Поделиться
Positive Technologies: киберпреступники требуют до $70 млн за персональные данные
Утечка информации стала одним из главных вызовов для организаций в 2023 г. Об этом свидетельствует исследование Positive Technologies, компании в области кибербезопасности. Утечки происходили в результате каждой второй успешной атаки на организации. Под ударом оказались компании, хранящие персональные данные клиентов, в том числе крупные ритейлеры, медицинские фирмы и книжные интернет-магазины. Преступники вымогали у организаций-жертв десятки миллионов долларов, угрожая опубликовать похищенные сведения. Об этом CNews сообщили представители Positive Technologies.
Персональные данные по-прежнему часто крадут. Так было в 45% успешных атаках на организации в 2023 г. Злоумышленники также похищали данные, составляющие коммерческую тайну (19% атак), учетные данные (11%) и медицинскую информацию (10%).
Особенно остро проблема утечек ощущалась во втором квартале, когда начались массовые атаки на защищенные системы передачи данных. В результате таких инцидентов были скомпрометированы огромные объемы персональных данных, включая паспортные данные миллионов граждан и медицинские записи пациентов. Похищенную информацию злоумышленники использовали для шантажа или продавали на теневом рынке. Так, банда вымогателей LockBit потребовала от самой дорогой компании Азии TSMC выкуп в размере $70 млн.
Прошедший год ознаменовался крупными утечками и у российских компаний, в частности у ритейлеров. В сети было опубликовано более 7 млн строк с данными клиентов магазинов «Ашан Россия»: адреса электронной почты, номера телефонов, адреса доставки или самовывоза. Еще одна крупная утечка произошла в интернет-магазине «Леруа Мерлен». Злоумышленники получили 4,7 млн адресов электронной почты и 3,2 млн телефонных номеров клиентов.
Российские книжные сети также стали жертвами злоумышленников. В открытом доступе оказались 9,6 млн адресов электронной почты клиентов «Читай-города», 5,4 млн уникальных логинов покупателей сети «Буквоед» и около 4 млн строк, содержащих телефонные номера и адреса электронной почты пользователей интернет-магазина book24.
В Positive Technologies отмечают, что причиной утечки данных может стать не только хакерская атака, но и человеческий фактор. Так произошло с полицейской службой Северной Ирландии, когда данные всех 10 тыс. сотрудников оказались в общем доступе из-за недосмотра.
«Украденные персональные данные могут быть использованы злоумышленниками для социальной инженерии, — отметила Ирина Зиновкина, руководитель исследовательской группы Positive Technologies. — По нашим оценкам, в 2023 г. ее использовали практически в половине успешных атак на организации. Основным каналом социальной инженерии была электронная почта (85% атак)».
По мнению экспертов, сведения медицинского характера относятся к категории чувствительной информации, поэтому утечки такого рода вызывают широкий общественный резонанс. Например, ряд американских компаний (биотехнологическая лаборатория 23andMe, клиника Enzo Biochem, компания Harvard Pilgrim Health Care) столкнулись с коллективными исками. Основная причина жалоб пользователей — ненадлежащее обеспечение безопасности личной и медицинской информации. По заявлению злоумышленников, среди скомпрометированных данных были не только записи о состоянии здоровья клиентов, но и генетическая информация высших кругов и наиболее состоятельных семей США и Западной Европы.
В свете растущей угрозы утечек данных возникает потребность в эффективных решениях для обеспечения их безопасности. Компании все еще пользуются большим числом продуктов для обработки и защиты информации. Но разнообразие применяемых инструментов не усиливает безопасность данных, а напротив — усложняет мониторинг угроз и мешает быстро реагировать на вредоносную активность. В таких условиях результативная защита возможна за счет внедрения платформы безопасности данных (data security platform). Решение класса DSP позволяет компаниям реализовать центрированный подход к данным, управлять ими и защищать их независимо от типа и места хранения.
***
Positive Technologies является разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Технологии компании используют около 4000 организаций по всему миру.
Поделиться
Короткая ссылка
