Что такое нарушение безопасности данных?
Узнайте, как выявить нарушение безопасности данных, и изучите стратегии предотвращения и реагирования для защиты своей организации.
Определение нарушения безопасности данных
Нарушение безопасности данных — это связанный с безопасностью данных инцидент, в ходе которого личные сведения или конфиденциальные данные похищаются или изымаются из системы без ведома или разрешения владельца. Это может произойти с организацией любого размера, от малого бизнеса и крупных предприятий до государственных учреждений и некоммерческих организаций. Нарушение означает получение доступа к персональным данным, таким как номера социального страхования, банковские счета, финансовые данные, медицинские сведения, интеллектуальная собственность и записи клиентов. Нарушения безопасности данных могут быть как преднамеренными, так и непреднамеренными и совершаться людьми изнутри или извне организации.
Нарушения безопасности данных могут привести к серьезным долгосрочным проблемам, в том числе ущербу для репутации, финансовым потерям, перебоям в работе, юридическим последствиям и потере интеллектуальной собственности. Сегодня во многих организациях реализованы рекомендованные практики кибербезопасности для предотвращения нарушений безопасности данных.
Типы нарушений безопасности данных
Нарушения безопасности данных часто считают синонимом кибератаки, однако эти два термина не взаимозаменяемы. Кибератаки могут быть нацелены на любое подключенное к сети устройство и связаны или не связаны с раскрытием конфиденциальных данных, в то время как нарушения безопасности данных представляют собой исключительно раскрытие, порчу или уничтожение конфиденциальной информации.
Вот список наиболее распространенных типов нарушений безопасности данных.
Нарушение безопасности данных извне
Этот тип нарушения безопасности представляет собой инцидент безопасности, в ходе которого злоумышленник, находящийся за пределами организации, крадет данные.
- Кибератаки хакеров. Получение несанкционированного доступа к устройству, сети или системе для повреждения данных или передачи их вовне.
- Фишинг и социальная инженерия. Отправка мошеннических сообщений, которые маскируются под сообщения из надежных источников, чтобы обманным путем заставить жертву раскрыть личную информацию.
- Программы-шантажисты. Такая программа угрожает жертве уничтожением важных данных либо блокирует доступ к ним до тех пор, пока не будет выплачен выкуп.
- Вредоносное ПО. Повреждает устройства в конечных точках или нарушает их нормальное использование с помощью вредоносных приложений или программного кода, что, в свою очередь, ведет к недоступности данных.
- DDoS. Атака этого типа направлена на веб-сайты и серверы. Она нарушает работу сетевых служб, чтобы исчерпать ресурсы приложений и помешать доступу к данным.
- Взлом корпоративной почты (BEC). Электронные сообщения, цель которых — обманом заставить получателя отправить деньги или разгласить конфиденциальную информацию компании.
Нарушение безопасности данных изнутри
Такие нарушения происходят внутри организации и совершаются людьми, у которых есть авторизованный доступ к данным.
- Киберугрозы изнутри. Действующие сотрудники, подрядчики, партнеры и авторизованные пользователи, которые злонамеренно или случайно злоупотребляют имеющимся у них доступом, создавая возможности для инцидентов с нарушением безопасности данных.
- Случайное раскрытие данных. Недостаточные меры безопасности, человеческие ошибки или то и другое вместе, результатом которых является инцидент безопасности.
Распространенные жертвы нарушения безопасности данных
Обычно злоумышленники похищают информацию с целью получения финансовой выгоды. Жертвой нарушения безопасности данных может стать любое лицо или организация, однако в некоторых отраслях это происходит чаще. Отрасли могут подвергаться кибератакам в силу своей природы. Например, это могут быть государственные учреждения, предприятия здравоохранения, образования и энергетики, коммерческие компании. Недостаточные меры безопасности также повышают риск того, что организация станет жертвой нарушения безопасности данных. Это бывает, если в организации не устанавливаются исправления уязвимостей программного обеспечения, используются слабые пароли, пользователи легко поддаются фишингу, происходят утечки учетных данных и не используется шифрование электронной почты.
К типам информации, на которую чаще всего нацеливаются злоумышленники, относятся:
- Идентифицируемые данные конечного пользователя. Любые сведения, идентифицирующие личность человека, такие как имя, номер социального обеспечения, дата и место рождения, номер телефона, адрес электронной почты и домашний адрес.
- Защищенная медицинская информация. Электронные и бумажные записи, по которым можно определить пациента и его состояние здоровья, анамнез и лечение. Это могут быть демографические данные, личные сведения, медицинские записи, данные медицинского страхования и номера счетов.
- Интеллектуальная собственность. Нематериальные активы человеческого разума, такие как патенты, авторские права, товарные знаки, франшизы, коммерческие тайны и цифровые активы. К примерам относятся логотипы компании, музыка, программное обеспечение для компьютеров, изобретения, имена доменов и литературные произведения.
- Финансовые и платежные данные. Любая личная и финансовая информация, которую можно получить из платежей, например номера кредитных или дебетовых карт, действия по оплате, отдельные транзакции и данные на уровне компании.
- Данные, важные для бизнеса. Любая информация, необходимая для успеха компании, в том числе исходный программный код, бизнес-планы, документы по слиянию и приобретению, а также данные, которые должны храниться в соответствии с нормативными соображениями и требованиями закона.
- Данные, связанные с работой компании. Данные, необходимые для повседневной работы организации. Это могут быть финансовые отчеты, юридические документы, пакетные файлы, счета-фактуры, отчеты о продажах и ИТ-файлы.
Последствия нарушений безопасности данных
Нарушения безопасности данных могут повлечь за собой затраты времени и денег и долгосрочный ущерб для любой жертвы, будь то физическое лицо, коммерческое предприятие или государственная организация. Для предприятий нарушения безопасности данных могут повлечь за собой ущерб для репутации и потерю доверия клиентов. Бывает, что имя компании навечно остается связано с инцидентом в сознании публики. Кроме того, может существенно пострадать прибыльность из-за потери заказов, необходимости выплаты штрафов, компенсаций и судебных расходов.
В правительственных организациях могут возникнуть осложнения от утечки данных военного характера, политических стратегий и национальных данных за рубеж, что может привести к серьезным киберугрозам для правительственных органов и граждан. Мошенничество — одна из наиболее распространенных киберугроз для физических лиц. Злоумышленники могут испортить кредитный рейтинг жертвы, создать ей юридические и финансовые проблемы и совершить кражу личности.
Реальные нарушения безопасности данных и их финансовые последствия
Интернет-провайдеры
С 2013 по 2016 г. крупный поставщик веб-служб в США был жертвой практически самого большого нарушения безопасности данных в истории. Злоумышленники получили доступ к данным всех 3 миллиардов пользователей: к их именам, датам рождения, номерам телефонов, паролям, контрольным вопросам и ответам, а также адресам электронной почты. Все это было достигнуто с помощью электронных писем, содержащих ссылку. Весь масштаб утечки был неизвестен публике, пока компанию-жертву не приобрела другая компания. Проблемы с безопасностью привели к снижению цены покупки на 350 миллионов долларов США.
Кредитное бюро
В 2017 году хакеры взломали кредитное бюро в США, похитив персональные данные более 147 миллионов американцев. На сегодняшний день эта атака считается одним из самых крупных киберпреступлений, связанных с кражей личности. Злоумышленники получили доступ в сеть, а затем перешли на другие серверы для доступа к персональным данным, в том числе номерам социального страхования, водительских удостоверений и кредитных карт. В конечном итоге эта кибератака обошлась компании в 1,4 миллиарда долларов США штрафов и сборов для возмещения ущерба.
Розничная компания
В 2007 году в родительской компании двух крупных розничных сетей было выявлено нарушение безопасности данных потребителей, которое на тот момент было самым крупным нарушением в истории США с самым большим финансовым ущербом. Хакеры получили доступ к данным клиентов, незаконно войдя в платежные системы магазина. Это позволило взломать почти 94 миллиона записей клиентов, что привело к финансовым потерям на сумму более 256 миллионов долларов США.
Жизненный цикл нарушения безопасности данных
Каждое нарушение безопасности данных, независимо от метода, имеет жизненный цикл, состоящий из пяти этапов. Понимание этих этапов поможет вам реализовать профилактические меры, снижающие риск нарушения безопасности данных.
- Рекогносцировка и сканирование уязвимостей
Жизненный цикл нарушения безопасности данных начинается с того, что злоумышленник обнаруживает слабые места намеченной жертвы — системы, физического лица или организации. Затем злоумышленники определяют стратегию, подходящую для данного типа уязвимости.
- Начальный взлом
При сетевой кибератаке злоумышленники используют слабые места в инфраструктуре намеченной жертвы. В кибератаке методом социальной инженерии злоумышленники отправляют вредоносное сообщение электронной почты или используют для взлома другую тактику социальной инженерии.
- Перемещение вбок и повышение привилегий
Перемещение вбок — это часть жизненного цикла, в течение которой злоумышленники глубже внедряются в сеть после первоначального доступа. Затем они используют методы повышения привилегий (эскалацию привилегий) для достижения своих целей.
- Кража данных
Это форма нарушения безопасности, подразумевающая намеренное несанкционированное копирование, передачу или перемещение данных из компьютера, устройства, приложения, службы или базы данных.
- Заметая следы
На последней стадии жизненного цикла нарушения безопасности данных злоумышленники заметают следы, то есть скрывают все улики, чтобы не быть пойманными. Сюда может входить отключение функций аудита, стирание журналов или манипуляции с файлами журналов.
Выявление нарушений безопасности данных и реагирование на них
Обнаружение и быстрое реагирование — важнейшие шаги для минимизации ущерба от нарушения безопасности данных. Любое промедление в расследовании может повредить вашему бизнесу и снизить его прибыльность, а значит, каждая минута на счету. Существует семь основных шагов по выявлению нарушений безопасности данных и реагированию на них. Вот эти шаги.
- Определите тип нарушения безопасности данных
Признаками могут быть поиск уязвимостей системы безопасности, нарушение безопасности общей сети или уведомление о кибератаке. Признак означает, что нарушение безопасности уже произошло или происходит прямо сейчас — часто оно обнаруживается по подозрительным электронным письмам или действиям, связанным с безопасностью входа. Нарушение безопасности также может проводиться изнутри компании, когда уходящие сотрудники совершают кражу данных.
- Немедленно примите меры предосторожности
Зафиксируйте дату и время выявления инцидента. Затем о нарушении следует сообщить внутренним заинтересованным сторонам, а потом ограничить доступ к данным.
- Соберите доказательства
Обратитесь к лицам, которые выявили нарушение безопасности, проверьте средства кибербезопасности и проверьте перемещения данных в приложениях, службах, серверах и устройствах.
- Проанализируйте нарушение
Изучите связанные с нарушением трафик, доступ, длительность, программное обеспечение, данные и людей, а также тип нарушения безопасности.
- Примите меры предосторожности по ограничению, уничтожению и восстановлению
Действуйте быстро, чтобы ограничить доступ к серверам и приложениям, предотвратить уничтожение улик и начать восстановление прежнего состояния серверов.
- Известите заинтересованных лиц
Уведомите заинтересованных лиц и правоохранительные органы о нарушении безопасности.
- Сосредоточьтесь на защитных мерах
Изучите нарушение, чтобы сделать выводы и получить новую информацию для предотвращения будущих нарушений.
Средства для обнаружения нарушений безопасности данных и реагирования на них
Существуют специальные средства для отслеживания оповещений и быстрого реагирования на нарушения безопасности данных. В число этих средств входят системы защиты и реагирования, а также безопасности данных.
- Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) отслеживают весь сетевой трафик и обнаруживают признаки возможных киберугроз.
- Система управления информационной безопасностью и событиями безопасности (SIEM) помогает организациям обнаруживать и анализировать угрозы безопасности и реагировать на них, прежде чем они нанесут ущерб работе бизнеса.
- Планирование и выполнение реагирования на инцидентыПланирование и выполнение реагирования на инциденты подразумевает реализацию управления доступом — важный этап операций безопасности.
- Специалисты по кибербезопасности специализируются на реагировании на инциденты, разработке процедур, выполнении аудита и выявлении уязвимостей.
- Решения для защиты данныхРешения по обеспечению безопасности данных, в том числе для защиты от потери данных и управления внутренними рисками, помогают обнаружить критические риски безопасности данных до того, как они перерастут в реальные инциденты.
- Адаптивная защитаАдаптивная защита позволяет автоматически применять строгие меры безопасности к пользователям с высоким уровнем риска и сводить к минимуму последствия возможных инцидентов безопасности данных.
Предотвращение нарушений безопасности данных
Разработка планов и политик для предотвращения и уменьшения ущерба в результате нарушений безопасности данных важна для любой организации. Сюда может входить комплексный план реагирования на инциденты, содержащий подробные процедуры, выделенная группа реагирования, а также способы обеспечения непрерывности работы и восстановления в случае инцидента.
Один из способов выявления сильных и слабых мест в управлении в условиях кризиса в вашей организации — "кабинетные игры", которые представляют собой симуляцию нарушений безопасности данных. Наконец, сотрудничество между внутренними и внешними заинтересованными лицами — мощный инструмент для получения информации, сбора выводов и совместной работы для укрепления безопасности организации.
Как для малого бизнеса, так и для крупных предприятий, государственных учреждений или некоммерческих организаций будут полезны перечисленные ниже эффективные меры.
- Пристальный контроль доступа
- Частые, обязательные учебные курсы по безопасности для сотрудников
- Методы шифрования и маскировки данных
- Управление исправлениями и оценка уязвимостей
- Технологии ИИ и машинного обучения для безопасности данных
- Парадигма "Никому не доверяй"
- Защита информации
- Решения для защиты от потери данных (DLP)
- Управление внутренними рисками
- Биометрическая или двухфакторная проверка подлинности (2FA)
Обеспечьте предотвращение, обнаружение и реагирование на нарушения безопасности данных в вашей организации с помощью продуктов защиты данных Майкрософт, которые могут:
- Держать вашу организацию в курсе новейших решений и рекомендованных методик безопасности данных.
- Предотвратить дорогостоящий и долговременный ущерб для организации.
- Защитить от основных киберугроз, направленных на репутацию компании, работу бизнеса и прибыльность.
Подробнее о Microsoft Security
Управление информацией и системное управление
Обеспечьте безопасность данных, где бы они ни находились. Защищайте конфиденциальные данные в облаке, приложениях и на устройствах.
Microsoft Purview
Ознакомьтесь с решениями для управления корпоративными данными, их защиты и обеспечения соответствия требованиям.
Защита от потери данных Microsoft Purview
Пользуйтесь интеллектуальными средствами для выявления и контроля конфиденциальной информации в Office 365, OneDrive, SharePoint, Microsoft Teams и на конечных точках.
Управление жизненным циклом данных Microsoft Purview
Обеспечьте выполнение юридических, деловых, конфиденциальных и нормативных обязательств благодаря встроенной системе управления информацией и интеллектуальным возможностям.
Защита информации Microsoft Purview
Выявите конфиденциальные и критически важные для бизнеса данные, а затем обеспечьте их контроль и защиту во всей корпоративной среде.
Управление внутренними рисками Microsoft Purview
Оперативно выявляйте и нейтрализуйте внутренние риски благодаря интегрированному комплексному решению.
Вопросы и ответы
-
Нарушение безопасности данных означает, что кто-то случайно или злонамеренно получил доступ к конфиденциальным или персональным данным, не имея на то права.
-
Примерами нарушений безопасности данных могут быть кибератаки для доступа к информации клиентов, создание сторонним злоумышленником сайта, имитирующего реальный сайт, или случайное скачивание сотрудником файла, содержащего вирус.
-
Нарушение безопасности данных — это нарушение безопасности, предоставляющее злоумышленникам конфиденциальную информацию. Взлом означает получение доступа к сетям или устройствам и нарушение безопасности этих систем.
-
Если у вас произошло нарушение безопасности данных, вам грозит кража, мошенничество и множество долгосрочных проблем. Важно принять немедленные меры: отреагировать на кибератаку и защититься от дальнейшего ущерба.
-
Посетите веб-сайт настоящей компании, проконсультируйтесь с кредитным учреждением или запустите проверку со стороннего веб-сайта, чтобы выявить нарушение безопасности данных. Также важно отслеживать подозрительную активность в учетных записях и файлах.
-
Нарушения безопасности данных происходят при наличии уязвимости в сети, устройстве или системе. В число уязвимостей могут входить слабые пароли, социальная инженерия, неустановка исправлений уязвимостей приложений, внутренние риски и вредоносные программы.
Следите за новостями Microsoft 365