В России две трети утечек информации происходят в СМБ-компаниях

Компания InfoWatch, лидер российского рынка систем защиты корпоративной информации от внутренних угроз, впервые представила отчет, посвященный уровню безопасности информации в СМБ-компаниях. В 2013 году число скомпрометированных записей о клиентах и сотрудниках небольших и средних компаний превысило 129 млн. Если в мире на СМБ-сегмент пришлось чуть менее 40% от общего зафиксированных утечек, то в России этот показатель составил 61%, то есть почти две трети.

До недавнего времени считалось, что проблема утечек конфиденциальной информации не затрагивает малый и средний бизнес, поскольку стоимость информационных активов в сегменте СМБ не столь высока, как в крупных компаниях. Однако результаты исследования показывают, что такое представление ошибочно. В средних компаниях ущерб (в расчете на одну скомпрометированную запись) составляет около 16 долл. США, что на 2,5 долл. больше, чем в крупных организациях.

Доля масштабных утечек в среднем бизнесе также выше, чем в больших корпорациях. В ряде случаев, когда утекали базы данных с числом записей 5 тыс. и более, а ущерб составлял свыше 10 тыс. руб., речь шла именно о малых и средних компаниях (менее 50 ПК и 50-500 ПК соответственно). При этом для среднего бизнеса последствия от утечек крупных массивов ПДн часто более ощутимы, чем для крупных компаний. В таких отраслях, как торговля или туризм, где и представлены в основном небольшие организации, утечка базы данных клиентов может привести к ущербу, сопоставимому с оборотом компании. В целом, только по официальным данным совокупный ущерб СМБ-компаний от утечек составил в 2013 году более 2 млрд долларов.

Доля утечек «неопределенной» природы (когда невозможно определить, был ли инцидент случайным или умышленным), в секторе СМБ очень высока. В компаниях среднего размера этот показатель составил 23%, в небольших организациях – 43%. Для сравнения, в общемировой статистике наличие умысла остается невыясненным лишь в каждом десятом случае. Такая картина свидетельствует о недостаточном распространении DLP-систем в СМБ-секторе, так как использование технических средств позволяет сформировать полную картину инцидента, включая информацию о канале, природе и виновнике утечки.

Распределение утечек по каналам также говорит в пользу невысокого уровня безопасности информации в сегменте СМБ. Небольшие и средние компании чаще, чем крупные, страдают от утечек через съемные носители, сеть и электронную почту, но основным каналом утечек по-прежнему остается бумажная документация. То, что все эти каналы легко контролируются техническими средствами, говорит о слабом распространении DLP-систем в секторе СМБ.

Несмотря на повышение внимания государственных органов к защите персональных данных, в России в 2013 году на долю небольших операторов ПДн пришлось до 66% всех утечек. В мире доля утечек персональных данных в СМБ-компаниях составила 95%, что на 12 п.п. выше, чем в крупном бизнесе.

По данным Аналитического Центра InfoWatch, сотрудники и руководители небольших и средних компаний «сливают» информацию чаще, чем их коллеги в крупном бизнесе (76% против 45%). Этот мнимый парадокс объясняется тем, что крупные компании чаще делегируют определенные задачи контрагентам (утилизация бумажных документов, сервис ИТ-инфраструктуры и проч.), вследствие чего часть утечек неминуемо приходится на долю последних.

В целом же существенных отличий в распределении по виновным в компаниях СМБ и крупном бизнесе нет, что говорит о принципиальной схожести психологии и действий нарушителя либо халатного сотрудника, допустившего утечку. Это означает, что и подходы к защите информации, контролю доступа к данным в СМБ не должны существенно отличаться от подходов, принятых в крупных корпорациях.

«СМБ-компании могут серьезно повысить уровень безопасности информации, сосредоточив внимание на задаче по контролю «проблемных» каналов и защите персональных данных, – говоритСергей Хайрук, аналитик компании InfoWatch. – Несмотря на то, что внедрение систем защиты от утечек в СМБ-компаниях уже началось, сегмент СМБ ждет более простых, недорогих решений, нацеленных на закрытие основных брешей. Появление и широкое внедрение таких решений могло бы поднять защищенность информации в компаниях среднего и малого бизнеса до приемлемого уровня».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обнаружен инфостилер-конструктор, использующий вебхуки Discord

На YouTube и в Discord рекламируется новый инструмент для создания вредоносных программ с функциями кражи данных и получения снимков экрана. Как оказалось, собранные из конструктора зловреды отправляют добычу оператору, используя Discord-функцию Webhooks.

В ИБ-компании Uptycs новому билдеру присвоили имя KurayStealer. Анализ созданного с его помощью семпла показал, что написанный на Python инфостилер схож с другими собратьями, коды которых можно найти в публичных репозиториях — например, на GitHub.

При запуске вредонос прежде всего проверяет используемую версию (бесплатная или коммерческая) и по результатам загружает на машину жертвы файл DualMTS.py или DualMTS_VIP.py. После этого он пытается заменить строку api/webhooks в базе данных приложения BetterDiscord записью Kisses — чтобы обойти защиту и беспрепятственно отправлять краденые данные через вебхуки.

В случае успеха инфостилер делает скриншот, используя Python-модуль pyautogui, и определяет географическое местоположение жертвы через обращение к легитимному сервису ipinfo.io. После этого зловред приступает к сбору данных из приложений (в списке целей числятся два десятка программ, в том числе Discord, Microsoft Edge, Chrome, Opera, Яндекс.Браузер и Sputnik).

В коде KurayStealer аналитики нашли имя создателей — Suleymansha & Portu, а также ссылку для приглашений в канал Discord, посвященный новинке. Его создал пользователь Portu#0022, в профиле которого приведена ссылка на интернет-магазин Shoppy, где числятся и другие вредоносные продукты того же авторства:

 

Профиль Portu также содержит ссылку на учетную запись YouTube — там можно было посмотреть, как пользоваться KurayStealer, однако автор уже удалил деморолик, оставив в аккаунте только мультяшную аватарку и информацию о своем месте жительства (Испания).

В конце апреля в Discord-канале Portu было опубликовано объявление о новом проекте — вирусописатели приступили к созданию шифровальщика.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru