25 октября 2023

Плата за утечку. ГК "Солар" посчитала, сколько бизнес потерял на краже данных

Сред­ний ущерб от утеч­ки ин­фор­ма­ции для рос­сий­ских ор­га­низа­ций в 2023 г. сос­та­вил 5,5 млн руб. Сум­ма не вклю­чает пря­мые фи­нан­со­вые из­дер­жки, не учи­тывает по­тен­циаль­ные ре­пута­цион­ные по­тери и штраф­ные сан­кции.

К таким выводам пришли аналитики группы компаний "Солар". По данным ГК "Солар", с утечками информации чаще всего сталкиваются компании из сферы ретейла (37%), финансового сектора (20%) и игровой индустрии (10%). "Общий объем опубликованных данных составляет 91,8 ТБ. Даже потери 5% конфиденциальных данных от утечек достаточно, чтобы компания утратила лидирующие позиции на рынке. Репутационные потери не поддаются прогнозированию и тесно связаны с финансовыми, так как оказывают прямое воздействие на снижение доходов из-за негативного восприятия компании. По оценкам экспертов ГК "Солар", более 55% средств на ликвидацию последствий таких инцидентов в организациях тратятся именно на решение проблем, связанных с репутационными потерями", - сообщила компания.

Старший аналитик информационной безопасности исследовательской группы Positive Technologies Федор Чунижеков подтвердил ComNews, что количество утечек в России и мире растет, причем утечки конфиденциальной информации являются одной из основных угроз. "Мы зафиксировали в первом полугодии 2023 г. 1607 случаев успешных кибератак в мире, и в 59% этих инцидентов последствиями стали утечки конфиденциальной информации, в то время как за аналогичный период прошлого года зафиксировано 1416 инцидентов, в 42% из которых были утечки конфиденциальной информации", - рассказал Федор Чунижеков.

По его словам, в первом полугодии наиболее подверженными утечкам конфиденциальной информации стали организации из сферы услуг - в 86% инцидентов из этой отрасли были обнаружены утечки конфиденциальной информации. За сферой услуг идет ретейл - в 84% успешных атак отмечены утечки. Третье и четвертое места остались за ИT-компаниями (81%) и медицинскими учреждениями (74%), а замыкают пятерку онлайн-сервисы (70%).

Цифровизация как зона риска

Компания Angara Security полагает, что ретейл, финансовый сектор, гемблинг и другие массовые сервисы чаще других отраслей оказываются в центре внимания из-за утечек персональных данных в силу высокого уровня цифровизации - наличия мобильных приложений и десктопных версий веб-ресурсов, которые аккумулируют миллионы учетных записей.

"Выводы исследования "Солар" во многом совпадают с результатами опроса более 50 CISO ретейлеров и e-commerce-бизнеса, который Angara Security провела летом 2023 г. Свыше 70% специалистов отметили, что за последний год сталкивались с DDoS-атаками на веб-ресурсы, а также изменение характера атак. Они становятся "веерными", хактивисты используют VPS, proxy, VPN и уязвимости абонентского оборудования. Целями являются http- и https-ресурсы и открытые TCP-порты, которые заранее сканируются перед атакой", - сообщила ComNews пресс-служба Angara Security.

По данным компании, в настоящее время до 83% трафика в веб-приложениях составляют API-вызовы, при этом эксперты прогнозируют, что число атак через API-приложения удвоится уже в следующем году. "В этом случае под угрозой оказываются бонусные счета в программах лояльности, платежные данные на онлайн-площадках, в мобильных приложениях маркетплейсов", - подчеркнула пресс-служба Angara Security.

Еще одна важная проблема защищенности веб-приложений - это разрыв между ИT-разработкой и ИБ, отметила пресс-служба Angara Security. "В большинстве случаев приемка безопасности веб-приложений происходит в конце цикла разработки, когда на проверку кода со стороны ИБ-специалистов практически не остается времени. Поэтому необходимо включать безопасность в процесс автоматизации DevOps, чтобы свести количество уязвимостей в готовых продуктах к минимуму. Это позволит значительно оптимизировать обработку уязвимостей, собираемых сканером, которая иногда может занимать до нескольких дней, а также улучшить взаимодействие между различными отделами, работающими над созданием веб-ресурсов и мобильных приложений", - отметила пресс-служба Angara Security.

Защищай и властвуй

Ведущий консультант по информационной безопасности ИБ-компании Innostage Татьяна Никонорова рассказала ComNews, что утечки могут происходить из-за недостатков технической или организационной защиты. "Первая причина устраняется с помощью внедрения грамотно настроенных средств защиты, вторая - повышением осведомленности и мотивации сотрудников. Рассуждая о вероятности утечки данных, сейчас все еще приходится говорить не "если случится утечка", а "когда она случится". А когда она случилась, бороться уже поздно: данные опубликованы. В таком случае нужно минимизировать риск негативных последствий для субъектов - как минимум признать факт утечки и проинформировать о нем", - подчеркнула Татьяна Никонорова.

Она отметила, что на фоне цифровизации персональных данных (появления цифровых паспортов, сервисов госуслуг и др.) стоит ожидать появления новых способов мошенничества и, соответственно, развития методов противодействия им, однако новые технические методы борьбы вряд ли начнут использоваться до конца года. "Будут развиваться организационные методы борьбы с фишингом, социальной инженерией и повышаться качество внедрения и настройки средств защиты. В частности, улучшится осведомленность узких фокус-групп - белых, синих воротничков, детей и пожилых людей", - считает ведущий консультант по ИБ Innostage.

Генеральный директор компании RooX, которая специализируется на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора, Алексей Хмельницкий напомнил, что утечки данных - это комплексная проблема, решение которой тоже должно быть комплексным.

"Основных составляющих для снижения рисков утечек несколько. Первое - разработка систем управления доступом должна проводиться на базе принципа "нулевого доверия", который означает особый контроль доступа сотрудников к информационным системам компании. Даже если пользователь работает внутри корпоративной сети и использует корпоративный компьютер, он должен пройти процедуру идентификации и аутентификации, а при каждом доступе к какому-либо корпоративному ресурсу подтверждать свои права", - считает Алексей Хмельницкий.

По его словам, необходимо обязательное использование многофакторной аутентификации (MFA). "При всех недостатках СМС-кодов они значительно увеличивают безопасность, что подтверждается исследованиями Google и Microsoft в области MFA. Для более серьезных случаев необходимо применять "железные" токены с ключом КЭП или криптографические способы авторизации и аутентификации. В идеале аутентификация должна быть адаптивной с анализом контекста аутентификации, в том числе с использованием средств Machine Learning", - рассказал гендиректор RooX.

Он добавил, что среди других составляющих комплексной защиты от утечек данных - антивирусная проверка файлов, использование специализированного ПО для защиты от утечек данных (DLP), внедрение системы управления мобильными устройствами, находящимися у сотрудников (MDM), и применение файерволов для защиты веб-приложений.

Источник: Comnews

Приглашаем на конференцию для директоров по маркетингу и PR-руководителей ИТ-компаний 

5 июня 2024

На мероприятии встретятся директора по маркетингу и PR-руководители крупных российских ИТ-компаний.

 

Экс-редактор Comnews присоединился к команде iTrend

30 мая 2024

На позицию руководителя проектов коммуникационного агентства iTrend вышел Денис Шишулин – ранее многолетний выпускающий редактор издательской группы ComNews, одного из самых авторитетных ИТ-изданий в России. В iTrend Денис будет отвечать за стратегическое руководство ряда PR-проектов с ИТ-компаниями, оперативное взаимодействие со СМИ, координацию работы команд, а также за качество проектов, которыми руководит в агентстве.

 

iTrend — в числе топ-агентств России по версии «Рейтинга Рунета»

28 мая 2024

Опубликованы итоги ранкинга коммуникационных агентств от «Рейтинга Рунета–2024». iTrend занял лидирующие места в ключевых для агентства срезах — PR в ИТ-отрасли, SMM в ИТ-отрасли, PR и SMM на аудиторию b2b enterprise, PR-аналитика, PR первых лиц и др.

 

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 
Все новости iTrend