Утечка персональных данных

Не стоит думать, что утечка персональных данных – это, хоть и пугающая, но временная проблема. На самом деле она способна в корне изменить вашу дальнейшую жизнь. Раскрытие конфиденциальной информации может привести к тяжелым последствиям для бизнеса, правительственных структур и частных лиц. Независимо от того, находитесь ли вы онлайн или нет, хакеры все равно могут добраться до вас с помощью интернета, Bluetooth, SMS-сообщений или онлайн-сервисов, которыми вы пользуетесь.

Без должного внимания даже небольшая уязвимость может привести к масштабной утечке личных данных.

Поскольку многие не знают, что собой представляют современные угрозы безопасности, то и не уделяют им достаточно внимания.

В этой статье мы поговорим о том, как происходит утечка данных и как она может повлиять на вас лично.

Здесь вы получите ответы на часто задаваемые вопросы.

• Что такое утечка персональных данных?
• Что приводит к утечке данных?
• Как утечка данных может повлиять на меня лично?
• Как я могу предотвратить утечку данных?

Прежде всего дадим краткое определение понятию «утечка данных».

Что такое утечка данных?

Утечка данных – это получение доступа к конфиденциальной, личной или защищаемой информации лицом, не имеющим соответствующего разрешения. В результате утечки файлы, содержащие такую информацию, могут быть просмотрены и/или опубликованы без разрешения владельца.

От риска утечки данных не застрахованы ни физические лица, ни крупные предприятия или правительственные структуры. Но гораздо важнее то, что любой человек может подвергнуть такому риску окружающих, если они недостаточно защищены.

К утечке данных могут привести следующие факторы:

• технологические уязвимости;
• поведение пользователей.

По мере того как наши компьютеры и мобильные устройства оснащаются все новыми онлайн-функциями, все больше становится и возможностей для утечки личных данных. Новые технологии разрабатываются быстрее, чем средства их защиты.

Устройства интернета вещей – это прямое доказательство того, что мы все больше ценим удобство в ущерб безопасности.

Многие устройства для «умного дома» имеют очевидные недостатки – например, на них отсутствует шифрование данных. И хакеры этим вовсю пользуются.

Поскольку новые цифровые продукты, услуги и инструменты проходят лишь минимальные тесты на безопасность, эта проблема становится все более актуальной.

Но даже если разработчики будут создавать безупречные технологии, пользователи вряд ли будут постоянно соблюдать цифровую гигиену. Один-единственный человек может стать причиной заражения веб-сайта или целой сети.

Без соблюдения мер комплексной безопасности как на корпоративном уровне, так и на уровне отдельных сотрудников утечка данных практически неизбежна.

Чтобы защитить себя и окружающих, необходимо понимать, как происходит утечка данных.

Как происходит утечка персональных данных?

Считается, что к утечке данных приводят действия сторонних злоумышленников. Однако это не всегда так.

Иногда причиной утечки данных действительно бывает преднамеренная атака хакеров. Но утечка также может быть следствием оплошности сотрудника или уязвимости в инфраструктуре компании.

Вот некоторые возможные причины утечки данных.

• Случайные действия сотрудника. Например: сотрудник воспользовался компьютером коллеги и просмотрел содержащиеся там файлы, не имея соответствующего разрешения. Он получил доступ к этой информации неумышленно и никому не передал ее. Но поскольку информация стала известна постороннему человеку, это считается утечкой.
• Умышленные действия сотрудника. При этом сотрудник намеренно получает доступ к информации и/или распространяет ее, чтобы нанести ущерб компании или физическому лицу. Такой сотрудник может иметь законный допуск к работе с этой информацией, но намеревается использовать ее в неблаговидных целях.
• Потеря или кража устройства. Сюда относится пропажа любого устройства, на котором содержится конфиденциальная информация, например ноутбука или внешнего жесткого диска с незашифрованными и незащищенными паролем данными.
• Умышленные действия стороннего лица. Сюда относятся действия хакеров, которые в результате разного рода атак получают доступ к корпоративным или персональным данным.

Какими методами пользуются злоумышленники

Поскольку утечка данных часто происходит в результате кибератак, следует знать, к чему готовиться.

Вот несколько наиболее распространенных методов, которыми пользуются хакеры:

• фишинг;
• брутфорс-атаки;
• атаки вредоносного ПО.

Фишинг. Этот метод социальной инженерии хакеры используют, чтобы обманом вынудить вас раскрыть свои данные. Хакеры действуют от имени организаций или их представителей, которым вы склонны доверять. Это позволяет легко ввести вас в заблуждение. Злоумышленники пытаются убедить вас передать им конфиденциальные данные или открыть к ним доступ.

Брутфорс-атаки. Более дерзкие хакеры могут использовать для подбора ваших паролей специальные программы.

В ходе брутфорс-атаки они перебирают все возможные сочетания символов для пароля, пока не найдут подходящее. Такие атаки требуют времени, но поскольку компьютеры становятся все более быстродействующими, времени нужно все меньше. Чтобы еще более ускорить процесс, хакеры при помощи вредоносного ПО захватывают и подключают к нему другие устройства. Если у вас слабый пароль, они могут взломать его всего за пару секунд.

Атаки вредоносного ПО. Ваше оборудование, программное обеспечение, операционная система, сети и серверы, к которым вы подключаетесь, могут иметь уязвимости. Злоумышленники ищут бреши в защите, поскольку это прекрасная возможность для внедрения вредоносного ПО. Идеальное средство для кражи личных данных – это программы-шпионы, поскольку их практически невозможно обнаружить. Вы можете не узнать, что ваше устройство заражено, пока не будет слишком поздно.

Что является мишенью для атаки?

Хотя утечка данных может произойти в результате невинной ошибки, по-настоящему серьезный ущерб может быть нанесен, когда постороннее лицо получает доступ к персональным данным или интеллектуальной собственности компании, похищает их и продает с целью наживы или нанесения вреда.

Злоумышленники обычно руководствуются следующим правилом: чтобы подготовить утечку, необходимо все тщательное спланировать. Они изучают свою жертву, чтобы выявить ее слабые места: например, несвоевременное или неудачное обновление ПО или наличие сотрудников, потенциально уязвимых для фишинговой атаки.

Обнаружив слабые места, хакеры ищут способ спровоцировать сотрудников компании по ошибке загрузить вредоносное ПО. Иногда хакеры атакуют сеть компании напрямую.

Внедрившись в систему, злоумышленники получают возможность в свободном режиме искать нужные им данные. Для этого у них есть масса времени, поскольку для обнаружения взлома обычно требуется не менее пяти месяцев.

Обычно мишенями для атаки злоумышленников становятся следующие слабые места.

• Ненадежные пароли. Чаще всего утечки происходят из-за ненадежных паролей или кражи учетных данных. Если злоумышленники знают вашу комбинацию логина и пароля, дорога в вашу сеть перед ними открыта. Поскольку большинство людей используют одни и те же пароли не один раз, то с помощью брутфорс-атак хакеры могут получить доступ к вашей электронной почте, онлайн- и банковским аккаунтам, а также к другим источникам персональных данных и финансовой информации.
• Похищенные учетные данные. Утечка данных в результате фишинга – это серьезный инцидент кибербезопасности. Полученные в результате такой утечки персональные данные преступники могут использовать для получения доступа, например, к вашим онлайн- и банковским аккаунтам.
• Зараженные устройства. С помощью атак различного вредоносного ПО хакеры нарушают процесс аутентификации, который в обычном режиме защищает компьютерные устройства.
• Платежные карты. Злоумышленники устанавливают скиммеры на банкоматы или платежные терминалы на бензоколонках и похищают данные во время каждого контакта устройства с картой.
• Действия третьих лиц. Даже если вы делаете все возможное для защиты своих сетей и информации, злоумышленники могут использовать устройства ваших партнеров, чтобы проникнуть в вашу систему.
• Мобильные устройства. Нередко сотрудникам разрешают пользоваться для работы личными устройствами (модель BYOD). Если эти устройства недостаточно защищены, хакеры через зараженные вредоносным ПО приложения могут получить доступ к содержащимся на них данным. Это может быть адрес служебной электронной почты, рабочие файлы или персональные данные владельца устройства.

Ущерб от утечки данных

Не всегда проблему утечки данных можно решить простой сменой паролей. Иногда это может иметь далеко идущие последствия для вашей репутации, финансового благополучия и многого другого.

Для бизнеса: утечка персональных данных может оказать губительное воздействие на репутацию компании и ее финансовые показатели. Например, такие компании как Equifax, Target и Yahoo в свое время оказались жертвами утечки данных. И до сих пор многие это помнят и ассоциируют название компаний не с их текущими бизнес-достижениями, а с фактом произошедшей утечки.

Для правительственных структур: утечка данных может означать получение иностранцами доступа к крайне конфиденциальной информации. Раскрытие информации о военных операциях, политических договоренностях или сведений о важнейших объектах инфраструктуры может нести серьезную угрозу для правительства и граждан страны.

Для частных лиц: утечка данных – это кража персональной информации, и это очень опасно. В результате утечки может быть похищена любая информация, в том числе ваши паспортные и банковские данные. Как только преступники получат эти данные, они могут от вашего имени осуществлять любые махинации. Кража персональной информации может испортить вашу кредитную историю или создать вам юридические проблемы, и бороться с этим будет трудно.

И это только наиболее типичные ситуации, однако последствия утечки данных могут оказаться еще серьезнее. Поэтому имеет смысл выяснить, не оказались ли ваши данные в открытом доступе. Узнать, не попали ли в сеть данные вашей личной или служебной электронной почты, можно с помощью сервиса https://haveibeenpwned.com/. Этот инструмент сверяет ваши адреса с уже существующими списками утечек и выдает отчет о результатах.

Чтобы узнавать о возможной утечке данных в режиме реального времени, вам понадобится более сложный инструмент мониторинга. Такие решения, как Kaspersky Premium, умеют обнаруживать утечку данных и помогут сориентироваться в ситуации.

Разумеется, лучший способ защитить себя – просто не становиться жертвой. Идеального плана защиты не существует, но есть способы обезопасить себя. Это касается и частных лиц, и организаций.

Как не стать жертвой утечки данных

Чтобы предотвратить утечку данных, нужно задействовать сотрудников компании на всех уровнях: от конечных пользователей до сотрудников IT-отдела.

Составляя план борьбы с атаками и утечками данных, имейте в виду, что ваша защита в целом надежна ровно настолько, насколько безопасно ваше самое слабое звено. Любой человек, взаимодействующий с вашей системой, является потенциальной уязвимостью. Даже ребенок с планшетом, подключенным к вашей домашней сети, может быть фактором риска.

Вот несколько полезных советов, как избежать утечки данных.

• Обновляйте ПО и устанавливайте патчи безопасности сразу же после их появления.
• Защищайте надежным шифрованием конфиденциальную информацию.
• Задумайтесь об апгрейде устройства, если его ПО больше не поддерживается производителем.
• Внедрите политики безопасности для личных устройств, используемых для работы (BYOD): например, установите на все устройства VPN-решения для бизнеса и антивирусную защиту.
• Требуйте использовать надежные пароли и многофакторную аутентификацию, чтобы приучать сотрудников к соблюдению правил кибербезопасности. Полезно также приучить сотрудников пользоваться менеджером паролей.
• Обучайте сотрудников передовым методам киберзащиты и нейтрализации атак с использованием методов социальной инженерии.

Статьи по теме:

• Что делать в случае кражи личных данных
• Что такое социальная инженерия?
• Безопасность веб-сайтов: риски для бизнеса