Русский военный корабль, иди нах*й.
Пожертвувати на армію
×
Упс!
Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Витік даних та вразливості ІТ-систем у цифрах: як захистити компанію від інциденту безпеки

Anastasiia Ostapenko
Anastasiia Ostapenko Засновник та CEO Simple Security & Compliance
25 серпня 2022 6 хвилин читання

Сьогодення показує, що компанії часто стикаються з витоком даних, і це лише питання часу. Наслідки інцидентів із безпекою можуть бути значними та поставити під загрозу компанію, її клієнтів та партнерів. Для багатьох компаній витік даних може стати кінцем.

  • Компанія проаналізувала 29 207 подій безпеки, з яких 5 258 були підтвердженими інцидентами;
  • Кількість фішингових атак зросла на 11%, а атак з використанням програм-вимагачів — на 6%;
  • 85% інцидентів пов'язані з людським фактором, тоді як понад 80% порушень було виявлено із зовні компанії;
  • Середній фінансовий вплив злому становить 21 659 доларів США, при цьому 95% інцидентів припадають на суму від 826 до 653 587 доларів США.

Вас вразила ця статистика? Як ви вважаєте, чи може бути ваша компанія серед згаданих?

Щоб запобігти інциденту безпеки та мінімізувати ризики, потрібно зрозуміти, що саме їх викликає. Тому в цій статті ми розповімо вам найчастіші причини інцидентів безпеки та їхні наслідки для різних компаній. Під час читання пропонуємо вам відповісти на головне питання: «чи захищена моя компанія від цього?».

Людина — найслабше місце у вашій безпеці

Хакерські атаки можуть бути найпоширенішою причиною інцидентів безпеки, але це не так, оскільки персонал найчастіше є найслабшим місцем у вашому захисті.

Згідно зі статистичними даними CompTIA, «людська помилка становить 52% основних причин порушень безпеки». Конкретний характер помилки може відрізнятися, але деякі сценарії включають:

  •  Використання слабких паролів;
  •  Надсилання конфіденційної інформації не тим одержувачам;
  •  Передача пароля/інформації про обліковий запис;
  •  Попадання на фішингові атаки.

Ось кілька цікавих прикладів фактичних «людських помилок»:

У 2021 році колишній співробітник медичного центру Південної Джорджії завантажив особисту інформацію клієнтів на свій USB-накопичувач наступного дня після звільнення. Він оприлюднив конфіденційну інформацію, як-от результати тестів, імена та дати народження пацієнтів. 

У 2016 році були оприлюднені зарплати близько 700 нинішніх і колишніх співробітників Snapchat. Зловмисник, видаючи себе за генерального директора соціальної мережі, обманом змусив співробітника надіслати цю інформацію електронною поштою.

У 2022 році компанія Advanced Micro Devices (AMD) зазнала витоку даних обсягом понад 450 ГБ, включаючи «мережеві файли, системну інформацію та паролі», після зламу через слабкі паролі.

Вразливості ІТ-систем

Навіщо ламати двері, коли двері вже відчинені? Хакери люблять використовувати погано написані програмні додатки та неправильно налаштовані ІТ системи. Якщо вразливості безпеки залишити невиправленими, хакери матимуть вільний доступ до конфіденційної інформації вашої компанії.

Наприклад, у 2017 році дослідники безпеки виявили вразливість плагіна WordPress CAPTCHA, яка вплинула на понад 300 000 вебсайтів WordPress. Після встановлення Simply WordPress відкривався бекдор, дозволяючи зловмиснику отримати доступ адміністратора до уражених вебсайтів без будь-якої автентифікації.

Шкідливе програмне забезпечення

Шкідливе програмне забезпечення — це зловмисне програмне забезпечення, яке завантажується навмисно та самостійно і дозволяє хакеру використовувати його для збору необхідної інформації або негативно впливати на роботу систем.

У 2021 році CD Projekt Group, польський розробник відеоігор, зазнав атаки програми-вимагача «HelloKitty», яка призвела до витоку конфіденційної інформації. Зловмисники вкрали вихідний код Cyberpunk 2077, Gwent, the Witcher 3 і неопубліковану версію Witcher 3. Кіберзлочинці також отримали доступ до адміністративних, бухгалтерських, кадрових, юридичних документів і документів про відносини з інвесторами.

Заширокі дозволи

Підприємства, які не контролюють і не обмежують доступ користувачів, дають хакерам подарунок, щоб використати їхні системи.

Відповідно до Global Data Risk Report від The Varonis Data Lab 2017, 53% компаній мають понад 1000 конфіденційних файлів, відкритих для кожного співробітника. Зі всього набору даних кожному співробітнику надається в доступ до 22% усіх даних компанії. Ці величезні цифри говорять про цілком можливі проблеми з доступом і сприяють витоку даних і, зрештою, фінансової та репутаційної шкоди компанії.

Вразливі сторонні ІТ-постачальники

Недоліки в програмах безпеки вашого стороннього ІТ постачальника можуть стати слабкими сторонами кібербезпеки вашої компанії. Треті сторони можуть не сприймати свою безпеку так серйозно, як вам того хочеться. Знаючи це, хакери можуть вирішити не атакувати вашу компанію безпосередньо. Натомість вони можуть шукати легшу ціль серед ваших постачальників.

Результати щорічного дослідження Ponemon Institute показали, що з 2016 по 2018 рік відсоток організацій, які зіткнулися з витоком даних у зовнішніх постачальників, зріс з 49% до 61%.

У 2021 році концерн Volkswagen Group of America підтвердив, що стався інцидент безпеки їхнього постачальнка в період із серпня 2019 року до травня 2021 року. У результаті була порушена безпека 3,3 мільйона клієнтів, понад 97% з яких були клієнтами Audi та зацікавленими покупцями. Розкриті дані варіювалися від контактної інформації до номерів соціального страхування та кредитних номерів.

Висновок

Як показують приклади, немає окремої галузі, яка б не стикалася з порушеннями безпеки. Вони виникають і відбуваються в різних напрямках і компаніях різного розміру, від малого до великого бізнесу.

Якщо ви не хочете бути серед зазначених компаній та знизити можливі ризики витоку даних, вам потрібно займатися безпекою проактивно та впроваджувати багаторівневий захист інформації компанії та клієнтів. 

Хочете дізнатися більше про інформаційну безпеку та отримати цінні поради щодо покращення вашої безпеки й захисту від найвідоміших інцидентів? Звертайтеся до Simple Security & Compliance за консультацією та підписуйтеся на наш «Knowledge Upgade» новинний дайджест безкоштовно щотижня.

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.
0
Прокоментувати
Інші матеріали

Кіберскладова цієї війни важлива: в Україні розробляють стратегію кібербезпеки

Ірина Маринюк 23 вересня 2022 15:16

Українська IT-армія зламала сайт ПВК «Вагнер»

Вадим Добровольський 20 вересня 2022 11:27

Кінець епохи: Intel відмовляється від процесорів Pentium та Celeron у ноутбуках

Вадим Добровольський 19 вересня 2022 14:00

ФСБ розпочала кібератаки на Україну за пів року до вторгнення

Jez Emreis 11 вересня 2022 20:01

Хакери десять разів атакували об'єкти критичної інфраструктури України

Євген Муджирі 9 вересня 2022 15:30