Category: финансы

white

Объем утечек персональных и финансовых данных за первое полугодие 2017 вырос...в 8 раз.

Мы стараемся "держать руку на пульсе" и делаем регулярные "замеры" объемов утечек в нашей стране и в мире.
Аналитики InfoWatch готовят свежий отчет каждые полгода.

Новая аналитика за первое полугодие 2017 заслуживает внимания хотя бы одной причине: объем утечек персональных и финансовых данных вырос...в восемь раз с 1,06 млрд до 7,78 млрд записей. Напомним, что общий объем скомпрометированной в 2016 году информации в мире составлял всего около трех миллиардов записей.


Резкое увеличение объема потерянной чувствительной информации в первом полугодии 2017 года произошло в результате 20 мега-утечек (от 10 млн записей), на которые пришлось 98% пострадавших записей ПДн и финансовых данных. По сравнению с аналогичным периодом прошлого года в распределении утечек по типам данных на 20% увеличилась доля платежной информации и симметрично сократилась доля ПДн.


Причиной 58% утечек в мире стали внутренние нарушители в организации. Существенно возросло среднее число пострадавших записей: в расчете на одну утечку в результате внешнего воздействия приходилось 13,6 млн записей (по сравнению с 2,4 млн в 2016 году) и 4,5 млн записей — на каждую утечку, допущенную по вине внутреннего нарушителя (0,8 млн в 2016 году).

«С начала 2017 года мы фиксируем в мире многократный рост объема скомпрометированных данных, увеличение “мощности” утечек, от которых страдает все больше чувствительной информации, — сказал аналитик ГК InfoWatch Сергей Хайрук.С развитием цифровой экономики вопросы информационной безопасности переросли отраслевые рамки, и широко обсуждаются на самом высоком уровне. Сама тема утечек информации становится все более прозрачной и это должно позитивно сказаться на общем уровне культуры информационной безопасности. Даже в России пострадавшие организации начинают рассчитывать ущерб, который был нанесен им в результате той или иной утечки. Чтобы минимизировать эти риски, необходим комплексный подход к информационной безопасности предприятий, включая средства защиты от внешних и внутренних угроз».

Доля утечек данных с неправомерным доступом к информации, включая злоупотребление правами доступа и внутренний шпионаж, составила менее 8% от общего числа случаев. Неквалифицированные утечки, которые не сопряжены с превышением прав доступа и использованием данных в целях мошенничества, были зафиксированы в 84% случаев.



В первом полугодии 2017 года по сравнению с аналогичным периодом 2016 года увеличилась доля утечек через сетевой канал и электронную почту. Снизились доли утечек данных в результате кражи/потери оборудования, с использованием съемных носителей и бумажных документов.



Большая часть утечек наиболее «ликвидной» платежной информации пришлась на два канала — в 45% случаев финансовые данные передавались в сеть Интернет через браузер или облачное хранилище, ещё 44% таких утечек произошли с использованием корпоративной электронной почты.

Чаще всего утечки происходили в организациях медицинской сферы, реже всего — в сегменте промышленности и транспорта. Наибольший объем скомпрометированных записей пришелся на сектор высоких технологий, включая интернет-сервисы и крупные порталы. Утечки из госорганов составили около16% от общего объема скомпрометированных записей.

В первом полугодии 2017 года наибольший интерес злоумышленники проявляли к банкам и компаниям высокотехнологичного сегмента. В этих отраслях более 50% утечек ПДн носили умышленный характер.


«Коммерческие и государственные сервисы обрабатывают все больше данных в электронном виде, и такие данные крайне ликвидны, — отметил Сергей Хайрук.Сектор высоких технологий очень сильно подвержен утечкам информации, как и финансово-кредитная сфера. Эти отрасли вызывают наибольший интерес со стороны злоумышленников — в них большая часть данных была скомпрометирована умышленно. И это как раз те сегменты, которые являются драйверами цифровой экономики, с развитием которой нужно уделять особое внимание вопросам регулирования и информационной безопасности процессов цифровой трансформации».


ЧИТАТЬ полную версию отчета
white

Переход на личности: что такое identity theft



На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития. Обычным делом становится так называемая «кража личности». Что это такое? Откуда возник этот термин, какие самые громкие случаи кражи личности происходили за последние годы, а также - чего стоит бояться российским футбольным болельщикам уже в ближайшее время - обо всем этом читайте в нашей аналитической заметке.
Collapse )
white

Как это работает: как устроена система приоретизации заявок в сервисных подразделениях.

Представьте. Вы обратились за помощью в службу поддержки компании X. Но эти ребята как будто не замечает ваших просьб о помощи, по телефону с ними не связаться, письма остаются без ответа. Знакомо? С чем могут быть связаны подобные проблемы, и имеет ли это отношение к нерациональному распределению ресурсов в сервисных подразделениях и неправильной приоритезации обращений заказчиков? Устраивайтесь поудобнее, сегодня вы узнаете, как работает система приоретизации заявок в сервисных подразделениях!



Мы рассмотрим основные критерии повышения или понижения приоритета обращения в службу технической поддержки, механику их работы, рассмотрим в каком порядке выстраиваются заявки для сотрудников и их непосредственных руководителей.

Collapse )


white

По воле случая: что меняется в мире данных

Однажды Директор спросил почтенного защитника Иня про защиту от внутренних угроз. Тот сказал:
– Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя.
Директор ещё спросил:
– А какой инсайдер хуже, злонамеренный или неосторожный?
Инь Фу Во ответил:
– Нельзя так ставить вопрос. Оба они хуже.


Недавно наши аналитики решили провести первое сравнительное исследование большого объема данных по утечкам за 3 года - с 2013 по 2015 гг.
Коллеги хотели выяснить, как изменился характер инцидентов - в первую очередь понять, каких утечек стало больше: случайных или умышленных?

Немного цифр



  • Число «внутренних» утечек впервые с 2004 года снижается: на 3% в 2015 году по отношению к данным за 2014 год и на 13% по отношению к данным за 2013 год.

  • Уменьшается объем записей ПДн и финансовой информации, скомпрометированных в результате «внутренних» утечек — 352,7 млн и 335,3 млн в 2014 и 2015 годах соответственно.

  • С 2013 года доля «внутренних» утечек, которые произошли из-за случайных ошибок сотрудников, выросла на 34 процентных пункта (п. п.).

  • В 2015 году в результате «внутренних» случайных утечек по сетевому каналу были скомпрометированы 295 млн записей, относящихся к категориям персональных данных и финансовой информации.

  • Распределение «внутренних» утечек по типу скомпрометированной информации за 2013 по 2015 год отражает рост доли утечек платежной информации, коммерческой тайны с одновременным снижением доли утечек персональных данных.

Полную версию отчета скачивайте по ссылке!
white

Как визуализировать утечки: пример с архивом Хилари

Недавно мы провели анализ 8000 писем Клинтон их архива госдепа США.

Если кратко:

  • более 7,500 писем содержали информацию о персональных данных

  • более 900 сообщений финансовую информацию

  • более 500 отправлений с юридическими данными

  • чуть менее ста писем с информацией о закупках и управлении персоналом HR


...Ну и заодно решили весь этот объем данных визуализировать с помощью нового продукта InfoWatch Vision.
Вот что у нас получилось.


Collapse )
white

Как можно незаметно потрошить банкоматы



В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей – просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.

Вот – одна из таких историй от ведущего эксперта по информационной безопасности InfoWatch - Марии Вороновой.

Collapse )
white

Безопасность против ветра

К счастью, прошло время, когда высшее руководство или собственники компаний искренне не понимали, зачем инвестировать в защиту информации. От утечек данных не застрахован никто, и это отрезвляет. Но как быть, если топ-менеджмент не только проблему не видит, но и денег не дает? Об этом в сегодняшнем посте.

Итак, служба инфобезопасности банковской группы пришла к высшему руководству с предложением внедрить систему защиты от утечек. Дескать, пора бы подумать о защите наших информационных активов. Фактов на руках нет, но риски высоки. Да и ситуация вокруг неспокойная – в соседнем банке поймали менеджера на краже базы данных, бухгалтер другого банка приторговывал отчетностью. В общем, давайте действовать…

Владельцы отдельных бизнесов, которые входили в банковскую группу, инвестировать в проект из собственных бюджетов отказались. Мол, пусть глава компании из своего кармана платит. Тот, как мы уже упоминали, был настроен скептически: в компании все в порядке… а утечки у соседей, так у нас свой путь развития, нас не коснется. Пилотный проект, впрочем, благословил.

Воодушевившись, команда «безопасников» бросилась искать аргументацию, мерить потенциальный ущерб в деньгах. В общем, готовиться по всем стандартам. Определили цели и сроки, рассчитали бюджет, зафиксировали KPI. Поймали утечки данных – в общей сложности 20 тыс. записей. Распределили данные компании по категориям, оценили возможную утечку конкретных документов в деньгах (для чего привлекли менеджеров бизнес-подразделений). В общем, доказали, что беда в доме.

На итоговом совещании руководители бизнес-подразделений высказались похожим образом: все это очень важно, но денег нет. Даже если данные клиентов утекут и 100 человек закроют счета, мы дадим рекламу и привлечем 200.

Президент компании посмотрел, покивал, но проект заморозил. В сухом остатке – 10 месяцев работы сотрудников службы информационной безопасности, десятки совещаний с бизнес-подразделениями, готовая система оценки нематериальных активов и статистика, которая однозначно говорит: подавляющее большинство клиентов, которые закрыли счета из-за утечек их данных, были максимально лояльны банку. Даже консервативная оценка потерь давала чудовищные убытки, которые в разы превышали бюджет на внедрение системы защиты. За полгода мониторинга выявили интересную закономерность – от 3 до 10% клиентов, чьи данные банк «потерял», либо закрывают счет, либо уходят к конкуренту.



Продолжение следует…
white

Потерей 300 тыс. ПДН можно пренебречь

Хакерам удалось получить доступ к именам, фамилиям, ИНН и другим персональным данным 300 тыс. клиентов банка «Санкт-Петербург». Злоумышленники требовали от финансовой организации 29 млн рублей в обмен на неразглашение информации, пишет «Коммерсант» со ссылкой на «Интерфакс». Но банк, судя по всему, платить отказался.



«Никаких потерь банк и его клиенты не понесли. Воспользоваться карточным счетом (информация о котором украдена - ИФ) в интернете либо иным способом невозможно, никакой угрозы для клиентов нет», - сообщил «Интерфаксу» представитель банка, уточнив, что взломщикам не удалось похитить «полную базу реквизитов – информацию о CVC-кодах и сроках действия карт».

В соответствии со стандартом PCI DSS (требование 3.2), банк имеет право хранить подобную информацию (CVC), если на то есть коммерческое обоснование и данные хранятся защищенным образом. Интересно другое – утечку ПДн в банке называют «контролируемой». То есть 300 тыс. записей о клиентах банка ушли к злоумышленникам с ведома службы безопасности.

Банк пообещал бесплатно перевыпустить карты всем «сомневающимся» клиентам, а также заверил, что правоохранительные органы уже идут по следу преступников. Себестоимость карты с чипом (технология EMV) – 50 рублей. Если предположить, что все 300 тыс. клиентов обратятся в банк за новой картой, расходы кредитной организации составят 15 млн рублей. Это уже существенные потери, плюс репутация, которую в деньгах измерить сложнее.

В общем, неудивительна позиция банка, который, по российской традиции, делает вид, что ничего страшного не произошло. Мы уже привыкли, что утечка массива в сотни тысяч записей ПДн из российской организации не влечет никаких последствий для банка. Логика железная: нет видимого ущерба – нет повода для беспокойства. О защите интересов субъектов ПДн (в соответствии с буквой 152-ФЗ) привычно забывают.

Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании.

В том же материале г-н Скородумов говорит о повышении уровня ИБ в банках под влиянием стандартов и законов: «Самые наглядные примеры здесь – закон №152 (О персональных данных) и требования стандарта PCI DSS». Из профиля г-на Скородумова в LinkedIn следует, что банк сертифицирован на соответствие требованиям 152-ФЗ. Отсюда вопрос – что-то не так с банком, с законом, или с сертификацией, если утечка 300 тыс. персональных данных происходит из сертифицированного банка с ведома ИБ-службы? Причем считается, что ни банк, ни клиенты ничего не потеряли.
white

Предъявите хоть что-нибудь

Загадочную историю поведала мне работница банка из Белоруссии.

У них там граждане покупают иностранную валюту по паспорту, а продавать её можно анонимно. Приходит в банк мужчина и желает продать 2300 долларов США. Кассир попадает мимо кнопки и вместо 2300 даёт клиенту "зайчиков" как за 23 тысячи долларов. Тот уходит довольный, с загадочной улыбкой на лице.
       

В конце смены кассирша спохватывается, понимает, что произошло и докладывает начальству. Что делать? Как найти? Как доказать? А-а-а-а, мы все умрём!!! (Зарплаты в Белоруссии весьма скромные, даже в банках.) Вопрос передаётся в Службу безопасности.

Через один час человек из службы безопасности звонит кассиру и говорит: «Значит так, мы связались с вашим клиентом, которого вы обсчитали, гражданином Пупкиным. Мы объяснили ему ситуацию и попросили вернуть так называемое "неосновательное обогащение", как это предусмотрено законом. Через полтора часа он зайдёт к вам в офис и вернёт. Примите и доложите.»

Каким образом удалось вычислить анонимного клиента, товарищи из СБ, конечно, не поделились. У вашего покорного слуги есть несколько версий, но обдумывать их как-то страшновато...

white

Краткая конфиденциальность

Наткнулся ваш покорный слуга на любопытное уголовное дело. Там фигурировала информация, которая фактически являлась конфиденциальной несколько секунд после создания. Вкратце, дело было так.

Банковский трейдер сидел в банке и со своего рабочего компа спекулировал акциями от имени банка. Одновременно с наладонника он проводил операции на той же фондовой бирже, но уже от имени своей жены.

Каким-то образом инсайдер ухитрился проводить целенаправленные продажи, то есть выставленные на торги акции и паи уходили не первому покупателю и не покупателю с самой выгодной ценой, а конкретному аккаунту. Хотя биржевая торговая система предусматривает лишь безадресные сделки. Аналогично он сумел провести и адресную покупку ценных бумаг – у одного конкретного аккаунта. Продав акции самому себе и купив их обратно, злоинсайдер наварил более 20 миллионов.

Организационные механизмы контроля сработали, но с существенным запозданием. Работник был на хорошем счету, со всеми знаком. Поэтому проверять его не рвались. А может быть, он делился.

А вот технических мер для пресечения подобных фокусов в деле не упомянуто. Хотя очевидно, что параллельный выход в Интернет со смартфонов и наладонников надо было бы отрубить. Да и мобильную связь заодно. В офисе трейдеров даже DLP-система не очень нужна. Требуется просто обеспечить отсутствие альтернативных каналов связи.

Ныне такое подпадает под специальный закон об инсайдерах. Хотя, как видно из данного приговора, и статья 159 УК (мошенничество) неплохо справлялась.


ЗЫ. В соответствии с законом (хотя и не совсем верно понятым), судебные чиновники при публикации приговора заменили персональные данные всех фигурантов на коды "ФИО1", "ФИО2" и т.д. По какой-то странной прихоти они решили зацензурировать также слово "биржа". В итоге читаем в приговоре: "...действуя от имени ОАО «Банк Российский Кредит» на фондовой [ФИО2] ЗАО «Фондовая [ФИО2] ММВБ» в период с 31 марта по [ДД.ММ.ГГГГ]..."