Category: финансы

Category was added automatically. Read all entries about "финансы".

white

Объем утечек персональных и финансовых данных за первое полугодие 2017 вырос...в 8 раз.

Мы стараемся "держать руку на пульсе" и делаем регулярные "замеры" объемов утечек в нашей стране и в мире.
Аналитики InfoWatch готовят свежий отчет каждые полгода.

Новая аналитика за первое полугодие 2017 заслуживает внимания хотя бы одной причине: объем утечек персональных и финансовых данных вырос...в восемь раз с 1,06 млрд до 7,78 млрд записей. Напомним, что общий объем скомпрометированной в 2016 году информации в мире составлял всего около трех миллиардов записей.


Резкое увеличение объема потерянной чувствительной информации в первом полугодии 2017 года произошло в результате 20 мега-утечек (от 10 млн записей), на которые пришлось 98% пострадавших записей ПДн и финансовых данных. По сравнению с аналогичным периодом прошлого года в распределении утечек по типам данных на 20% увеличилась доля платежной информации и симметрично сократилась доля ПДн.


Причиной 58% утечек в мире стали внутренние нарушители в организации. Существенно возросло среднее число пострадавших записей: в расчете на одну утечку в результате внешнего воздействия приходилось 13,6 млн записей (по сравнению с 2,4 млн в 2016 году) и 4,5 млн записей — на каждую утечку, допущенную по вине внутреннего нарушителя (0,8 млн в 2016 году).

«С начала 2017 года мы фиксируем в мире многократный рост объема скомпрометированных данных, увеличение “мощности” утечек, от которых страдает все больше чувствительной информации, — сказал аналитик ГК InfoWatch Сергей Хайрук.С развитием цифровой экономики вопросы информационной безопасности переросли отраслевые рамки, и широко обсуждаются на самом высоком уровне. Сама тема утечек информации становится все более прозрачной и это должно позитивно сказаться на общем уровне культуры информационной безопасности. Даже в России пострадавшие организации начинают рассчитывать ущерб, который был нанесен им в результате той или иной утечки. Чтобы минимизировать эти риски, необходим комплексный подход к информационной безопасности предприятий, включая средства защиты от внешних и внутренних угроз».

Доля утечек данных с неправомерным доступом к информации, включая злоупотребление правами доступа и внутренний шпионаж, составила менее 8% от общего числа случаев. Неквалифицированные утечки, которые не сопряжены с превышением прав доступа и использованием данных в целях мошенничества, были зафиксированы в 84% случаев.



В первом полугодии 2017 года по сравнению с аналогичным периодом 2016 года увеличилась доля утечек через сетевой канал и электронную почту. Снизились доли утечек данных в результате кражи/потери оборудования, с использованием съемных носителей и бумажных документов.



Большая часть утечек наиболее «ликвидной» платежной информации пришлась на два канала — в 45% случаев финансовые данные передавались в сеть Интернет через браузер или облачное хранилище, ещё 44% таких утечек произошли с использованием корпоративной электронной почты.

Чаще всего утечки происходили в организациях медицинской сферы, реже всего — в сегменте промышленности и транспорта. Наибольший объем скомпрометированных записей пришелся на сектор высоких технологий, включая интернет-сервисы и крупные порталы. Утечки из госорганов составили около16% от общего объема скомпрометированных записей.

В первом полугодии 2017 года наибольший интерес злоумышленники проявляли к банкам и компаниям высокотехнологичного сегмента. В этих отраслях более 50% утечек ПДн носили умышленный характер.


«Коммерческие и государственные сервисы обрабатывают все больше данных в электронном виде, и такие данные крайне ликвидны, — отметил Сергей Хайрук.Сектор высоких технологий очень сильно подвержен утечкам информации, как и финансово-кредитная сфера. Эти отрасли вызывают наибольший интерес со стороны злоумышленников — в них большая часть данных была скомпрометирована умышленно. И это как раз те сегменты, которые являются драйверами цифровой экономики, с развитием которой нужно уделять особое внимание вопросам регулирования и информационной безопасности процессов цифровой трансформации».


ЧИТАТЬ полную версию отчета
white

Переход на личности: что такое identity theft



На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития. Обычным делом становится так называемая «кража личности». Что это такое? Откуда возник этот термин, какие самые громкие случаи кражи личности происходили за последние годы, а также - чего стоит бояться российским футбольным болельщикам уже в ближайшее время - обо всем этом читайте в нашей аналитической заметке.
Collapse )
white

Как это работает: как устроена система приоретизации заявок в сервисных подразделениях.

Представьте. Вы обратились за помощью в службу поддержки компании X. Но эти ребята как будто не замечает ваших просьб о помощи, по телефону с ними не связаться, письма остаются без ответа. Знакомо? С чем могут быть связаны подобные проблемы, и имеет ли это отношение к нерациональному распределению ресурсов в сервисных подразделениях и неправильной приоритезации обращений заказчиков? Устраивайтесь поудобнее, сегодня вы узнаете, как работает система приоретизации заявок в сервисных подразделениях!



Мы рассмотрим основные критерии повышения или понижения приоритета обращения в службу технической поддержки, механику их работы, рассмотрим в каком порядке выстраиваются заявки для сотрудников и их непосредственных руководителей.

Collapse )


white

По воле случая: что меняется в мире данных

Однажды Директор спросил почтенного защитника Иня про защиту от внутренних угроз. Тот сказал:
– Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя.
Директор ещё спросил:
– А какой инсайдер хуже, злонамеренный или неосторожный?
Инь Фу Во ответил:
– Нельзя так ставить вопрос. Оба они хуже.


Недавно наши аналитики решили провести первое сравнительное исследование большого объема данных по утечкам за 3 года - с 2013 по 2015 гг.
Коллеги хотели выяснить, как изменился характер инцидентов - в первую очередь понять, каких утечек стало больше: случайных или умышленных?

Немного цифр



  • Число «внутренних» утечек впервые с 2004 года снижается: на 3% в 2015 году по отношению к данным за 2014 год и на 13% по отношению к данным за 2013 год.

  • Уменьшается объем записей ПДн и финансовой информации, скомпрометированных в результате «внутренних» утечек — 352,7 млн и 335,3 млн в 2014 и 2015 годах соответственно.

  • С 2013 года доля «внутренних» утечек, которые произошли из-за случайных ошибок сотрудников, выросла на 34 процентных пункта (п. п.).

  • В 2015 году в результате «внутренних» случайных утечек по сетевому каналу были скомпрометированы 295 млн записей, относящихся к категориям персональных данных и финансовой информации.

  • Распределение «внутренних» утечек по типу скомпрометированной информации за 2013 по 2015 год отражает рост доли утечек платежной информации, коммерческой тайны с одновременным снижением доли утечек персональных данных.

Полную версию отчета скачивайте по ссылке!
white

Как визуализировать утечки: пример с архивом Хилари

Недавно мы провели анализ 8000 писем Клинтон их архива госдепа США.

Если кратко:

  • более 7,500 писем содержали информацию о персональных данных

  • более 900 сообщений финансовую информацию

  • более 500 отправлений с юридическими данными

  • чуть менее ста писем с информацией о закупках и управлении персоналом HR


...Ну и заодно решили весь этот объем данных визуализировать с помощью нового продукта InfoWatch Vision.
Вот что у нас получилось.


Collapse )
white

10 самых-самых

В апреле будет ровно десять лет с того момента, как в мире стали официально отмечать Международный день защиты персональных данных. Как и в случае с любой круглой датой, лучший способ проникнуться величием момента - оглянуться назад, вспомнить былое и, конечно же, сделать правильные выводы на будущее.

Предлагаем посмотреть 10 самых-самых утечек за 2015 год.





Collapse )

white

Можно ли резать косты на ИБ в кризис?

На безопасности лучше не экономить



Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.


Взято отсюда

Когда понятия «безопасность» и «удобство» встречаются в одном предложении, между ними обязательно стоит слово «против». Подразумевается, что усиление мер безопасности мешает пользователю (вспомним байки об антивирусе, который «тормозит»). Так ли это на самом деле?

В этой связи поучительная история про отсутствие «безопасности». В одном из недавних материалов мы писали о компании, где с целью сокращения расходов заморозили ряд ИТ и ИБ-проектов. Среди них – проект внедрения системы защиты от утечек. А потом в эту компанию регулятор назначил внешнего управляющего…

У руководства было в запасе несколько часов, чтобы среагировать на угрозу. Все понимали: когда сотрудники узнают из СМИ о введении внешнего управления, начнется паника. Менеджеры будут спешно копировать клиентские базы, собирать всю доступную информацию, чтобы, в случае увольнения, уйти не «с пустыми руками».

Службы экономической безопасности обратились в ИБ-подразделение банка с вопросом: что можно сделать, чтобы максимально снизить риск утечки клиентских баз? С учетом того, что все проекты и инвестиции в развитие области были заморожены, безопасник не без улыбки предложил руководству следующие варианты:

  • отключить всем системы, в которых обрабатываются базы клиентов;

  • отключить интернет, внешнюю электронную почту, возможность пользования съемными носителями;

  • отключить возможность выгрузки отчетов из систем.

На последнем и остановились. Отрубили отчеты. Всем. В рамках группы компаний не было времени разбираться, для кого работа с отчетами – прямое выполнение должностных обязанностей, а для кого – факультативное.

У ряда подразделений после внедрения подобной экстренной меры работа встала. Через день начали подключать отключенные доступы обратно, по консолидированным спискам.

Помогло ли это снизить риски? В чем-то да, особенно если считать, что мало кто держал подобную информацию на своих компьютерах «про запас». Но при наличии в компании современной системы DLP, не было бы необходимости тормозить работу сотрудников в кризисный для организации момент. Очевидно, что полная остановка бизнеса – не лучшая реакция на угрозу.

Так что же лучше – ограничения, связанные с информационной безопасностью, или перспектива потерять все? Решать, как обычно, вам.

  
white

«Безопаснику» на заметку: как сделать босса своим союзником?



Тяжела и неказиста (с) доля высокого начальства. Не каждый топ-менеджер или владелец бизнеса (в данном случае без разницы, потому синонимы), является «мастером на все руки». Для управленцев даже особый вид финансовой отчетности придумали, чтобы не вникать принимать решения по готовым шаблонам на основе агрегированных, специальным образом преобразованных данных.

То же с защитой информации. Владелец бизнеса воспринимает «безопасника» как помесь страхового агента и пожарного. Агент продает страх и постоянно требует денег, пожарный прибегает по первому зову и «решает вопросы» с мошенниками и прочими нарушителями внутреннего распорядка. Человек-функция, который неведомо каким способом «делает хорошо», занимается непонятно чем и недешево обходится.

Причина такого отношения проста – топ-менеджер «страшно далек» от проблем безопасности. Рутинная работа штатного параноика компании офицера информационной безопасности –– не для боссов. Сложно представить президента банка, который с головой окунается в «прекрасный» мир конфиденциальных документов, пользователей, имеющих к ним доступ, социальных графов и связей этих пользователей с внешним миром.

Некоторые владельцы бизнеса всерьез считают свою компанию уникальной. Дескать, с нами уж точно плохого не случится, у нас сотрудники не воруют, хакерам мы не интересны, потому внедрять эти ваши IPS, SIEM, DLP и прочие буквы мы не будем. Впрочем, периодически владельцам и управленцам хочется своими глазами увидеть, все ли спокойно в их владениях. И это — шанс для грамотного «безопасника». Тут-то служба ИБ и должна показать себя во всей красе, мол, умеем, практикуем.

Разработчики систем защиты (что неудивительно) готовы всесторонне способствовать этому благому делу. Не секрет, что развитие систем защиты информации идет по пути, давно известному разработчикам ERP и прочего бизнес-софта.

Высокому начальству всегда нужны понятные, простые, удобные интерфейсы для управления всем. Будь то финансы, производство или информационная безопасность. На iPad, как водится, или на мобильном телефоне, или виджетом на рабочем столе – это не важно.

Заранее «преднастроить» набор данных, которые заинтересуют руководство, практически невозможно (спросите у BI-разработчиков). Потому современные системы защиты обязаны содержать инструмент для преобразования некоего избыточного набора данных в «кавайный стол руководителя», а вот использовать этот инструмент предстоит «безопаснику». Только он знает, какие данные, разрезы, какая аналитика важна для компании (с одной стороны) и интересна руководителю (с другой. Это не всегда совпадает).

Скажем, можно скомпоновать срез по наиболее критичным объектам защиты (финансовая отчетность, «черная» бухгалтерия). Тут уместно использовать несколько «потоков» данных – кто (из числа сотрудников) и когда имел доступ, копировал, отправлял вовне секретную информацию, с кем чаще всего общаются эти сотрудники (по почте, через скайп, в соцсетях). Для мониторинга общей картины подойдет срез общей статистики инцидентов (например, динамика критических инцидентов). Можно сформировать «рабочий стол» руководителя-контролера, где акцент сместится в сторону учета рабочего времени сотрудников. Из этой же серии – данные о времени в соцсетях, контроль приложений, возможно, информация из систем контроля доступа (валидаторов на проходной).

Итожим: в идеале современная система защиты, помимо прочего, должна иметь гибкий «конструктор» отчетов для высшего руководства и максимально широкий набор первичных данных (в виде готовых для анализа потоков). Возможно, но необязательно – несколько преднастроенных рабочих столов (в зависимости от роли пользователя). Важно, что бизнес-логику компоновки итоговой отчетности может и должен прописывать «безопасник» (или консультант в тесном союзе с «безопасником»).

Фактически (о, чудо) у офицера безопасности появляется инструмент для общения с руководством компании на языке руководства компании. Достаточно лишь грамотно интерпретировать данные защитных систем, и высокий начальник превращается из постоянного оппонента (особенно на защите бюджета на информационную безопасность) в преданного союзника.
white

Безопасность против ветра

К счастью, прошло время, когда высшее руководство или собственники компаний искренне не понимали, зачем инвестировать в защиту информации. От утечек данных не застрахован никто, и это отрезвляет. Но как быть, если топ-менеджмент не только проблему не видит, но и денег не дает? Об этом в сегодняшнем посте.

Итак, служба инфобезопасности банковской группы пришла к высшему руководству с предложением внедрить систему защиты от утечек. Дескать, пора бы подумать о защите наших информационных активов. Фактов на руках нет, но риски высоки. Да и ситуация вокруг неспокойная – в соседнем банке поймали менеджера на краже базы данных, бухгалтер другого банка приторговывал отчетностью. В общем, давайте действовать…

Владельцы отдельных бизнесов, которые входили в банковскую группу, инвестировать в проект из собственных бюджетов отказались. Мол, пусть глава компании из своего кармана платит. Тот, как мы уже упоминали, был настроен скептически: в компании все в порядке… а утечки у соседей, так у нас свой путь развития, нас не коснется. Пилотный проект, впрочем, благословил.

Воодушевившись, команда «безопасников» бросилась искать аргументацию, мерить потенциальный ущерб в деньгах. В общем, готовиться по всем стандартам. Определили цели и сроки, рассчитали бюджет, зафиксировали KPI. Поймали утечки данных – в общей сложности 20 тыс. записей. Распределили данные компании по категориям, оценили возможную утечку конкретных документов в деньгах (для чего привлекли менеджеров бизнес-подразделений). В общем, доказали, что беда в доме.

На итоговом совещании руководители бизнес-подразделений высказались похожим образом: все это очень важно, но денег нет. Даже если данные клиентов утекут и 100 человек закроют счета, мы дадим рекламу и привлечем 200.

Президент компании посмотрел, покивал, но проект заморозил. В сухом остатке – 10 месяцев работы сотрудников службы информационной безопасности, десятки совещаний с бизнес-подразделениями, готовая система оценки нематериальных активов и статистика, которая однозначно говорит: подавляющее большинство клиентов, которые закрыли счета из-за утечек их данных, были максимально лояльны банку. Даже консервативная оценка потерь давала чудовищные убытки, которые в разы превышали бюджет на внедрение системы защиты. За полгода мониторинга выявили интересную закономерность – от 3 до 10% клиентов, чьи данные банк «потерял», либо закрывают счет, либо уходят к конкуренту.



Продолжение следует…
white

Потерей 300 тыс. ПДН можно пренебречь

Хакерам удалось получить доступ к именам, фамилиям, ИНН и другим персональным данным 300 тыс. клиентов банка «Санкт-Петербург». Злоумышленники требовали от финансовой организации 29 млн рублей в обмен на неразглашение информации, пишет «Коммерсант» со ссылкой на «Интерфакс». Но банк, судя по всему, платить отказался.



«Никаких потерь банк и его клиенты не понесли. Воспользоваться карточным счетом (информация о котором украдена - ИФ) в интернете либо иным способом невозможно, никакой угрозы для клиентов нет», - сообщил «Интерфаксу» представитель банка, уточнив, что взломщикам не удалось похитить «полную базу реквизитов – информацию о CVC-кодах и сроках действия карт».

В соответствии со стандартом PCI DSS (требование 3.2), банк имеет право хранить подобную информацию (CVC), если на то есть коммерческое обоснование и данные хранятся защищенным образом. Интересно другое – утечку ПДн в банке называют «контролируемой». То есть 300 тыс. записей о клиентах банка ушли к злоумышленникам с ведома службы безопасности.

Банк пообещал бесплатно перевыпустить карты всем «сомневающимся» клиентам, а также заверил, что правоохранительные органы уже идут по следу преступников. Себестоимость карты с чипом (технология EMV) – 50 рублей. Если предположить, что все 300 тыс. клиентов обратятся в банк за новой картой, расходы кредитной организации составят 15 млн рублей. Это уже существенные потери, плюс репутация, которую в деньгах измерить сложнее.

В общем, неудивительна позиция банка, который, по российской традиции, делает вид, что ничего страшного не произошло. Мы уже привыкли, что утечка массива в сотни тысяч записей ПДн из российской организации не влечет никаких последствий для банка. Логика железная: нет видимого ущерба – нет повода для беспокойства. О защите интересов субъектов ПДн (в соответствии с буквой 152-ФЗ) привычно забывают.

Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании.

В том же материале г-н Скородумов говорит о повышении уровня ИБ в банках под влиянием стандартов и законов: «Самые наглядные примеры здесь – закон №152 (О персональных данных) и требования стандарта PCI DSS». Из профиля г-на Скородумова в LinkedIn следует, что банк сертифицирован на соответствие требованиям 152-ФЗ. Отсюда вопрос – что-то не так с банком, с законом, или с сертификацией, если утечка 300 тыс. персональных данных происходит из сертифицированного банка с ведома ИБ-службы? Причем считается, что ни банк, ни клиенты ничего не потеряли.