#dataprotection

Що таке вразливості інформаційної безпеки та як їх усунути?

База даних вразливостей інформаційної безпеки значно збільшилася за останні роки. Це, зі свого боку, створює величезний потенціал для зловмисників і хакерів. Будь-яка вразливість може стати способом реалізації успішної кібератаки. Однак, багато компаній не приділяють належної уваги вразливостям і не мають чіткої стратегії для їх ефективного усунення. Часто компанії використовують усі свої ресурси не в тих місцях, що не лише не вирішує проблеми, а й уповільнює роботу всіх систем.

Вразливість – це слабке місце в інформаційній екосистемі компанії, яке може бути використане для атаки на її кіберпростір, IT-інфраструктуру, програмні додатки, цифрові активи тощо. Також уразливості є «відмінним» інструментом кіберзлочинця для отримання несанкціонованого доступу до системи, компрометації та крадіжки даних. Успішне використання вразливостей надає можливість кіберзлочинцю встановити шкідливі ПЗ, запустити шкідливі коди, завдяки чому отримувати доступ до облікових записів користувачів та здійснювати крадіжку даних. Існує безліч варіантів використання вразливостей: SQL-ін’єкція, міжсайтовий скриптинг (XSS), атаки за допомогою веб-шелів (код, за допомогою якого можна керувати пошкодженим пристроєм) та експлойтів (вид шкідливої програми) з відкритим вихідним кодом.

Існує кілька категорій вразливостей:

апаратні
вразливості ПЗ
мережеві
вразливість персоналу
вразливість сайту

Усунення вразливостей – це процес пошуку, усунення та нейтралізації вразливостей безпеки в IT-середовищі компанії (комп’ютери, цифрові активи, мережі, веб-додатки, мобільні пристрої тощо). Процес усунення вразливостей складається з кількох етапів.

Усунення є ключовим етапом у процесі управління вразливостями та має вирішальне значення для захисту мереж, запобігання втраті даних та забезпечення безперервності бізнесу. На цьому етапі відбувається процес нейтралізації та/або усунення активних вразливостей чи загроз безпеки. Процедура усунення сприяє зниженню ймовірності втрати даних, витоку даних, DDoS-атак, шкідливих програм та фішингу. Процес виправлення – це співпраця команд з розробки, управління ризиками та безпеки для визначення економічно ефективного способу усунення вразливостей.

Усунення вразливостей здійснюється за допомогою інноваційних методів обробки даних, аналітики загроз та автоматизованих алгоритмів прогнозування. Такі методи допомагають визначити вразливості та встановити пріоритетність для кожної з них.

Процес виправлення включає:

пошук та/або ідентифікація вразливостей – пошук помилок у коді та конфігурації програмного забезпечення, такі як некоректні процеси автентифікації та елементи керування безпекою. Перевірки щодо нових вразливостей мають бути регулярними. Пошук вразливостей відбувається за допомогою сканування та тестування додатків, системи та мережі;
пріоритизація вразливостей за рівнем ризику (від високого до низького) – виявлення та розставлення пріоритету кожної вразливості за критеріями: ризики, масштаб та складність усунення вразливості;
пряма нейтралізація вразливостей для мінімального або відсутнього ризику для системи – усунення слабких місць за допомогою виправлення помилки, оновлення, удосконалення, видалення неактивних компонентів;
регулярний моніторинг систем, пристроїв та мереж – забезпечення безперервного моніторингу мережі в режимі реального часу та сканування на наявність потенційних вразливостей для оперативного реагування на них.

Поліпшити процес усунення вразливостей можна за допомогою:

впровадження рішення щодо управління вразливостями
впровадження KPI: загальний прогрес (% усунених вразливостей); ефективність (показник успішності усунення вразливостей із високим ризиком); швидкість (як швидко усуваються вразливості); продуктивність (час, що йде на виправлення вразливостей/приблизний показник чистого прибутку чи збитку);
використання інструментів для створення звітів щодо вразливостей.

Як захистити дані від крадіжки?

Інциденти із витоком даних завжди негативно впливають на довіру споживачів. Наразі компанії часто користуються послугами третьої сторони та віддають певну частину завдань на аутсорсинг. Це може бути постачальник SaaS, сторонній постачальник чи підрядник. Деякі постачальники мають надійні стандарти безпеки, методи управління ризиками та забезпечують надійний захист даних. Проте, деякі з них нехтують безпекою. Такі постачальники часто знаходяться поза контролем компанії, що унеможливлює отримання прозорих відомостей про засоби управління інформаційною безпекою.

Маючи надійну внутрішню систему інформаційної безпеки, але користуючись послугами стороннього постачальника із слабким інформаційним захистом, компанія ризикує стати жертвою кіберзлочинців та втратити дані. Конфіденційні дані компанії можуть бути викрадені у стороннього постачальника або їх системи можуть бути використані для отримання несанкціонованого доступу до системи компанії. Кожен постачальник прямо чи опосередковано впливає на кібербезпеку компанії. Управління ризиками третіх сторін є важливою складовою стратегії управління ризиками організації.

Оцінка сторонніх постачальників. Залучення сторонніх постачальників, які матимуть доступ до корпоративної мережі та конфіденційних даних, має певні ризики. Оцінити потенційних партнерів можна за допомогою рейтингу безпеки. Інструмент дозволяє швидко оцінити та зрозуміти стан зовнішньої безпеки постачальника, а також які загрози існують;
Включення до договору пункту управління ризиками. Це не вбереже і не запобігатиме витоку даних, проте постачальників буде притягнуто до відповідальності. Також можна додати вимогу від постачальників повідомляти чи усувати будь-які проблеми безпеки протягом певного періоду часу, запитувати анкету безпеки для виявлення проблем;
Прозорість співпраці з постачальниками. Слід вивчити та визначити, який обсяг інформації надається кожному постачальнику. Це допоможе виміряти потенційні ризики від постачальника;
Постійний моніторинг постачальників щодо загроз безпеки. Рівень безпеки постачальника змінюється під час співпраці. Рідкісний аудит та анкети безпеки висвітлюють лише стан безпеки в даний момент часу. Для повного розуміння необхідно стежити за рівнем безпеки постачальників постійно та оперативно реагувати на зміни;
Співпраця із постачальниками. Це не допоможе повністю виключити та запобігти несанкціонованому доступу, кібератаці та порушенню безпеки. Проте, важливо співпрацювати з постачальниками для зниження ризиків, швидкого реагування та усунення проблем безпеки;
Надання керівництву інформації про ризики. Це дозволяє керівництву розуміти ризики та їх наслідки. За даними звіту Ponemon Institute «Data risk in the third party ecosystem» 53% респондентів із високоефективних організацій заявили про взаємодію з радою директорів та виконавчим керівництвом. Це означає, що керівництво усвідомлює потенційні ризики, а також важливість захисту конфіденційних даних та впровадження ефективних методів захисту інформації;
Розрив співробітництва з ненадійними постачальниками. У разі невідповідності стороннього постачальника до вимог та стандартів організації, кібератаки варто передбачити варіант розриву співробітництва. У цьому випадку необхідно забезпечити безперервність бізнесу. Як і введення постачальника в систему, його виведення є також важливою складовою управління сторонніми ризиками;
Вимірювання ризиків сторонніх постачальників (наскільки швидко вони впроваджують багатофакторну автентифікацію, інформація про обмін даними з 4 та 5 стороною, відстеження процесу обміну конфіденційною інформацією, користувачів, які мають доступ до неї);
Контроль доступу. Витоки, зокрема, відбуваються через некоректне надання доступу. Доволі часто постачальникам надається більше доступу, ніж це необхідно для виконання їхньої роботи. Варто розглянути впровадження системи управління доступом на основі ролей, що працює за принципом найменших привілеїв (POLP).

Важливість кібербезпеки для сучасного бізнесу

Головне завдання сучасного бізнесу – забезпечити надійний захист даних. Кібербезпека забезпечує захист даних усіх категорій від крадіжки та пошкоджень: конфіденційні дані, інформація, що ідентифікує особистість (PII), особиста медична інформація (PHI), особиста інформація, інтелектуальна власність, дані, державні та корпоративні інформаційні системи. Відсутність системи кібербезпеки збільшує ризик для компанії стати мішенню для кіберзлочинців.

Глобальне використання хмарних сервісів як сховища конфіденційних даних також збільшує ризики. Неправильна конфігурація хмарних сервісів і витончені методи кіберзлочинців призводить до успішної кібератаки та витоку даних. Готові рішення такі, як антивірусне програмне забезпечення та брандмауери не є надійним захистом даних. Кіберзлочинці використовують розумніші тактики і більш стійкі до традиційних засобів кіберзахисту методи.

Кіберзагрози можуть виходити від будь-якого рівня організації. Важливо забезпечити навчання персоналу всіх рівнів з питань кібербезпеки, інформувати про поширені кіберзагрози (шахрайство з використанням соціальної інженерії, фішинг, атаки програмами-вимагачами та інші шкідливі програми для крадіжки інтелектуальної власності та/або особистих даних), навчити розпізнавати їх та ознайомити з планом дій у разі виникнення інциденту.

Кібербезпека – це стан або процес захисту та відновлення комп’ютерних систем, мереж, пристроїв та програм від будь-якого типу кібератак. Небезпека для даних висока, оскільки кіберзлочинці використовують нові методи, засновані на соціальній інженерії та штучному інтелекті і легко обходять традиційні методи захисту даних. Забезпечити захист даних можна завдяки впровадженню інтелектуальних рішень для безпеки у поєднанні з надійними політиками паролів (наприклад, багатофакторна автентифікація для запобігання несанкціонованому доступу).

Сучасне суспільство сильно залежить від технологій, і така тенденція лише зростатиме. Дані, які можуть сприяти великим крадіжкам даних, публікуються в облікових записах соціальних мереж, конфіденційна інформація (номер соціального страхування, інформація про банківські картки та рахунки тощо) зберігається в хмарних сховищах (Dropbox, Google Drive тощо). Щодня чи то велика корпорація, чи звичайна людина використовує технології та комп’ютерні системи. Якщо зіставити це з недостатньою безпекою хмарних сервісів, смартфонів та Інтернету речей, виникає безліч потенційних вразливостей безпеки, яких не існувало ще кілька років тому.

Загальний регламент захисту даних (GDPR), а саме репутаційні збитки та відповідальність перед клієнтом, мотивував організації переглянути систему кібербезпеки. Відповідно до GDPR організації, які ведуть свою діяльність у Європі зобов’язані:

Повідомляти про витік даних;
Призначити відповідального за захист даних;
Вимагати згоди користувача на обробку інформації;
Анонімізувати дані для забезпечення конфіденційності;

У США працюють закони про витік даних і передбачають:

Повідомлення постраждалих про витік даних якнайшвидше;
Повідомлення уряд;
Виплату штрафів

У 2003 році Каліфорнія стала першим штатом, який регулював розкриття інформації про витік даних. Жертви можуть подати до суду на суму 750 доларів США, а компаніям може бути призначений штраф у розмірі до 7500 доларів США за кожну жертву.

Це зі свого боку сприяло розробці фреймворків для розуміння ризиків безпеки, покращення заходів кібербезпеки та запобігання кібератакам.

Крадіжка інформації є найдорожчим та швидкозростаючим сегментом кіберзлочинності. Багато в чому це викликано розкриттям ідентифікуючої інформації в Інтернеті через хмарні сервіси. Також, мішенню є промислові та урядові об’єкти з метою порушити цілісність даних (знищення або зміну даних) та викликати недовіру до організації чи уряду.

Соціальна інженерія залишається найпростішою формою кібератаки, а програми-вимагачі, фішинг та шпигунське програмне забезпечення – найпростішим методом проникнення в систему. Важливо враховувати, що атаку можна зробити за допомогою третіх осіб, які використовують ненадійні методи кібербезпеки.

Згідно з дослідженнями, середня вартість кіберзлочинності для організації збільшилася на 1,4 мільйона доларів за останній рік, середня кількість витоків даних зросла на 11%.

Чинники, що сприяють зростанню кіберзлочинності:

Розподілений Інтернет;
Здатність кіберзлочинців атакувати цілі за межами їхньої юрисдикції, що ускладнює роботу поліції;
Підвищення прибутковості та простота комерції в даркнеті;
Розповсюдження мобільних пристроїв та Інтернету речей (IoT).

Наслідки нехтування кібербезпекою:

Економічні витрати (крадіжка інтелектуальної власності, корпоративної інформації, збої у торгівлі, відновлення та ремонт пошкоджених систем);
Репутація (втрата довіри, втрата поточних та потенційних клієнтів, антиреклама у ЗМІ);
Регулятивні витрати (штрафи, санкції органів, що регулюють).

Основні методи захисту конфіденційної інформації

Одним із головних завдань цифрового світу є захист конфіденційної інформації. Це досить ємне і складне завдання, яке також може ускладнитися поганим керуванням даними, неякісною безпекою мережі, захистом кінцевих точок і методами шифрування. Для запобігання наростаючій кількості кібератак необхідно використовувати більш потужні методи кібербезпеки.

Як організації, так і фізичні особи повинні знати основні методи захисту конфіденційних даних, щоб уникнути їх витоку та втрати. Втрата персональних або корпоративних даних може нести руйнівний характер і спричиняти серйозні наслідки.

Конфіденційна інформація – це важлива інформація, яка потребує вищого рівня безпеки даних для запобігання несанкціонованому доступу хакерів або шкідливих програм. Такі дані зазвичай захищені та недоступні стороннім особам. Існують стандарти кібербезпеки та захисту даних, які встановлюються в США – Федеральною торговою комісією (FTC), у Європі – Загальним регламентом захисту даних (GDPR), Австралія – Австралійським центром кібербезпеки (ACSC).

До конфіденційних даних можна віднести:

Персональні дані (PII);
Фінансова, банківська інформація, а також інформація про кредитні картки;
Юридична інформація;
Медична інформація (PHI);
Біометричні дані;
Дані про клієнтів та співробітників;
Історія пошуку в Інтернеті;
Комерційна таємниця;
Дані про бізнес-операції;
Секретна урядова інформація.

Основні методи захисту конфіденційної інформації:

Класифікація та організація даних. Під класифікацією даних розуміється процес організації даних за певними категоріями, які спрощують доступ, ранжування даних за критичністю та знижують витрати на зберігання та резервне копіювання. Організація даних дозволяє визначити рівень ризику даних (низький, середній, високий), визначити загальнодоступну та приватну інформацію та застосувати відповідні для кожного рівня конфіденційності заходи безпеки. Політика класифікації дозволяє провести оцінку використання конфіденційних даних, забезпечити кращу конфіденційність та захист даних.
Шифрування даних. Метод полягає в кодуванні даних криптографами з використанням складних алгоритмів і шифрів для захисту даних від крадіжки або розкриття. У разі крадіжки зашифрованих даних їх майже неможливо розшифрувати без ключа дешифрування. Шифрування даних забезпечує конфіденційність під час передачі інформації та дозволяє виконувати процеси аутентифікації. Компаніям, які працюють із особливо конфіденційними даними, слід використовувати метод шифрування.
Оцінка на захист персональних даних (DPIA). Це оперативні інструменти для захисту корпоративної інформації, пов’язаної з високим ризиком розкриття особистої інформації. У рамках DPIA організації мають:

Визначити характер, обсяг, контекст та мету обробки даних;
Оцінити ризики;
Визначити заходи кожного ризику;
Забезпечити відповідність безпековим вимогам.

Маскування (обфускація) даних – один із способів захисту даних за допомогою заміни оригінальних даних на фіктивні. Маскування даних також використовується всередині компанії, щоб приховати інформацію від розробників, випробувачів та інших фахівців.
Багатофакторна автентифікація. Використання пароля та аутентифікації є одним із найпростіших методів забезпечення безпеки. Дані великих корпорацій досить часто перебувають у даркнеті. Корпоративні користувачі можуть використовувати багатофакторну автентифікацію та тим самим захистити конфіденційну інформацію.
Резервні копії. Основою всіх рішень безпеки є управління даними та резервне копіювання. Резервне копіювання слід виконувати щонайменше 1 раз на тиждень.
Надійна мережна безпека. Передбачається використання безлічі різних рішень безпеки для кращого захисту конфіденційних даних від крадіжки та несанкціонованого доступу. Інструменти для підвищення безпеки:

ПЗ для захисту від вірусів та шкідливих програм;
Захист від витоку даних (DLP);
Система виявлення вторгнень (IDS) та запобігання вторгненням (IPS);
Брандмауери;
Віртуальні приватні мережі (VPN);
Сегментація мережі;
Інструменти видалення даних.

Що таке клікджекінг?

Активний розвиток технологій захисту даних породжує активний розвиток та вдосконалення кіберзлочинних методів. Злочинці використовують витончені методи, щоб залишитися непоміченими та досягати своїх цілей. Наприклад, хакери можуть використовувати такий вид кібератаки, як клікджекінг та змусити користувачів активувати веб-камеру або переказати гроші з власного банківського рахунку на рахунок зловмисника.

Клікджекінг (перехоплення кліків) – це тип кібератаки, коли зловмисник розміщує невидиме посилання поверх веб-контенту. Хакери ховають кнопку в прозорому iframe, що дозволяє залишатися невидимою. Зазвичай користувачі не можуть визначити, що відбувається атака клікджекінгу. Користувачі, думаючи, що натискають на кнопку, яку бачать на власні очі, насправді потрапляють у пастку, підготовлену зловмисником.

Найпоширеніші цілі клікджекінгу:

Крадіжка облікових даних для входу в систему;
Активація веб-камери або мікрофона;
Завантаження шкідливих програм;
Авторизація грошових переказів;
Здійснення небажаних покупок;
Визначення розташування;

Цей список не обмежується лише цими прикладами, оскільки деструктивні можливості необмежені.

Приклади клікджекінгу

Шахрайство з грошовими переказами: зловмисник обманним шляхом змушує користувача клацнути посилання на шкідливій сторінці, яка авторизує переказ коштів з банківського рахунку користувача. Зазвичай сайт, на якому розміщено посилання, містить привабливу пропозицію (подарунок, знижку тощо). Жертва завантажує сайт, натискає кнопку, щоб отримати «подарунок» і в такий спосіб дозволяє переказ своїх коштів. Якщо жертва у цей час увійшла до свого банку – її гроші миттєво переказують на рахунок зловмисника. Передача грошей відбувається у фоновому режимі, коли жертва перенаправляється на сторінку з додатковою інформацією про «подарунок».

Активація веб-камери та/або мікрофона: під час такої атаки налаштування користувача Adobe Flash непомітно завантажуються за іншим посиланням. В процесі переходу за шкідливим посиланням, користувач змінює свої налаштування, що дозволяє зловмисникам отримати доступ до камери та мікрофону.

Лайкджекінг – атака з використанням лайків. Користувачів обманним шляхом змушують ставити лайки на сторінці Facebook. Натискаючи кнопку «Подобається», користувач натискає на вставлене зловмисниками посилання. Для «успішної» атаки користувач повинен увійти до свого облікового запису при переході за посиланням. Аккаунти в соціальних мережах уразливі для клікджекінгу. Так, у 2009 році Twitter став жертвою успішної атаки, відомої як «tweet bomb».

Завантаження шкідливих програм: зловмисник ініціює завантаження шкідливого програмного забезпечення при натисканні користувачем на посилання. Таке програмне забезпечення може пошкодити програмне забезпечення системи або створити умови для постійних загроз.

Інструменти для захисту від клікджекінгу

Content-Security-Policy (політика безпеки контенту)
X-Frame-Options
Framebusting

Витоки даних за останній рік

Про один з останніх витоків даних стало відомо 04 квітня 2022 року. Компанія Block визнала, що мобільний платіжний сервіс Cash App був зламаний. Причиною злому стала внутрішня загроза. У грудні 2021 року колишній співробітник компанії зламав сервіс та викрав імена клієнтів, номери банківських рахунків, вартість активів, інформації біржової торгівлі. Точна кількість клієнтів, які постраждали від цього інциденту, не повідомляється. Відомо, що компанія звернулася до 8 мільйонів своїх клієнтів і повідомила про те, що сталося. Такі й схожі зломи відбуваються регулярно та стосуються всіх сучасних компаній. Далі ще кілька прикладів останніх випадків злому та витоку інформації.

У березні 2022 року Microsoft був зламаний групою хакерів Lapsus$. У своєму Telegram-каналі вони опублікували скрін в Azure DevOps, що підтверджує злом. Внаслідок злому були скомпрометовані Bing, Cortana та інші проєкти. Мотивом Lapsus$ був фінансовий інтерес, але не політичний. Для досягнення своєї мети вони зверталися до технічних співробітників компанії з проханням компрометувати своїх роботодавців.
17 січня 2022 року хакери зламали гаманці 483 користувачів Crypto.com. Внаслідок цього злому було вкрадено понад 30 мільйонів доларів. Частину суми було вкрадено в біткоїнах, частину в ефіріумі та інших криптовалютах. Зловмисники обійшли двофакторну автентифікацію та отримали доступ до гаманців користувачів. Компанія заявила про злом через кілька днів, а також про відшкодування грошових коштів потерпілим.
У грудні 2021 року група хакерів зламала платформу онлайн-бронювання FlexBooker. В результаті злому було викрадено дані 3 мільйонів користувачів (посвідчення водія, паролі та інша персональна інформація). Після цього дані були виставлені на продаж на різних форумах. Доступ до даних було отримано за допомогою конфігурації FlexBooker Amazon Web Services.
У листопаді 2021 року компанія Panasonic піддалася хакерській атаці, внаслідок якої були розкриті дані про стажерів, кандидатів на роботу та іншу інформацію. Масштаб збитків компанія не повідомила, але повідомила всіх постраждалих про цей випадок.
У жовтні 2021 року вихідний код Twitch та інші бізнес-дані почали з’являтися в мережі. На анонімному форумі 4chan був розміщений торент обсягом 125 ГБ, що нібито містить весь Twitch. Кеш даних містив дані про виплати творцям за 3 роки, повний обсяг twitch.tv, пропрієтарний код, відомості про невипущеного конкурента Stem та багато іншого. Сам Twitch заявив, що причиною стала помилка конфігурації сервера, а ефект від злому був мінімальним.
Атака на Neiman Marcus відбулася ще у травні 2020 року. Проте виявити та оцінити її наслідки вдалося лише у вересні 2021 року. Злом торкнувся близько 4,6 мільйонів облікових записів клієнтів (дані про платіжні картки, термін дії, інша особиста інформація). Різні облікові записи клієнтів були порушені різними способами.
Витік даних T-Mobile у серпні 2021 року скомпрометував інформацію майже 48 мільйонів людей. Хакери викрали файли з кредитними заявками, конфіденційну інформацію, зокрема імена та прізвища, номери соціального страхування, дати народження, водійські права та ідентифікаційні номери.
Неправильне налаштування Microsoft Power Apps призвело до розкриття 30 мільйонів записів у більш ніж 47 організаціях. Така інформація з’явилася у серпні 2021 року. Серед постраждалих організацій були Ford Motor Co, American Airlines, Управління міського транспорту Нью-Йорка та інші. Викрадена інформація відрізнялася в залежності від компанії, якій вона належала: реквізити особових справ співробітників, дані тестів на Covid-19, дані про вакцинацію, зокрема особисту інформацію пов’язаних осіб та інше. Неправильне налаштування не є провиною безпосередньо Microsoft. Певні системні зміни, які ініціює користувач, могли призвести до загальнодоступності даних. Однак, відсутність попереджень про можливі наслідки робить Microsoft частково винним.

Найгучніші витоки даних

Один із перших зломів, що торкнувся великої кількості людей, стався в 1986 році. Вночі 27 квітня мільйони підписників HBO, насолоджуючись фільмом «Агенти Сокіл та Сніговик», побачили повідомлення від «Captain Midnight» на екранах своїх телевізорів. У повідомленні йшлося про безглузду вартість передплати в розмірі 12,95 $. Деякі користувачі були стурбовані фактом злому, інші сприйняли це як кумедний жарт. Цей злом не завдав жодної реальної шкоди, окрім нетривалої паузи у трансляції фільму.

Зараз новини про різні атаки та злами з’являються досить часто. Щорічна глобальна шкода від них оцінюється в трильйони доларів.

Найбільші витоки даних:

Yahoo (2013)

Внаслідок цього злому було скомпрометовано 3 мільярди записів, зокрема реальні імена користувачів, адреси електронної пошти, дата народження, номери телефону та секретні питання. У цей час компанія була в процесі покупки компанією Verizon. Вартість Yahoo знизилася на 350 мільйонів, що і є фактичною шкодою від атаки. За припущеннями атаку Yahoo спонсувала держава.

First American Financial Corporation (2019)

Внаслідок витоку даних було скомпрометовано 885 мільйонів записів (номери банківських рахунків, банківські виписки, дані про кредити, податкові записи, номери соціального страхування, дані про транзакції). Цей випадок є унікальним, тому що причиною витоку є помилка аутентифікації (тобто для перегляду документів не потрібна аутентифікація). До цього привела помилка IDOR (небезпечні прямі посилання на об’єкти), що дозволяє отримати несанкціонований доступ до веб-сторінок та файлів.

Marriott International (2018)

500 мільйонів записів – такий результат кібератаки. Контактна інформація, паспортні дані, дані про подорожі, номери банківських карток, інша особиста інформація була скомпрометовано. Атака була зроблена китайською розвідувальною групою, метою якої було зібрати дані громадян США.

Facebook (2019)

Метою кібератаки були особисті дані користувачів соцмережі: номери телефонів, імена користувачів, стать, місцезнаходження. Атака торкнулася 540 мільйонів записів. Причиною атаки були бази даних Facebook, які були не захищені паролями або шифруванням. Це призвело до того, що кожен бажаючий міг знайти дані в Інтернеті.

Target (2013)

Американська компанія, яка управляє мережею магазинів роздрібної торгівлі, в 2013 році зазнала кібератаки. 60 мільйонів записів (імена, номери телефонів, адреси електронної пошти, номери платіжних карток, коди підтвердження кредитних карток та інші конфіденційні дані). Збиток склав 18,5 мільйонів доларів США, а також врегулювання колективного позову в розмірі 10 мільйонів доларів США та виплати клієнтам у 10000 доларів США. Організатора атаки не визначили. Зловмисники отримали доступ до мереж Target за допомогою вкрадених облікових даних стороннього постачальника (компанія, що обслуговує системи HVAC). Після отримання доступу до БД було завантажено шкідливе ПЗ для збору інформації.

MySpace (2013)

Внаслідок атаки було порушено 360 мільйонів записів з особистою інформацією користувачів. Хоча сама атака була здійснена російським хакером у 2013 році, про неї стало відомо лише у 2016 році. Викрадені облікові дані проникли в LeakedSources, а також були доступні для покупки на ринках Dark Web The Real Deal за 6 біткоїнів (приблизно 3000 доларів у 2013 році).

LinkedIn (2012)

Метою даного злому були логіни та паролі користувачів. Після цього дані були опубліковані на російському хакерському форумі. Компанії довелося виплатити 1,25 мільйона доларів постраждалим від злому користувачам. Лише у 2016 році LinkedIn розкрив усі масштаби атаки.

Дані повинні бути під захистом

Сьогодні дані становлять найбільшу цінність бізнесу незалежно від сфери діяльності. Успішна діяльність передбачає забезпечення якісної взаємодії з даними та їхнє використання (фінансова звітність, записи пацієнтів, бізнес-план тощо). Водночас збільшується ризик витоку даних, що робить критично важливим питання забезпечення належного захисту даних.

Можна виділити 2 типи даних, якими володіють підприємства:

критично важливі бізнес-дані – набори даних, необхідні для повноцінної діяльності (фінансові плани, запаси, інтелектуальна власність, комерційна таємниця тощо);
конфіденційна інформація – інформація про співробітників та зарплати, клієнтів, контракти з партнерами, історію хвороб тощо.

Недоцільно витрачати ресурси та намагатися захистити кожну папку та файл, не враховуючи їхній вміст. Адекватна стратегія кібербезпеки повинна забезпечувати диференційований захист інформаційних активів – фотографії з корпоративу не є критично важливою бізнес-інформацією та не потребують сильного захисту.

Причини сфокусувати увагу на безпеці даних:

Витік даних, що передбачає порушення чи крадіжку даних. Причинами витоків може бути: кібератаки хакерів; крадіжка або втрата пристроїв із важливою інформацією; крадіжка даних співробітниками або іншими внутрішніми користувачами (підрядники, партнери тощо); людські помилки.
Дотримання нормативно-правових норм. Вимоги відповідності також сприяють забезпеченню безпеки даних (GDPR, CCPA), регулюючи збір, зберігання та використання персональних даних. Недотримання загрожує штрафами, які можуть сягати 20 мільйонів євро або 4% від річного обороту компанії за попередній фінансовий рік.
Хмарна безпека. Пандемія спровокувала масовий перехід компаній у хмару, щоб забезпечити працівників можливістю віддаленої роботи. Раніше стратегії захисту даних полягали в захисті систем, де зберігалася конфіденційна інформація. З переходом у хмару така інформація зберігається поза традиційних кордонів. Організаціям необхідно забезпечити стратегію безпеки даних, що дозволяє пріоритезувати їх з урахуванням рівня конфіденційності.
Нестача фахівців із кібербезпеки. Така ситуація є причиною обмеженої здатності зниження ризиків порушення безпеки даних, виявлення загроз та реагування на атаки.

Основні функції стратегії безпеки даних:

Визначення – виявлення ризиків кібербезпеки систем, людей, активів, даних та можливостей;
Захист – запровадження відповідних засобів контролю безпеки та інших заходів захисту важливих активів;
Виявлення – забезпечення швидкого виявлення дій та подій, що становлять загрозу безпеці даних;
Реагування – процедури швидкого реагування на інциденти кібербезпеки;
Відновлення – дії, спрямовані на швидке відновлення даних та служб.

Технології, що допомагають захистити дані

Виявлення та класифікація даних – сканування репозиторіїв даних та надання результатів для запобігання збереженню конфіденційних даних у незахищених місцях. Класифікація даних є процес маркування даних за допомогою тегів для захисту даних відповідно до їхньої цінності та нормативних вимог;
Шифрування даних забезпечує неможливість їх прочитати, внаслідок чого вони не несуть ніякої цінності для зловмисників;
Динамічна маскування даних (DDM) – метод включає маскування даних у режимі реального часу;
Поведінковий аналіз користувачів та суб’єктів (UEBA) – основним завданням технології є виявлення підозрілої діяльності, що вказує на загрозу. Технологія корисна для виявлення внутрішніх загроз і злому облікових записів;
Контроль за змінами та аудит – випадкові та зловмисні заборонені зміни в ІТ-системах можуть призвести до простою та порушень. Ця технологія дозволяє швидко виявити неправильні конфігурації;
Система управління ідентифікацією та доступом користувачів (IAM) – забезпечує управління звичайними та привілейованими обліковими записами користувачів, а також контролювати доступ користувачів до важливої інформації;
Резервне копіювання та відновлення – можливість швидкого відновлення даних внаслідок випадкового чи зловмисного видалення даних, пошкодження сервера, цілеспрямованої атаки тощо.

Кібербезпека: що це таке та чому це необхідно?

Сьогодні, в епоху технологій, ми маємо практично безмежні можливості роботи з даними, включаючи їхню обробку, зберігання та обмін між користувачами. Проте, разом з тим постає питання про кібербезпеку.

Кібербезпека є важливою складовою технологічного процесу будь-якої організації. Її основною метою є захист усіх категорій даних (конфіденційні дані, корпоративні дані, персональна інформація, медична інформація, інтелектуальна власність, державні та галузеві інформаційні системи тощо) від витоку та пошкоджень. Відсутність корпоративного проекту з кібербезпеки призводить до нездатності протистояти витоку даних.

Сучасний світ, кожен із нас і суспільство загалом сильно залежить від технологій, і така залежність триватиме. Будь-яка компанія незалежно від розміру залежить від комп’ютерних систем. Кількість користувачів, пристроїв, програм, що постійно зростає, збільшується потік даних, зокрема секретних або конфіденційних даних, являє собою особливий інтерес для кіберзлочинців. Глобальний зв’язок та використання хмарних сервісів для зберігання конфіденційних даних та особистої інформації, помилки у конфігурації, а також витончені методи кіберзлочинців збільшують ризик стати жертвою кібератак.

Підтримка кібербезпеки в ландшафті загроз, який постійно змінюється, є першорядним завданням усіх організацій. Використання готових рішень (антивірусне програмне забезпечення, брандмауер) не може забезпечити 100% захист, що підтверджує актуальність створення корпоративної системи кібербезпеки.

Що таке кібербезпека?

Кібербезпека – процес захисту підключених до Інтернету комп’ютерних систем, мереж, пристроїв та програм від будь-якого типу кібератак, а також відновлення їх у результаті ураження. Така практика використовується як фізичними, так і юридичними особами для захисту від несанкціонованого доступу до центрів обробки даних та інших комп’ютеризованих систем. Зараз кібератаки становлять більшу небезпеку для даних, тому що кіберзлочинці обходять традиційні засоби захисту даних. Вони використовують нові методи проникнення в систему, засновані на використанні соціальної психології та штучного інтелекту.

Стратегія кібербезпеки здатна забезпечити надійний захист від атак, спрямованих на отримання доступу, зміну, видалення, знищення або вимагання конфіденційних даних компаній, організацій або окремих користувачів. Також кібербезпека здатна запобігати атакам, які спрямовані на відключення або порушення роботи систем та пристроїв.

Велику увагу кіберзлочинам приділяють уряди у всьому світі. Прикладом є GDRP, що зобов’язало організації, які працюють у ЄС повідомляти про витік даних, призначати спеціаліста захисту даних, вимагати згоду користувача на обробку інформації, анонімізувати дані для конфіденційності. У США закони про витік інформації діють у всіх 50 штатах. Основні вимоги: повідомити постраждалих якомога раніше, повідомити уряд, виплатити штраф.

Елементи кібербезпеки

Систему кібербезпеки можна розділити на підрозділи, де внутрішня координація кожного підрозділу має критично важливе значення для всієї системи кібербезпеки. Такі підрозділи включають:

безпеку додатків;
безпеку даних та інформації;
безпеку мережі;
відновлення в аварійних ситуаціях та планування безперервності бізнесу;
оперативну безпеку;
хмарну безпеку;
захист критично важливої інфраструктури;
фізичну безпеку;
навчання кінцевого користувача

Переваги кібербезпеки

захист бізнесу від кібератак та витоку даних;
захист даних та мереж;
захист від дій незареєстрованих користувачів;
зменшення часу, необхідного для відновлення після злому;
захист кінцевих користувачів та пристроїв;
відповідність нормативним вимогам;
забезпечення безперервності бізнесу;
покращення репутації компанії та підвищення рівня довіри з боку розробників, партнерів, клієнтів, зацікавлених сторін та співробітників