Главная причина взломов и утечек данных в российских компаниях — неучтенные во время инвентаризации цифровые активы, выяснили в компании Bi.Zone. Чаще всего из поля зрения служб безопасности выпадают публичные облачные хранилища вроде Google Drive, DropBox и файлы в них, а также сервисы организации внутренних процессов. Они позволяют злоумышленникам проникать в сети организаций и получать доступ к конфиденциальной информации. Цифровые активы часто остаются неучтенными из-за высокой скорости цифровизации бизнеса: локальные службы безопасности не успевают уследить за новым ПО, считают эксперты.
Цифровая свалка
60% утечек и 85% взломов компьютерных сетей связаны с неучтенными при инвентаризации цифровыми активами, указано в исследовании Bi.Zone. Специалисты компании получили эти сведения, проанализировав данные более 200 российских и иностранных компаний.
— Допустим, в компании работала информационная система (ИС) А. Потом ее меняют на информационную систему В. При этом первую ИС никто не утилизирует, она остается. При этом у нее могут оставаться выходы в интернет. Так как система А перестает даже обновляться, растет риск проникновения через нее злоумышленников, поскольку они могут воспользоваться уязвимостью, которую в компании забыли закрыть соответствующим обновлением, — привел пример генеральный директор компании «Аванпост» Андрей Конусов.
По его словам, также есть риск, что доступ к старой системе может передать злоумышленникам сотрудник компании, который давно в ней не работает. Подобный ключ может позволить получить данные как из скомпрометированной системы, так и из других.
Цифровыми активами исследователи называют также файлы и папки с общим доступом в публичных облачных хранилищах вроде Google Drive и DropBox, различные информационные системы (например, для управления взаимоотношениями с клиентами, для постановки и контроля задач, для электронного документооборота), виртуальные серверы. Нередко при инвентаризации некоторые из этих элементов остаются неучтенными и тем самым выпадают из поля зрения служб информационной безопасности (ИБ).
Перепись накопления
В ходе инвентаризации цифровых активов компания учитывает все свои файлы и сервисы, включая те, которые хранятся или работают в интернете. Если что-либо будет упущено, есть риск утечек или компрометации сети.
— К примеру, сотрудник по ошибке может оставить в общедоступном хранилище файл клиентской базы с паролем по умолчанию (admin, 12345678). При полноценном контроле цифровых активов такие проблемы легче выявить в сжатые сроки — прежде, чем до них доберется хакер, — пояснили авторы исследования.
Похожего мнения придерживается руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев. По его словам, неучтенные активы — по сути, открытая дверь для злоумышленников к конфиденциальным данным.
— Доступные для подключения сетевые сервисы дают возможность любому интернет-пользователю проводить подбор учетных данных к этим сервисам и эксплуатировать уязвимости в программном обеспечении. Затем злоумышленник может развить атаку и проникнуть во внутреннюю сеть компании, провести атаку на отказ в обслуживании, получить доступ к конфиденциальным данным, — сказал старший аналитик Positive Technologies Ольга Зиненко.
Ненадежные облака
Более 60% компаний регистрируют активы лишь в разрезе бухгалтерского и управленческого учета, отметили специалисты Bi.Zone. По их мнению, в этом случае из поля зрения уходят прочие важные для бизнеса активы, не связанные с бухгалтерией и управлением.
— Очень частая ситуация — использование различных внешних файловых обменников, ресурсов для обмена документами, предназначенными для использования исключительно внутри компании. Или, например, использование из-за нехватки ресурсов должным образом незащищенных временных или тестовых машин для хранения резервной копии данных, содержащих конфиденциальную информацию, — рассказал руководитель группы развития бизнеса центра продуктов Dozor компании «Ростелеком-Солар» Алексей Кубарев.
Файлы и папки с общим доступом в публичных облачных хранилищах вроде Google Drive и DropBox действительно одна из самых частых причин утечек и компрометаций, подтвердил Андрей Конусов.
Директор центра экспертизы R-Vision Всеслав Соленик считает, что неучтенными остаются многие «технические» активы, создаваемые службой ИТ для тестирования или собственных нужд, в том числе и учетные записи с привилегированными правами.
— В целом, если что-то создается временно, это редко вносится в реестры инвентаризации и настраивается корректно. А затем оно становится постоянным или конфигурация настроек переносится на промышленные активы, как есть, со всеми недостатками, — пояснил эксперт.
Цифровые активы нередко остаются неучтенными во время инвентаризации из-за того, что локальные ИТ- и ИБ-службы не успевают за высокими темпами цифровизации бизнеса, добавил он. Также некоторые активы оставляют за пределами контура безопасности умышленно — в угоду соблюдения жестких сроков, сказал специалист.
— Когда нужно быстро запустить систему, сервис или сегмент инфраструктуры и высоко давление сроков — проще развернуть серверы или сервисы в обход «бюрократических» процедур, что автоматически делает их неучтенными, — отметил Всеслав Соленик.
В «Ростелеком-Солар» отметили, что, помимо спешки, часто причины обсуждаемых нарушений — нехватка ресурсов и пренебрежение требованиями информационной безопасности ради удобства.