Данные последних исследований продемонстрировали новую тенденцию – рост «сопутствующего ущерба» при утечках информации. «Сопутствующий ущерб» — военный термин, означающий нанесение вреда третьей стороне в ходе атаки основной цели. С недавних пор он получил широкое распространение и в среде информационной безопасности.
Раньше большинство кибератак или утечек информации имели прямое негативное влияние только на компанию, ее клиентов и работников. С недавних пор ущерб также наносится широкому кругу людей, не имеющих прямых бизнес-связей с компаниями-жертвами.
Один из ярких примеров «сопутствующего ущерба» — утечка данных из OPM (Office of Personnel Management) – независимого агентства правительства США, занимающегося подбором и обучением кадров для федеральных органов власти. В июне 2015 «OPM» подтвердила слухи об утечке данных, из-за которой были похищены данные о 21,5 миллионе государственных служащих. В картотеке присутствовала максимально детальная персональная информация: адреса, контактные телефоны, информация о родственных связях, номера социального страхования и отпечатки пальцев.
Но самые большие сложности оказались впереди. Как выяснилось, пострадали не только служащие, так или иначе связанные с OPM, но и члены их семей, друзья и знакомые. Организация собирала детальную информацию об окружении персонала, которая также была украдена. И для многих людей, не состоящих и не связанных с федеральной службой, информация о том, что их персональные данные находятся в руках злоумышленников, стала настоящим шоком.
Данные о родственниках, коллегах или любых других контактах – золотая жила для злоумышленников. Ведь благодаря им можно выйти на нужных работников внутри организации, собрать информацию об образе жизни, привычках или интересах. Такие сведения могут служить отправной точкой для вербовки инсайдера или базисом для действий социальных инженеров при проникновении в организацию.
Еще один пример сопутствующего ущерба, который едва ли не превышает урон, нанесенный людям, непосредственно связанным с компанией — взлом сайта знакомств Ashley Madison. Целевая аудитория ресурса – пользователи, состоящие в браке и ищущие приключения «на стороне». Внезапно личная жизнь посетителей сайта оказалась на всеобщем обозрении. И, если, зарегистрированные пользователи хотя бы приблизительно осознавали риск от использования подобных сервисов, то их «вторые половинки» оказались, мягко говоря, в щекотливой ситуации.
До 2015 года большинство утечек информации вызывали небольшие неудобства у пострадавших, ведь основной целью злоумышленников в большинстве случаев оказывались финансовые учреждения. В случае утечки данных банки уведомляли клиентов, быстро блокировали карты и счета, и отправляли пострадавшим клиентам новые реквизиты. Новый тренд – кража приватной информации, значительно расширяет поле деятельности злоумышленников. Ведь, если банки на протяжении своего существования совершенствуют системы защиты, медицинские учреждения, правительственные организации, брачные агентства остаются практически незащищенными как от кибератак, так и от действий социальных инженеров или инсайдеров.
Поменялась и психология извлечения прибыли. Обычно за утечкой информации следовала банальная кража денег со счетов, продажа данных или разработок конкурентам. Теперь злоумышленники решили упростить себе жизнь. Информация – скоропортящийся продукт, поэтому проще продать данные компании, из которой они были похищены, чем долго искать клиентов, готовых раскошелиться, тратя на это время и ресурсы,.
Шантаж и требование выкупа – чума онлайн-мира, существовавшая более 25 лет. Но, если раньше это были в основном проблемы частных лиц, теперь информационный терроризм перешел в корпоративный сегмент. Не так давно один из медицинских центров Лос-Анджелеса заплатил вымогателям 17 000 долларов за возврат украденной информации. Вариант «не платить» руководством не рассматривался – ущерб пациентам и «сопутствующий ущерб» был бы несоизмеримо выше, и вылился бы в судебные иски и десятки тысяч долларов компенсации.
Ни одна компания не застрахована от атаки злоумышленников. И не всегда ее сотрудники, партнеры или клиенты являются основной целью. Задача любого ответственного бизнеса – защита своей собственности и человеческих ресурсов, так или иначе, связанных с ним. Современные DLP-системы способны предотвратить утечку данных, снизить риски и обнаружить действия инсайдеров. Инвестируя в защиту данных компании страхуют себя от серьезных финансовых затрат, а в некоторых случаях даже от банкротства. Ведь, к сожалению, результаты действий злоумышленников могут нанести серьезный урон, если организация не готова к отражению атаки.
