Пандемия короновируса внесла серьезные коррективы в организацию работы многих миллионов людей. Почти всех, кого можно было перевести на удаленную работу из дома, работодатели перевели. Кроме некоторых преимуществ такого подхода, удаленная работа создает и множество рисков. Два основных риска, о которых на данный момент говорят многие специалисты – это существенно возросшая нагрузка на Сеть и серьёзно изменившийся профиль угроз информационной безопасности, связанный с удаленной работой. Кроме того, экономическая ситуация отличается нестабильностью, уверенности в завтрашнем дне нет даже у тех, кто не волнуется за наличие работы и заработной платы. Уровень расходов у граждан остался прежним или вырос, а уверенности в сохранении или росте уровня доходов нет совершенно.
В этой сложной обстановке, при объединении двух факторов – неуверенности в завтрашнем дне и новых возможностях обхода политик информационной безопасности, изначально не предусматривавших удаленную работу, появляется главной герой нашей статьи – инсайдер.
Инсайдер (англ. insider) — сотрудник компании, в силу занимаемой должности, имеющий доступ к информации, представляющей большой интерес для конкурентов или недоброжелателей компании. Покупка-продажа инсайдерской информации – это серьёзный теневой бизнес с миллиардными оборотами, и нелояльный сотрудник, принявший решение нечестно заработать путём сбыта коммерческих или иных секретов компании, очень быстро найдёт себе друзей. Такие «друзья», помогающие сбывать краденую инсайдерскую информацию, как правило, ищутся на теневых форумах и Telegram`е.
Другой сценарий появления инсайдера – целенаправленное внедрение или вербовка со стороны конкурентов. В практике авторов был случай, когда при увольнении из одной крупной компании, служба СБ сделала бывшему сотруднику чрезвычайно заманчивое предложение устроиться к главным конкурентам с целью получения доступа к информации о закупочных ценах и ассортименте. Для крупной оптовой компании такая оперативная информация была бы очень серьёзным конкурентным преимуществом.
Задача, с точки зрения покупателя инсайдерской информации, крайне проста: найти теневой форум или паблик в Telegram`е, где продают интересующую информацию (простейший способ поиска – запрос в Google «пробив» + нужная вам информация).
Изображение 1. Поисковая выдача по ключевому слову.
Изображение 2: Предложения от участников одного из ресурсов.
Ищем интересующую нас информацию на ресурсе и заключаем сделку по правилам, действующим на площадке. Правда, необходимо учитывать, что в последнее время было несколько больших разоблачений владельцев таких ресурсов в всязи с сотрудничеством с правоохранительными органами. И более 75% всех продавцов стали предлагать свои услуги в Телеграмм. Причем, это могут быть как автоматизированные сервисы в виде телеграмм-ботов, так и живые «менеджеры», работающие на прием обращений.
Многие наши коллеги из ИБ-компаний сообщают о всплеске (в 2-3 и больше раз) спроса на конфиденциальные данные, в связи с массовым переходом на удаленную работу. Центробанк приводит следующие данные за 2019 год:
- Общий объем мошеннических операций с банковскими счетами составил 6 млрд 426,5 млн рублей;
- Количество таких операций: 566 - 576 тыс.;
- Средняя сумма одной мошеннической операции по счетам физических лиц - 10 тыс. рублей;
- Средняя сумма одной мошеннической операции по счетам юр. лиц - 152 тыс. рублей;
- Банки возместили в 2019 году клиентам 935 млн рублей (15%, или каждый седьмой похищенный рубль);
- 82% по количеству и 74% по объему мошеннических операций с картами приходятся на банки Московского региона».
Перевод на удаленную работу затронул не только банки и финансовый сектор в целом, но и многие другие отрасли экономики.
Одним из наиболее показательных примеров можно назвать колл-центры. Перевод их сотрудников на домашнюю работу серьезно изменил профиль ИБ-рисков. Обеспечить сохранность клиентских данных на личном оборудовании пользователей является более трудоемкой задачей, более того, для многих ИБ-офицеров новой и недостаточно знакомой, в том числе, и из-за сопротивления или низкой осведомленности в вопросах информационной безопасности самих пользователей. Кроме того, на рынке существует немного комплексных продуктов и сервисов для решения этой задачи, большинство из которых являются сложными, дорогими или недостаточно эффективными.
В практике авторов статьи был следующий пример: одна крупная компания передала колл-центру личные данные своих клиентов и членов их семей для проведения оценки качества оказываемых услуг. Буквально, на следующий день, практически весь Darknet был завален предложениями продажи этих данных. Хоть это и произошло не в период пандемии, утечка была связанна как раз с удаленной работой – один из сотрудников выложил всю базу данных на открытый файлообменник для возможности удаленной работы из дома.
Все вышеизложенное способствуют тому, что в текущий период, когда большинство предприятий вынужденно перешли на удаленную работу, предложение на теневом рынке о продаже конфиденциальных данных должно существенно увеличиться, в том числе, за счет новых неопытных игроков, которые решили воспользоваться возможностями, созданными этой ситуацией.
Мы провели небольшой анализ ситуации и собрали статистику на основе наших ежемесячных исследований, которую предлагаем вашему вниманию. В начале апреля 2020 года нами были опрошены более 100 сервисов с предложениями услуг по предоставлению инсайдерской информации.
Традиционно, ключевыми услугами торговли инсайдеров являются: банковские выписки со счетов физических и юридических лиц, сведения об остатке на счете и персональные данные владельцев счетов, заказ детализации у сотовых операторов, выписки из ФНС и т.д.
Изображение 3: здесь представлен один из старейших сервисов, который предоставляет инсайдерские услуги из большинства Банков.
Изображение 4: Примеры инсайдерских сервисов в Telegram.
Изображения 5-7: Данные предложения сделаны новичками, которые активизировались в поисках наживы ввиду того, что многих переводят на удаленную работу.
Статистика по росту инсайдерских сервисов
Исследование с конца 2019 года по апрель 2020 года показало рост спроса на покупку данных физических и юридических лиц в апреле 2020 года.
Статистика по количеству таких сервисов:
Изображение 8. Статистика по росту количества инсайдерских сервисов
- 1 января 2020 года - 77 сервисов. Сервисов стало меньше, спрос на инсайд упал по причине выходных и праздников.
- 1 февраля 2020 года - 63 сервиса. Тенденция на упадок спроса очевидна, ввиду этого, уменьшается и количество сервисов.
- 1 марта 2020 года - 75 сервисов. Спрос на рынке есть, но имеющиеся сервисы полностью его удовлетворяют.
- 1 апреля 2020 года - 109 сервисов. Количество активных сервисов по инсайду увеличилось, причиной стал кризис и повсеместный переход на удаленную работу, что сыграло роль в легкости найма. Эту гипотезу подтверждают сами инсайдеры. В разговоре, они неоднократно говорили о том, что сейчас стало проще нанимать новых людей для слива необходимой информации.
- 1 мая 2020 года - 121 сервис. Количество активных сервисов по инсайду увеличилось.
- 1 июня 2020 года - 118 сервисов. Спрос держится на высоком уровне.
Средняя стоимость услуг по "пробиву" данных в Darknet
- Паспортные данные по ФИО/дню рождения - от 500 рублей
- Паспортные данные - от 3 тыс. рублей по реквизитам банковского счета
- Скан паспорта - от 5 тыс. рублей
- Получение паспортных данных по номеру мобильного телефон - 300 до 2 тыс. рублей
- Получение детализации по звонкам - от 3 до 20 тыс. рублей в зависимости от оператора и детализации
- Баланс расчетного счета через базу ФНС - от 2 до 3 тыс. рублей
- Баланс расчетного счета через банк - от 6 до 10 тыс. рублей
Наши рекомендации для бизнеса
Пока спрос на услуги инсайдеров растет, а вместе с ним и количество утечек конфиденциальной информации, руководителям бизнеса необходимо уделить особое внимание защите своих активов, а в современном мире главным активом почти любой компании является информация.
Для предотвращения подобных утечек, наши специалисты рекомендуют компаниям проверить наличие антивирусного ПО на домашних компьютерах сотрудников, настроить двухфакторную аутентификацию при VPN-подключении, произвести сегментацию сетевых ресурсов, проверить обновления оборудования. Эти превентивные меры уменьшат риск возникновения утечек информации.
На более длительном горизонте планирования, мы рекомендуем рассмотреть возможность внедрения в организациях систем класса DLP, позволяющих осуществлять мониторинг информационных потоков компании, определять и классифицировать критичные, с точки зрения бизнеса, информационные активы, получать оперативную информацию о движении конфиденциальных данных внутри и вовне корпоративной сети по различным каналам передачи данных.
Для снижения рисков непреднамеренных утечек, хорошей практикой является организация регулярного обучения работников, направленного на повышение грамотности в сфере информационных технологий, информационной безопасности и правил работы с важной корпоративной информацией.
Если же вы уже точно знаете, что в вашей компании есть инсайдер или опасаетесь, но хотите знать это наверняка - проверьте своих сотрудников при помощи внешнего аудита компетентными специалистами.
