Новости

Цифровая гигиена: неосторожное селфи и другие каналы утечек информации

12 августа 2019
Ежегодно растет общее число утечек персональных данных и другой информации ограниченного доступа. По данным аналитического центра InfoWatch, в 2018 году утечек из организаций стало больше на 6%. Всего утекло 7,28 млрд записей персональных данных, то есть почти столько же, сколько жителей на Земле.

Конфиденциальная информация утекает в результате различных нарушений. Сервер с данными может быть взломан хакером или может оказаться скомпрометированным в результате неверных настроек доступа. Никто не застрахован и от неприятной ситуации, когда данные незаконно разглашают сотрудники компаний — будь то служащий банка, менеджер сотового оператора, работник паспортного стола. Сведения могут оказаться скомпрометированными и по человеческой неосторожности.

Если сохранность данных в своей компании еще можно относительно эффективно контролировать, например совершенствуя внутренние системы безопасности, то за партнеров по бизнесу, аудиторов, рекрутинговые агентства и госучреждения ручаться нельзя. Даже если они подписали жесткие регламенты о неразглашении. Поэтому всегда есть вероятность, что конфиденциальная информация об организации, ее сотрудниках или клиентах попадет туда, куда не следует.

Безобидные селфи

Любители делать селфи не должны забывать, что невинное фото может стать причиной серьезных неприятностей. В кадр может попасть не только красивый фон, но и данные, не предназначенные для посторонних глаз. Если сотрудник на работе сфотографировался на фоне монитора с открытым секретным отчетом и выложил снимок в Сеть, то под удар подставлен работодатель. Например, неприятная история с селфи случилась с футболистом мадридского «Реала» — Начо. Во время одного межсезонья он выложил в Instagram свое фото, на котором был одет в третий комплект игровой формы. На тот момент дизайн новой формы еще не анонсировали официально. Футболисту быстро сообщили об оплошности, и он удалил свой пост. Но шустрые болельщики успели сделать скриншоты и растиражировали в интернете фото новой формы.

Увлечение селфи со стороны первых лиц компании тоже небезобидно. В некоторых случаях это может затронуть не только репутацию самого топ-менеджера, но и всей организации. Например, в центре скандала с шантажом интимными фотографиями оказался миллиардер Джефф Безос, глава компании Amazon. Его обнаженные селфи угрожал опубликовать редактор таблоида National Enquirer.

По данным Reputation Institute, 45% репутации компании — это репутация руководителя. Также исследования показали, что мнение о лидере влияет на рыночную стоимость компании.
Поиск личного счастья

Приложения для интернет-знакомств несут массу рисков для пользователей. Как и в случае с селфи, утечка определенных фактов из личной жизни руководителя может поставить под удар саму компанию. Например, это опасно для компаний, которые фокусируют бизнес на консервативной аудитории или на рынке с сильными религиозными традициями. В такой ситуации публикация сведений о внебрачных похождениях руководителя организации сильно пошатнет позиции компании.

Специалисты по кибербезопасности обращают внимание на то, что многие dating-приложения обладают устаревшими системами защиты, используют слабое шифрование паролей и до сих пор не внедрили систему двухфакторной аутентификации. Из-за этого, например, произошел массовый взлом аккаунтов сервиса OkCupid. Не всем пользователям удалось вернуть украденные учетные записи, так как хакеры успели поменять адреса электронной почты в настройках профилей.

Из dating-сервисов может утекать весьма чувствительная пользовательская информация: приватные фотографии, переписка, географические координаты и т.д.

Бумажная волокита

Довольно много непреднамеренных утечек, которые связаны с влиянием человеческого фактора, по-прежнему случаются, скажем так, через бумагу. Несмотря на то что все чаще документооборот ведется в электронной форме, в организациях по всему миру доля утечек конфиденциальных данных через бумажные носители в 2018 году выросла с 8,2 до 11%. Примерно каждая третья (32,6%) «бумажная утечка» происходит в медицинских учреждениях, также высока доля государственных (20,9%) и муниципальных организаций (11,3%).

Главный фактор существования «бумажных утечек» заключается в том, что во многих компаниях и государственных организациях далеко не всегда соблюдаются правила обращения с документацией. Самая распространенная схема компрометации персональных данных через бумагу связана с нарушением организациями правил списания и уничтожения документов. В России особенно много нарушений такого рода. Например, в Новосибирске к мусорному баку выставили коробки закрывшейся управляющей компании. Были скомпрометированы платежки с фамилиями и адресами квартиросъемщиков.

Крупнейшая утечка конфиденциальной информации с бумажных носителей произошла в Калифорнии. Преступники взломали дверь управления социального обеспечения людей с нарушениями в развитии, проникли в помещение, перерыли множество документов и устроили пожар, чтобы уничтожить улики. По словам чиновников, злоумышленники могли получить доступ к персональным данным около 600 тыс. человек.

Мобильные операторы

Операторы связи обрабатывают и хранят массивы клиентской информации и сведения коммерческого характера. Разумеется, к таким данным приковано повышенное внимание как внешних злоумышленников, так и недобросовестных сотрудников.

В Ирландии данные 37 тыс. абонентов компании Eir оказались скомпрометированными. У сотрудника оператора похитили ноутбук с такой незашифрованной информацией, как имена, адреса электронной почты, номера телефонов и номера счетов абонентов. В компании уверяют, что устройство было защищено паролем, поэтому человеку без серьезной технической подготовки будет сложно его взломать.

К сожалению, нередки случаи, когда сотрудники операторских компаний злоупотребляют своим доступом к клиентским данным. Есть примеры передачи информации абонентов третьим лицам, использования ее для получения кредитов, копирования и модификации. Например, в США технический специалист авторизованного операторского центра Verizon Wireless, получая доступ к телефонам абонентов, отправлял на свой адрес электронной почты их фотографии интимного характера.

Биометрические данные

Сравнительно новый тип информации — биометрия. На основе уникальных биологических и физиологических характеристик можно установить личность человека. Все чаще подобные данные используют для учета рабочего времени и организации пропускной системы на предприятиях. Вполне вероятен сценарий, когда потеря таких сведений приведет к неправомерному доступу на территорию компании.

В ряде стран биометрия используется в процессе всенародного волеизъявления на выборах. К сожалению, уже были примеры утечек баз данных из избирательных комиссий. Последний инцидент произошел в Зимбабве летом 2018 года. Хакеры клонировали домен местного избиркома, проникли в сетевое хранилище и похитили важную информацию о тех, кто имел право на голосование. Помимо базы отпечатков пальцев злоумышленники завладели такими персональными данными, как фотографии, адреса, номера мобильных телефонов, номера национальных идентификаторов.

Уже не первый год для идентификации широко используются отпечатки пальцев. Системы типа Touch ID разработали многие производители смартфонов и ноутбуков. Однако постепенно надежность такого способа снижается. В прошлом году обнаружили опасную уязвимость сканеров отпечатков пальцев для широкой линейки ноутбуков Lenovo. Из-за слабого алгоритма шифрования злоумышленники могли получить доступ к личным данным, хранящимся в программном приложении Fingerprint Manager Pro. Можно только гадать о тяжести последствий для компании, если подобную уязвимость преступники используют с целью доступа к ноутбуку первого лица организации.

Более совершенным способом идентификации, чем отпечатки пальцев, служит распознавание лиц — системы типа Face ID. Но и здесь, как оказалось, нет абсолютной гарантии защиты. В конце 2018 года журналист Forbes Томас Брюстер провел эксперимент: он решил проверить работу систем распознавания лиц на различных смартфонах, используя гипсовую копию своей головы. Брюстер по очереди подносил модель головы к пяти смартфонам, в память которых уже была внесена информация о его настоящем лице. Все четыре устройства на базе Android разблокировать удалось, пусть и не все с первого раза. Не удалось обмануть только систему Face ID на iPhone X. Но специалисты предупреждают, что эти данные тоже можно скопировать.

Как избежать утечки

К сожалению, стопроцентной защиты от утечек информации сегодня не существует. Но компании должны занимать проактивную позицию, чтобы обеспечить максимальный уровень защиты. Спектр внешних угроз усложняется, при этом очень быстро меняется их ландшафт. Как показывает процесс эволюции информационной безопасности, системы защиты должны постоянно совершенствоваться.

К сожалению, от внутренних утечек тоже никуда не деться. Всегда будут не только злонамеренные, но также беспечные, забывчивые и неосторожные сотрудники, чьи действия могут приводить к утечкам информации. Достаточно надежно защититься от внутренних угроз информационным активам и минимизировать влияние человеческого фактора можно путем внедрения систем предотвращения утечек. Например, для этого подойдут решения в области поведенческой аналитики и регулярные мероприятия по цифровой гигиене среди сотрудников. А самим пользователям можно посоветовать хорошо подумать, прежде чем выкладывать информацию о себе в интернет, даже в закрытом режиме.

Автор: Андрей Арсентьев, аналитик группы компаний InfoWatch

РБК, 12.08.2019: https://pro.rbc.ru/news/5d49404c9a79470d22f28f6e