Порушення безпеки – це будь-який інцидент, наслідком якого є несанкціонований доступ до цифрових даних, додатків, мереж або пристроїв. Внаслідок такого інциденту доступ до інформації отримують ті, для кого вона не призначена. Як правило, це відбувається, якщо нападнику вдалося обійти механізми захисту.
З технічної точки зору існує різниця між порушенням безпеки та витоком даних. Порушення безпеки можна порівняти з незаконним проникненням на чужу територію, тоді як витік даних означає, що кіберзлочинець виніс звідти інформацію. Уявіть собі грабіжника: коли він пролазить через кватирку до вашої оселі – це порушення безпеки; коли він ховається з вашим ноутбуком – це витік даних.
Конфіденційна інформація має велику цінність. У тіньовому інтернеті, наприклад, продають імена та номери кредитних карток – цю інформацію потім можуть використовувати для крадіжки особистості та в шахрайських цілях. Не дивно, що випадки порушення безпеки в компаніях спричиняють величезні збитки. Для великих корпорацій збитки від одного інциденту в середньому становлять майже 4 млн доларів.
Крім того, важливо розмежувати визначення порушення безпеки та інциденту безпеки. Інцидент безпеки може бути пов’язаний із зараженням шкідливим ПЗ, DDoS-атакою, втратою корпоративного ноутбука, але якщо це не спричинило несанкціонований доступ до мережі або втрату даних, такий інцидент не вважається порушенням безпеки.
Порушення безпеки: приклади
Коли з порушенням безпеки стикається велика організація, це завжди потрапляє до новин. Ось приклади порушень безпеки:
Equifax
У 2017 р. вразливість веб-додатку стала причиною витоку персональних даних 145 мільйонів американців. Були викрадені їхні імена, номери соціального страхування та водійських прав. Атаки здійснювалися протягом трьох місяців – з травня до липня, проте про порушення безпеки оголосили лише у вересні.
Yahoo
2013 в результаті успішної спроби фішингу, що дозволила хакерам отримати доступ до мережі, було скомпрометовано 3 млрд облікових записів користувачів.
eBay
У 2014 р. компанія зіткнулася з серйозним порушенням безпеки. Дані банківських карток користувачів PayPal, на щастя, не постраждали, але були скомпрометовані паролі багатьох клієнтів. Компанія відреагувала оперативно, сповістивши користувачів про інцидент електронною поштою і порекомендувавши їм з метою безпеки змінити паролі.
Ashley Madison
Сайт, який позиціонує себе як майданчик для знайомств чоловіків і жінок, які перебувають у шлюбі і бажають «завести інтрижку», зазнав злому в 2015 р. Зловмисники викрали та опублікували в Мережі особисті дані величезної кількості клієнтів сервісу. Користувачів, дані яких були скомпрометовані, стали шантажувати здирники; за неперевіреними даними, саме загроза «викриття» внаслідок цього витоку спричинила низку самогубств.
У 2018 р. зіткнувся з витоком особистих даних 29 мільйонів користувачів, причиною яких стали недоліки внутрішнього програмного забезпечення сервісу. Цей випадок порушення безпеки виявився особливо незручним: серед багатьох скомпрометованих облікових записів виявився і акаунт генерального директора компанії Марка Цукерберга.
Marriott
В 2018 р. заявила про витік даних, що торкнулося майже 500 мільйонів клієнтів. При цьому, як з’ясувалося, систему бронювання номерів зламали ще в 2016 р., а виявили порушення безпеки лише через два роки.
Avast
Напевно, найнеприємніше – що не застраховані навіть організації, що спеціалізуються на кібербезпеці. Чеська компанія Avast зіткнулася з порушенням безпеки у 2019 р. – хакеру вдалося скомпрометувати облікові дані одного із співробітників для доступу до VPN. В даному випадку облікові дані клієнтів не постраждали, оскільки у зловмисників було інше завдання – впровадження шкідливого програмного забезпечення в продукти Avast.
Ще років десять тому багато компаній намагалися не афішувати порушення безпеки, щоби не підривати довіру клієнтів. Однак у наші дні таке трапляється дедалі рідше. У Європейському Союзі прийнято GDPR (Загальний регламент захисту даних), який зобов’язує компанії повідомляти про порушення безпеки відповідні наглядові органи та всіх приватних осіб, чиї персональні дані могли опинитися під загрозою. Станом на січень 2020 р. GDPR діяв лише 18 місяців, але за цей час було зроблено понад 160 000 заяв про порушення безпеки – у середньому понад 250 на день.
Види порушень безпеки
Існує кілька видів порушень безпеки залежно від того, яким чином було отримано доступ до системи:
- Атаки на вразливості системи, наприклад, застарілу ОС, з використанням експлойтів. Старі системи, наприклад у компаніях, що використовують застарілі версії Microsoft Windows, що більше не підтримуються, особливо вразливі до атак такого роду.
- Злом чи підбір ненадійних паролів. Навіть у наш час багато хто використовує такі примітивні паролі, як ‘password’ (або ‘pa$$word’, що не сильно надійніше).
- Атаки з використанням шкідливих програм, наприклад, розсилання фішингових листів, також часто використовуються для отримання доступу. Достатньо одному співробітнику перейти за посиланням у листі – і зловред почне розповсюджуватись по мережі.
- Зараження шляхом прихованого завантаження – доставка вірусів або шкідливого програмного забезпечення через скомпрометований або підроблений веб-сайт.
- Соціальна інженерія також часто застосовується для отримання доступу. Так, наприклад, зловмисник може зателефонувати потенційній жертві, представитися співробітником IT-відділу компанії та попросити у неї пароль нібито для усунення несправності на комп’ютері.
У прикладах порушень безпеки, наведених вище, для доступу до мереж використовувалися різні техніки: компанія Yahoo стала жертвою фішингової атаки, а Facebook атакували за допомогою експлойта.
Хоча ми досі говорили лише про порушення безпеки, що торкнулися великих організацій, все це стосується і окремих комп’ютерів та інших пристроїв. Шанс зустріти експлойт для простого користувача невеликий, але багато хто стикається зі зловредами, які проникають в систему або разом з іншими програмами, або в результаті атаки фішингу. Ненадійні паролі та використання публічних мереж Wi-Fi можуть стати причиною компрометації ваших комунікацій в інтернеті.
Що робити, якщо ви зіткнулися з порушенням безпеки
Якщо ви дізналися про порушення безпеки у великій компанії, клієнтом якої ви є, або був скомпрометований ваш власний комп’ютер, діяти потрібно швидко. Пам’ятайте, що порушення безпеки одного облікового запису може означати, що тепер під загрозою та інші, особливо якщо ви скрізь використовуєте той самий пароль або регулярно проводите транзакції між обліковими записами.
- Якщо порушення безпеки могло торкнутися вашої фінансової інформації, повідомте всі банки та фінансові установи, в яких у вас є рахунки.
- Змініть паролі у всіх облікових записах. Якщо з ними пов’язані якісь секретні питання та відповіді або ПІН-коди, змініть їх також.
- Перевірте свій кредитний звіт, щоб з’ясувати, чи хтось не намагався взяти кредит, використовуючи ваші дані.
- Спробуйте встановити які саме дані могли бути викрадені. Це дасть вам уявлення про те, наскільки серйозна ситуація. Наприклад, якщо викрадено ваші паспортні дані, діяти потрібно дуже швидко, щоб зловмисники не змогли видати себе за вас. Це набагато серйозніше, ніж, скажімо, витік даних вашої банківської картки.
- Не відповідайте на прохання компанії надати ваші персональні дані після інциденту з порушенням безпеки: це може виявитися прийомом соціальної інженерії. Ознайомтеся з інформацією в ЗМІ, зайдіть на веб-сайт компанії або краще зателефонуйте до служби підтримки клієнтів, щоб з’ясувати правомірність цих запитів.
- Будьте напоготові на випадок інших атак із використанням соціальної інженерії. Наприклад, злочинець, який отримав доступ до облікових записів мережі готелів, навіть не маючи фінансових даних, може почати обдзвонювати клієнтів нібито з метою збору відгуків про якість сервісу. Наприкінці розмови злочинець, який уже розташував жертву до себе, може, наприклад, запропонувати повернення зборів за паркування та попросити дані банківської картки, щоб переказати гроші. Більшість жертв охоче нададуть цю інформацію, якщо шахрай говорить переконливо.
- Слідкуйте за будь-якою активністю, пов’язаною з вашими обліковими записами. Якщо ви виявите транзакції, які здадуться вам підозрілими, негайно вживіть заходів.
Як захиститись від порушень безпеки
Хоча від порушень безпеки не застрахований ніхто, знання принципів комп’ютерної безпеки зробить вас менш уразливим і допоможе мінімізувати втрати, якщо інцидент все ж таки станеться. Ці поради допоможуть вам запобігти порушенням безпеки на ваших комп’ютерах та інших пристроях.
Надійні та унікальні паролі
- Використовуйте надійні паролі з випадковими поєднаннями великих і малих літер, цифр та символів. У порівнянні з простішими паролями їх набагато складніше зламати. Не використовуйте паролі, які можна легко вгадати, такі як імена або дні народження членів сім’ї.
- Використовуйте менеджер паролів, щоб зберігати ваші паролі у безпеці.
- Використовуйте унікальні паролі для різних облікових записів. Якщо ви використовуєте той самий пароль для всіх облікових записів, то хакер, який зламав будь-яку з них, отримає доступ і до інших. Якщо кожен обліковий запис матиме свій пароль, постраждає лише зламаний обліковий запис.
- Періодично змінюйте ваші паролі. Багато відомих порушень безпеки відбувалися протягом тривалого часу, про деякі з них повідомили через роки. Регулярно змінюючи паролі, ви зменшите ризики, пов’язані з ще не виявленими витоками даних.
Облікові записи та бекапи
- Видаляйте облікові записи, якими ви не користуєтеся, а не просто кидайте їх. Це допоможе знизити ризики порушення безпеки. Якщо ви не користуєтеся якимось обліковим записом, то не дізнаєтеся, що його скомпрометували, адже з її допомогою зловмисник може дістатися й інших ваших облікових записів.
- Робіть резервні копії файлів. Іноді порушення безпеки даних пов’язане з програмами, які шифрують ваші дані, після чого зловмисники вимагають викуп за їх відновлення. Зберігаючи на знімному диску копії всіх своїх файлів, ви убезпечите себе від подібних подій.
Безпека смартфона та комп’ютера
- Забезпечте безпеку свого телефону. Використовуйте блокування екрана та регулярно оновлюйте програмне забезпечення свого телефону. Не намагайтеся самостійно перепрошивати телефон. Несанкціонована перепрошивка пристрою відкриває для хакерів можливість встановлювати свої програми та змінювати налаштування.
- Забезпечте безпеку свого комп’ютера та інших пристроїв за допомогою антивірусу або комплексного захисного рішення.
- Якщо ви викидаєте старий комп’ютер, незворотно зітріть з жорсткого диска всі дані. Не просто видаліть файли, а використовуйте спеціальну програму, яка перезапише всю інформацію на диску. Під час встановлення операційної системи з нуля дані з диска також будуть видалені безповоротно.
Особиста інформація
- Знайте цінність вашої персональної інформації та не розголошуйте її без потреби. Багато веб-сайтів хочуть знати про вас занадто багато; ну навіщо, наприклад, діловому журналу знати вашу точну дату народження? Або навіщо онлайн-аукціону ваші паспортні дані?
- Слідкуйте за своїми банківськими та кредитними звітами. Вкрадені дані можуть випливти в тіньовому інтернеті через роки після витоку. Відповідно, ваші особисті дані можуть скористатися, коли ви вже забудете про історію з компрометацією відповідного облікового запису.
- Слідкуйте, за якими посиланнями ви переходите. Електронні листи з посиланнями на веб-сайти можуть виявитися фішинговими. Деякі з них можуть виглядати як надіслані кимось із ваших контактів. Якщо в повідомленні є вкладення або посилання, перевірте їх справжність перед тим, як відкривати їх, і перевіряйте антивірусом всі вкладення.
- При вході до облікових записів переконайтеся, що використовується безпечний протокол HTTPS, а не просто HTTP.
Ви ж не залишаєте двері квартири відчиненими, щоб будь-хто міг навідатися до вас у гості? Ставтеся до комп’ютера так само. Забезпечте безпеку доступу до вашої мережі та персональних даних і не залишайте жодних лазівок для хакерів.