Wycieki danych – jak można im zapobiec?
Wyciek danych oraz naruszenie bezpieczeństwa danych to incydenty, podczas których dochodzi do ujawnienia poufnych, wrażliwych lub chronionych informacji osobom nieuprawnionym. Mogą one nastąpić wskutek zaniedbań firmy lub ataku skutecznie łamiącego stosowane w organizacji zabezpieczenia. Ze względu na zwiększanie się z każdym rokiem liczby systemów, aplikacji i danych wzrasta „powierzchnia ataku” wykorzystywana przez cyberprzestępców, czyli zakres celów i technik, którymi mogą się oni posługiwać. W artykule piszemy o tym, w jaki sposób dane wyciekają z firm i jak zminimalizować ryzyko takich incydentów.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Opracowany przez Verizon raport „2021 Data Breach Investigation”1, w którym zbadano potwierdzone przypadki z całego świata, mówi o wzroście liczby wycieków danych z 3950 przypadków wymienianych w raporcie z 2020 do 5258 wg statystyk w 2021. 85 procent incydentów wycieku informacji miała miejsce wskutek phishingu, wykradzenia danych uwierzytelniających lub innych metod, w których wykorzystano słabość tzw. elementu ludzkiego. Według klasyfikacji Verizon 3 procent wycieków danych wynikało z wykorzystania luk w zabezpieczeniach. Rozpiętość kosztów, ponoszonych przez pokrzywdzone organizacje, dla wszystkich rodzajów incydentów wynosiła od 69 USD do ponad 1,5 miliona dolarów2.
Wycieki danych powodują straty wizerunkowe i finansowe
Do najbardziej znanych incydentów, które miały miejsce w ubiegłym roku, należy niewątpliwie wyciek danych osobowych ponad 533 milionów użytkowników Facebooka, odnotowany w kwietniu 20213. Zbiór danych zawierał numery telefonów, imiona i nazwiska, lokalizacje, daty urodzenia i adresy e-mail użytkowników. W 2021 na czarny rynek trafiły także dane 700 milionów użytkowników LinkedIn4, obejmujące m.in. adresy e-mail, imiona i nazwiska, numery telefonów, a także opisy doświadczenia zawodowego oraz dane o kontach w mediach społecznościowych.
W marcu 2021 na lokalnych serwerach Microsoft Exchange wykryto cztery exploity dnia zerowego, czyli luki w oprogramowaniu nie znane jeszcze jego producentowi. Exploity te zostały zainstalowane prawdopodobnie jeszcze w styczniu. Dały one atakującym pełny dostęp do e-maili i haseł użytkowników na zagrożonych serwerach oraz uprawnienia administratora na serwerze. W efekcie, pomimo szybkiej reakcji ze strony Microsoft, według różnych szacunków, od 30 do 125 tys. serwerów padło ofiarą naruszenia danych5.
W październiku 2021 Accenture oficjalnie potwierdził, że padł ofiarą ransomware LockBit, a atak miał miejsce latem 20216. Przestępcy dokonali kradzieży sześciu terabajtów danych i zażądali okupu w wysokości 50 milionów dolarów. Nie wiadomo jakiego rodzaju dane atakujący byli w stanie ukraść. Jednak ze względu na to, że firma nie wysłała do klientów powiadomień o naruszeniu bezpieczeństwa ich danych, prawdopodobnie nie były to ich dane osobowe.
W jaki sposób dochodzi do naruszeń bezpieczeństwa danych?
Do wycieku danych może dochodzić w związku z celowymi atakami osób spoza firmy lub wewnątrz, ale nie zawsze musi tak być. Czasami przyczyną może być przeoczenie, błąd lub nieuwaga osób, które mają do czynienia z danymi lub wad w infrastrukturze informatycznej firmy. Przyjmuje się, że naruszenie danych może mieć miejsce w wyniku:
1. Działań przypadkowego Insidera (ang. Accidental Insider).
Do tego rodzaju zagrożeń wewnętrznych dochodzi w wyniku szkodliwych, ale nie uświadamianych zachowań ze strony pracowników. Ich działania prowadzą do uszkodzenia systemu lub sieci lub utraty wrażliwych danych. Nieumyślny udział w incydencie może mieć miejsce nawet wtedy, gdy pracownik nieświadomy zamiarów cyberprzestępcy podającego się za serwisanta, wpuszcza go do budynku data center, ufając jego dobrym intencjom.
2. Działań złośliwego Insidera (Malicious Insider).
W tym przypadku osoba atakująca celowo uzyskuje dostęp do danych swojej firmy lub udostępnia go przestępcom z zamiarem wyrządzenia szkody osobie lub firmie. Złośliwy insider może posiadać upoważnienie do korzystania z danych, ale korzysta z tego upoważnienia w bezprawny sposób.
3. Zgubienia lub ukradzenia urządzenia.
Przyczyną wycieku danych może być niezaszyfrowany i niezabezpieczony laptop, telefon lub zewnętrzny dysk twardy — wszystko, co zawiera poufne informacje.
4. Działań przestępców z zewnętrz.
Cyberprzestępcy wykorzystują różne wektory ataku do zbierania informacji z sieci lub od pracowników. Mogą oni stosować takie metody jak:
- wyłudzanie informacji
- ataki Brute Force
- złośliwe oprogramowanie
Wyłudzanie informacji. Tego rodzaju ataki socjotechniczne mają na celu nakłonienie użytkownika do naruszenia bezpieczeństwa danych. Atakujący wykorzystując tzw. phishing podszywają się pod osoby lub organizacje, którym ufa użytkownik i próbują nakłonić go do przekazania dostępu do danych wrażliwych lub dostarczenia samych danych.
Ataki Brute Force. W tym przypadku atakujący stosuje narzędzia programowe do odgadnięcia haseł, co pozwala mu uzyskać dostęp do danych.
Złośliwe oprogramowanie. System operacyjny, oprogramowanie, firmowy sprzęt lub sieć i serwery, mogą posiadać luki w zabezpieczeniach. Wykorzystują je cyberprzestępcy do uruchamiania na nich złośliwego oprogramowania. Jednym z efektów działań tego oprogramowania może być wykradanie firmowych danych.
Jak chronić się przed wyciekiem danych?
Zapobieganie naruszeniom danych powinno być wpisane w polityki bezpieczeństwa i obejmować wszystkich pracowników, na wszystkich poziomach — od użytkowników końcowych poprzez firmowych specjalistów po personel IT. Do najistotniejszych dobrych praktyk związanych z ochroną danych zaliczyć można:
- Łatanie i aktualizowanie oprogramowania pozwalające zapobiegać istnieniu luk w zabezpieczeniach systemów przedsiębiorstwa oraz urządzeń
Usprawnienie w tym obszarze pozwalają uzyskać narzędzia służące do zarządzania lukami w zabezpieczeniach i zgodnością, czyli Vulnerability and Compliance Management (VCM). VCM zapewnia stały monitoring infrastruktury i zasobów IT pod kątem luk w zabezpieczeniach i zgodności z najlepszymi praktykami.
- Szyfrowanie danych, dotyczące zarówno komunikacji jak i danych przechowywanych na firmowych urządzeniach – laptopach, telefonach, dyskach.
- Wymiana urządzeń, gdy ich oprogramowanie nie jest już wspierane przez producenta.
- Egzekwowanie zasad bezpieczeństwa użytkowania prywatnych urządzeń do celów służbowych czyli BYOD (Bring Your Own Device). W tym przypadku wymagane jest, aby wszystkie urządzenia korzystały z usług szyfrowania komunikacji oraz ochrony antywirusowej.
- Wymuszanie silnych poświadczeń i uwierzytelniania wieloskładnikowego.
- Edukowanie pracowników w zakresie najlepszych praktyk bezpieczeństwa i sposobów unikania ataków socjotechnicznych.
- Regularne audyty stanu bezpieczeństwa oraz Badanie Wrażliwości weryfikujące możliwe luki w obronie przed cyberzagrożeniami.
Usługa Badania Wrażliwości realizowana jest przez T‑Mobile. Pozwala ona zweryfikować rzeczywistą odporność na ataki oraz wykryć podatności. Elementami ocenianymi w trakcie tej analizy są: infrastruktura teleinformatyczna, zabezpieczenia aplikacji WEB, punkt styku z Internetem oraz kultura bezpieczeństwa. Weryfikacji podlega także sposób ochrony systemów pocztowych w organizacji.
Przeprowadzanie regularnych audytów w celu zidentyfikowania potencjalnych luk w ochronie danych pozwala zweryfikować stan bezpieczeństwa całej organizacji. Audyt bezpieczeństwa pomaga ocenić skuteczność stosowanych polityk bezpieczeństwa wykorzystując do tego ocenę podatności oraz testy penetracyjne. Czynności audytowe uwzględniają dynamiczny charakter organizacji, a także sposób, w jaki zarządza się w niej bezpieczeństwem. Zespół wykonujący audyt i testy penetracyjne musi posiadać odpowiednie kompetencje, posługiwać się najnowszą metodologią i uwzględniać w testach najnowsze techniki ataków. Tego rodzaju usługi audytowe oferuje m.in. T Mobile. Do przeprowadzanych przez tego operatora testów należą: testy penetracyjne sieci, infrastruktury i aplikacji, a także symulacje cyberataków na zlecenie klienta. Organizacje mogą skorzystać także z usług doradztwa w obszarze bezpieczeństwa teleinformatycznego oraz przeprowadzenia testów porównawczych poszczególnych technologii.
Podsumowanie
Przypomnijmy najważniejsze informacje dotyczące wycieków danych oraz zapobiegania tym incydentom:
- Raport Verizon „2021 Data Breach Investigation” mówi o wzroście liczby wycieków danych z 3950 przypadków wymienianych w raporcie z 2020 do 5258 wg statystyk w 2021. 85 procent incydentów wycieku informacji miała miejsce wskutek phishingu, wykradzenia danych uwierzytelniających lub innych metod, w których wykorzystano słabość tzw. elementu ludzkiego
- Do działań przypadkowego Insidera (ang. Accidental Insider) dochodzi w wyniku szkodliwych, ale nie uświadamianych zachowań ze strony pracowników. Ich działania prowadzą do uszkodzenia systemu lub sieci lub utraty wrażliwych danych
- Do działań złośliwego Insidera (Malicious Insider) dochodzi w, kiedy przypadku osoba atakująca celowo uzyskuje dostęp do danych swojej firmy lub udostępnia go przestępcom z zamiarem wyrządzenia szkody osobie lub firmie. Złośliwy insider może posiadać upoważnienie do korzystania z danych, ale korzysta z tego upoważnienia w bezprawny sposób
- Najważniejszym działaniem zapobiegającym wyciekom danych jest łatanie i aktualizowanie oprogramowania, pozwalające zapobiegać istnieniu luk w zabezpieczeniach systemów przedsiębiorstwa oraz urządzeń
- Dostarczane przez T‑Mobile Vulnerability Management działa poprzez agenta Crowdstrike, który analizuje, wykrywa i wskazuje podatności systemów operacyjnych oraz aplikacji znajdujących się na serwerze lub komputerze PC użytkownika
- Realizowane przez T‑Mobile Badanie Wrażliwości (Security Awareness) pozwala zweryfikować rzeczywistą odporność na ataki. Komponentami ocenianymi w trakcie tej analizy są: infrastruktura teleinformatyczna, zabezpieczenia aplikacji WEB, punkt styku z Internetem oraz kultura bezpieczeństwa
- Regularne audyty wykonywane w celu zidentyfikowania potencjalnych luk w ochronie danych pozwalają zweryfikować stan bezpieczeństwa całej organizacji
1https://www.verizon.com/business/resources/reports/dbir/2021/results-and-analysis/
2https://icn.iowa.gov/news/diving-verizons-2021-data-breach-investigation-report
3https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4?IR=T
4https://fortune.com/2021/06/30/linkedin-data-theft-700-million-users-personal-information-cybersecurity/
5https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/
6https://www.securityweek.com/accenture-confirms-data-stolen-ransomware-attack
Data publikacji: 18.02.2022