инфраструктуры и проч.

    Важно учитывать и угрозы национальной безопасности, которые могут возникнуть в случае утечки чувствительной информации. Данные о расположении военных предприятий, телекоммуникационных сетей и других объектов критической информационной инфраструктуры могут представлять интерес для недружественных государств. Персональные данные граждан могут использоваться для рассылок с целью воздействия на общественное мнение, разжигания межнациональной вражды, панических настроений.

    Штрафы и санкции со стороны регуляторов

    В мире серьезно ужесточаются санкции и растут штрафы за утечки персональных данных — и именно на эту категорию информации приходится наибольшее число утечек.

    Утечка персональных баз данных нарушает федеральный закон ФЗ-152 в России, что повлечет за собой штрафы и санкции со стороны регулирующих органов.

    Кроме того, с ноября 2024 года серьезно выросли штрафы за утечку персданных. Сегодня в отдельных случаях они могут достигать суммы в 50 000 000 рублей.

    В случае утечки, которая повлекла особо тяжкие последствия, оператора могут привлечь к уголовной ответственности.

    Как защитить информацию от утечек?

    На сегодня не существует методов, внедрение которых полностью исключит вероятность утечки. При этом, выполняя следующие рекомендации, компании могут существенно сократить угрозу эксфильтрации данных, а вместе с этим — материальные и репутационные риски.

    Составление политики безопасности предприятия. Речь идет о создании задокументированного перечня практик и правил, используемых в компании, направленных на обеспечение защиты конфиденциальных данных.

    О том, как составить политику безопасности, вы можете прочитать в этой статье.

    Секьюритизация персонала, или обучение сотрудников основам безопасного поведения в сети. Использование даже самых дорогостоящих и надежных средств защиты информации бессмысленно, если сотрудники организации не осведомлены о правилах кибергигиены. В рамках секьюритизации необходимо под подпись ознакомить персонал с правилами информационной безопасности, принятыми в организации. При этом важно своевременно информировать об актуальных ИБ-угрозах и методах противодействия им, рассказывать о распространенных схемах интернет-мошенничества и проч.

    Как правило, методы обучения включают:

    • обучение правилам безопасности, принятым в организации, при устройстве на работу;
    • распространение брошюр, листовок, наглядных материалов;
    • проведение лекций, семинаров, вебинаров;
    • email-рассылки.

    Специалисты в области рекомендуют проводить так называемые «киберучения». Речь идет о симуляции действий мошенников. Цель мероприятия — проверить устойчивость сотрудников к давлению извне.

    Если сотрудник не распознает фишинг, его отправляют на обучение повторно.

    Уничтожение данных, цель сбора которых достигнута или изменилась. Важно: с 2023 года уничтожение персданных граждан потребует составление акта. Если персданные обрабатывались с помощью вычислительной техники, будет необходимо выгрузить сведения, подтверждающие факт уничтожения, из журнала регистрации событий в информационной системе. При отсутствии акта уничтожения регулятор вправе наложить штраф на оператора.

    Использование антивирусов. Антивирусное программное обеспечение защищает от установки и запуска вредоносного кода на рабочих станциях, мобильных устройствах, маршрутизаторах и даже устройствах резервного копирования, подключенных к сети. Антивирусное ПО использует сигнатурные, эвристические и основанные на поведении методы обнаружения для предотвращения внедрения за контур безопасности предприятия.

    Использование средств криптографической защиты. Криптография обеспечивает конфиденциальность данных, шифруя отправленные сообщения с помощью алгоритма с ключом, известным только отправителю и получателю.

    Установка SIEM-систем. Это решение по обеспечению безопасности, которое помогает организациям распознавать и устранять потенциальные угрозы и уязвимости до того, как они смогут нарушить работу предприятия. SIEM принимает данные о событиях из широкого спектра источников по всей ИТ-инфраструктуре организации: данные журнала событий от пользователей, конечных точек, приложений, источников данных, облачных хранилищ, а также данные от оборудования и программного обеспечения ИБ, такого как брандмауэры или антивирусы. Все данные собираются, сопоставляются и анализируются в режиме реального времени.

    Решения SIEM значительно улучшают среднее время обнаружения угроз и среднее время реагирования, а также позволяют автоматизировать многие рутинные ИБ-операции. Все это значительно разгружает ИБ-специалистов и повышает общий уровень . 

    Установка DLP-систем. Как было сказано выше, основной процент утечек приходится на человеческий фактор. DLP-системы перехватывают, собирают и анализируют информацию, циркулирующую внутри информационной системы организации. Использование систем позволяет существенно минимизировать риски утечки данных по вине персонала и сократить влияние человеческого фактора на информационную безопасность организации. 

     Как DLP-система SecureTower защищает организации от утечек данных?

    DLP SecureTower перехватывает и анализирует информацию в большинстве информационных каналов, в том числе в тех, что описаны в разделе «Основные каналы утечки данных».

    Вся перехваченная информация анализируется на предмет утечки, а также на соответствие правилам безопасности. 

    В системе уже предустановлено свыше 200 правил, при этом можно настроить правила самостоятельно, с учетом потребностей и специфики работы каждой конкретной организации.

    При необходимости можно настроить блокировку отправки данных по цифровому отпечатку — это позволит предотвратить утечку документов, содержащих даже небольшие фрагменты конфиденциальной информации.

    Помимо этого, система имеет функционал по мониторингу лояльности персонала и позволяет выявлять негативные настроения в коллективе.

    Опробуйте полные возможности DLP-системы SecureTower бесплатно в течение 30 дней

    В заключение

    Утечка информации — это урон организации. Экономический, репутационный, моральный… переоценить его невозможно. Из-за одной маленькой утечки можно потерять всё. У вас могут украсть данные клиентов и увести их, могут украсть данные сотрудников и предложить им более выгодные условия работы. А могут просто украденные данные опубликовать или продать, и тогда все потеряют доверие к вам. От вас могут уйти клиенты, вас могут бросить ваши сотрудники, потому что будут уверены: раз это произошло один раз, то обязательно произойдет снова. Поэтому учите сотрудников противостоять социальным инженерам, приучите их дважды, а лучше трижды проверять правильность как отправляемых данных, так и адресата. Научите сотрудников не стесняться проверять личности окружающих людей. Поставьте лучшие из доступных файрвол и антивирус, чтобы вас было сложнее достать извне. И, наконец, разверните DLP-систему, чтобы отслеживать потоки данных и заранее знать, если ваши данные кто-то захочет «вынести» — прокомментировал Александр Акимов, генеральный директор Falcongaze

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации