Конфиденциальность под прицелом
Ашот Оганесян (DLBI): «Данные, не содержащие платежной информации, уже мало привлекательны для преступников»
Киберпреступники настолько избалованы доступом к персональной информации граждан, что раздают ее бесплатно в даркнете. Теперь интерес для мошенников представляют только финансовые данные потребителей. Как заставить компании серьезнее относиться к обеспечению информационной безопасности и за чем охотятся хакеры, читателям RSpectr рассказал основатель сервиса по мониторингу и расследованию утечек данных Data Leakage & Breach Intelligence (DLBI) Ашот Оганесян.
ИНСАЙДЕРЫ ТЕРЯЮТ ИНФОРМАЦИЮ
RSpectr: Из каких организаций стали больше утекать данные в 2021 году?
Ашот Оганесян (А.О.): Как и раньше, больше всего таких инцидентов у операторов мобильной связи, банков и компаний e-commerce. В прошлом году к ним добавились медицинские учреждения, которым пришлось внедрять сложный электронный документооборот, связанный с COVID-19. В 2021-м – теневые сайты и форумы, а также порталы политических проектов.
RSpectr: Кто чаще всего является виновником утечек?
А.О.: Если отложить в сторону взломы, то зачастую источником становятся инсайдеры предприятий, которые либо случайно открывают доступ к корпоративным информационным системам, либо выводят данные за пределы организаций. Последнее может делаться как с криминальными целями, так и в попытках обеспечить себе удобство удаленной работы.
СПРАВКА
Ашот Оганесян
основатель сервиса по мониторингу и расследованию утечек данных Data Leakage & Breach Intelligence (DLBI)
- В сентябре 1996 года создал компанию DeviceLock.
- С 2013 года работает техническим директором DeviceLock.
- В июле 2020 года в связи с приобретением DeviceLock компанией Acronis занял в последней пост вице-президента по предотвращению утечек информации, сохранив также за собой должность технического директора DeviceLock.
- В 2018 году основал сервис по мониторингу и расследованию утечек данных Data Leakage & Breach Intelligence (DLBI).
RSpectr: Каковы финансовые потери от утечек и какой урон бизнесу они наносят?
А.О.: Говорить об объеме денег сложно, поскольку законодательство и в нашей стране, и за рубежом пока слишком лояльно к компаниям-нарушителям. Основными потерпевшими становятся их клиенты, чья украденная информация используется для спама или мошенничества. Однако имиджевый ущерб для компаний всегда достаточно силен, а в последнее время к нему стали прибавляться штрафы регуляторов.
RSpectr: Как можно повысить эффективность выявления и предотвращения утечек данных в госорганизациях и компаниях?
А.О.: Если говорить о госструктурах, то
необходимо усилить личную ответственность сотрудников и их руководителей, причастных к обработке конфиденциальной информации
В большинстве учреждений использование внутренних данных в личных целях до сих пор считается мелкой шалостью, а ИБ находится на уровне даже не отсутствия DLP-систем*, а применения одного логина целыми подразделениями.
В коммерческих организациях необходимо добиваться этой же цели, но другими средствами – все потери клиентов от хищения их данных должны в безусловном порядке падать на саму компанию или кредитную организацию. И в первую очередь это касается увода средств с банковских счетов. Только такой подход заставит их инвестировать в информационную безопасность и закрывать уязвимости в IT-системах и бизнес-процессах.
ОТВЕТИТЬ ЗА ДАННЫЕ
RSpectr: В каких изменениях, на Ваш взгляд, нуждается российское законодательство в сфере ИБ?
А.О.: Правовое поле должно повысить ответственность операторов ПД, а также упростить процесс доказывания их вины в случаях, когда потеря данных привела к финансовому ущербу у субъекта.
В реальности же законотворчество движется в обратную сторону – создаются новые сервисы, которые агрегируют огромный объем информации о гражданах. Также находятся юридические лазейки, выводящие эти интернет-платформы даже из-под существующего регулирования.
Яркий пример – так называемые деперсонифицированные данные, которые планируют сделать неохраняемыми, а также собирать и обрабатывать их без согласия субъекта
Они могут содержать информацию о поведении человека: передвижениях и транзакциях, заказах в интернет-магазинах. Это позволяет мошенникам легко втираться в доверие. А обогатить такие данные – дело буквально нескольких секунд.
RSpectr: А какие страны наиболее эффективно защищают персональные данные (ПД) своих граждан?
А.О.: Пока лучшей является европейская практика, основанная на Общем регламенте по защите данных (The General Data Protection Regulation, GDPR). Однако и ее внедрение откровенно буксует в вопросах интеграции в законодательство отдельных стран Евросоюза. Есть и проблемы выстраивания отношений с IT-гигантами, которые пытаются скрыться от регулятора за корпоративной «вуалью».
RSpectr: Какая информация пользуется наибольшим спросом в даркнете?
А.О.: В первую очередь это данные, которые позволяют оценить платежеспособность жертвы, чтобы эффективно втереться к ней в доверие. Например, выдав себя за сотрудника банка, интернет-магазина, платежной системы или даже правоохранительных органов. Чаще всего это данные о финансовых транзакциях или покупках. Однако с каждым годом эта информация дорожает, поэтому
преступники изменяют схемы работы, переходя на банальное запугивание с требованием только персональных данных
RSpectr: Насколько мошенникам сегодня интересны ПД и растет ли их ценность?
А.О.: Данные, не содержащие платежной информации, уже мало привлекательны для преступников. В даркнете сегодня предлагают огромное число баз с ПД: номер и серия паспорта, адрес прописки, телефоны и email. Немалую часть из них можно получить даже бесплатно. Нередко именно на основе таких баз строятся телеграм-боты, предлагающие «пробив» за условные три рубля.
RSpectr: Какие инструменты наиболее часто применяют киберпреступники для хищения информации у бизнеса и граждан?
А.О.: Самые распространенные сегодня – взлом смартфона и социальная инженерия. На втором месте различные типы фишинга, который покинул электронную почту и переместился в мессенджеры. Ведь обмануть жертву при личном общении, обладая купленными в даркнете персональными данными, значительно легче, чем взломать телефон или компьютер. Таким мошенникам не требуется специального оборудования или знаний.
*DLP-система (Data Leak Prevention) – предотвращение утечек информации.
Фото предоставлено спикером