В России две трети утечек информации происходят в СМБ-компаниях

В России две трети утечек информации происходят в СМБ-компаниях

Компания InfoWatch, лидер российского рынка систем защиты корпоративной информации от внутренних угроз, впервые представила отчет, посвященный уровню безопасности информации в СМБ-компаниях. В 2013 году число скомпрометированных записей о клиентах и сотрудниках небольших и средних компаний превысило 129 млн. Если в мире на СМБ-сегмент пришлось чуть менее 40% от общего зафиксированных утечек, то в России этот показатель составил 61%, то есть почти две трети.

До недавнего времени считалось, что проблема утечек конфиденциальной информации не затрагивает малый и средний бизнес, поскольку стоимость информационных активов в сегменте СМБ не столь высока, как в крупных компаниях. Однако результаты исследования показывают, что такое представление ошибочно. В средних компаниях ущерб (в расчете на одну скомпрометированную запись) составляет около 16 долл. США, что на 2,5 долл. больше, чем в крупных организациях.

Доля масштабных утечек в среднем бизнесе также выше, чем в больших корпорациях. В ряде случаев, когда утекали базы данных с числом записей 5 тыс. и более, а ущерб составлял свыше 10 тыс. руб., речь шла именно о малых и средних компаниях (менее 50 ПК и 50-500 ПК соответственно). При этом для среднего бизнеса последствия от утечек крупных массивов ПДн часто более ощутимы, чем для крупных компаний. В таких отраслях, как торговля или туризм, где и представлены в основном небольшие организации, утечка базы данных клиентов может привести к ущербу, сопоставимому с оборотом компании. В целом, только по официальным данным совокупный ущерб СМБ-компаний от утечек составил в 2013 году более 2 млрд долларов.

Доля утечек «неопределенной» природы (когда невозможно определить, был ли инцидент случайным или умышленным), в секторе СМБ очень высока. В компаниях среднего размера этот показатель составил 23%, в небольших организациях – 43%. Для сравнения, в общемировой статистике наличие умысла остается невыясненным лишь в каждом десятом случае. Такая картина свидетельствует о недостаточном распространении DLP-систем в СМБ-секторе, так как использование технических средств позволяет сформировать полную картину инцидента, включая информацию о канале, природе и виновнике утечки.

Распределение утечек по каналам также говорит в пользу невысокого уровня безопасности информации в сегменте СМБ. Небольшие и средние компании чаще, чем крупные, страдают от утечек через съемные носители, сеть и электронную почту, но основным каналом утечек по-прежнему остается бумажная документация. То, что все эти каналы легко контролируются техническими средствами, говорит о слабом распространении DLP-систем в секторе СМБ.

Несмотря на повышение внимания государственных органов к защите персональных данных, в России в 2013 году на долю небольших операторов ПДн пришлось до 66% всех утечек. В мире доля утечек персональных данных в СМБ-компаниях составила 95%, что на 12 п.п. выше, чем в крупном бизнесе.

По данным Аналитического Центра InfoWatch, сотрудники и руководители небольших и средних компаний «сливают» информацию чаще, чем их коллеги в крупном бизнесе (76% против 45%). Этот мнимый парадокс объясняется тем, что крупные компании чаще делегируют определенные задачи контрагентам (утилизация бумажных документов, сервис ИТ-инфраструктуры и проч.), вследствие чего часть утечек неминуемо приходится на долю последних.

В целом же существенных отличий в распределении по виновным в компаниях СМБ и крупном бизнесе нет, что говорит о принципиальной схожести психологии и действий нарушителя либо халатного сотрудника, допустившего утечку. Это означает, что и подходы к защите информации, контролю доступа к данным в СМБ не должны существенно отличаться от подходов, принятых в крупных корпорациях.

«СМБ-компании могут серьезно повысить уровень безопасности информации, сосредоточив внимание на задаче по контролю «проблемных» каналов и защите персональных данных, – говоритСергей Хайрук, аналитик компании InfoWatch. – Несмотря на то, что внедрение систем защиты от утечек в СМБ-компаниях уже началось, сегмент СМБ ждет более простых, недорогих решений, нацеленных на закрытие основных брешей. Появление и широкое внедрение таких решений могло бы поднять защищенность информации в компаниях среднего и малого бизнеса до приемлемого уровня».

Фейковый 7-Zip превращал компьютеры в прокси-узлы для чужого трафика

Исследователи раскрыли новую группировку Lurking Lizard, которая несколько лет строила бизнес на вредоносных резидентских прокси. Проще говоря, злоумышленники заражали устройства пользователей и превращали их в прокси-узлы, через которые потом можно гонять чужой интернет-трафик.

Владелец устройства при этом мог даже не подозревать, что его домашний IP уже работает на чей-то мутный бизнес.

По данным Infoblox, активность Lurking Lizard прослеживается как минимум с августа 2022 года. Инфраструктура группировки включает более 230 доменов-двойников. Один из свежих примеров — кампания с троянизированным установщиком 7-Zip на домене 7zip[.]com. Пользователь думает, что качает архиватор, а на деле может записать своё устройство в прокси-ботнет.

Группировка не ограничивалась одним брендом. Lurking Lizard имитировала крупные прокси-сервисы, включая IPIDEA, SmartProxy, IP Royal и 911Proxy, а также запускала фейковые независимые сайты с обзорами, чтобы загонять трафик на собственные витрины.

 

Отдельный трюк — покупка истёкших доменов с уже накопленной репутацией. В ход шли и похожие адреса: например, 7zip[.]com вместо настоящего 7-zip[.]org. Однако инфраструктура Lurking Lizard использовалась не только для фейкового 7-Zip.

Исследователи нашли поддельные установщики WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), псевдоинструменты для скачивания TikTok и YouTube, а также WireVPN. Кампания цепляла пользователей Windows, macOS и Android. Одно Android-приложение под брендом WireVPN набрало более 1 млн загрузок, хотя неясно, насколько они были органическими.

Схема работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем заражённые устройства продают как часть прокси-сети. В итоге чужой телевизор, ноутбук или смартфон может внезапно стать транспортом для подозрительного трафика, а проблемы прилетят владельцу IP.

RSS: Новости на портале Anti-Malware.ru