Под угрозой — персональные данные A− A= A+
Компания Gemalto опубликовала результаты индекса критичности утечек данных, согласно которым в 2016 году в мире было зафиксировано 1792 инцидента, которые привели к компрометации 1,4 миллиарда записей данных, что на 86% выше по сравнению с 2015 годом. Кроме того, отмечается, что хищение персональных данных стало наиболее распространённым видом утечек. В 2016 году на долю таких атак приходилось 59% всех зафиксированных инцидентов. Кроме того, в 52% случаев при публикации информации об утечке в 2016 году компании не сообщали о количестве скомпрометированных записей.
Индекс критичности представляет собой глобальную базу утечек и обеспечивает оценку уровня той или иной утечки данных по различным параметрам, в том числе по типу данных и количеству похищенных записей, источнику утечки, характеру использования похищенных данных, а также по тому, были ли украденные данные зашифрованы. Каждая утечка получает определённый балл, таким образом, индекс критичности утечек данных представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых утечек (балл утечки варьируется от 1 до 10). Согласно индексу критичности, с начала его составления в 2013 году, количество скомпрометированных записей данных превысило 7 миллиардов. Таким образом, в среднем в мире ежедневно компрометируется более 3 миллионов записей данных, или, грубо говоря, 44 записи каждую секунду.
В прошлом году в результате атаки на базу учётных данных пользователей Adult FriendFinder было скомпрометировано 400 миллионов записей, а сам инцидент получил максимальный балл в индексе критичности. Среди других крупных утечек 2016 года — атака на Fling, утечка в избирательной комиссии на Филиппинах, 17 Media и Dailymotion. Фактически на долю десяти самых крупных и масштабных утечек пришлось более половины всех скомпрометированных записей данных. В 2016 году интернет-гигант Yahoo! сообщил о двух крупных утечках, в результате которых скомпрометировано полтора миллиарда учётных записей пользователей (но эти утечки не вошли в индекс за 2016 год, поскольку инциденты датировались 2013-м и 2014-м годами).
В России среди всех утечек данных можно выделить несколько наиболее значимых. Самой крупной среди них является девятибалльная атака на базу учётных данных Mail.ru, в ходе которой скомпрометировано более 25 миллионов записей. Данные включали в себя имена пользователей, email-адреса, зашифрованные пароли и даты рождения, в некоторых случаях злоумышленникам также удалось узнать IP-адреса и телефонные номера пользователей. Среди других утечек, зафиксированных в 2016 году в России, атака на мультипортал KM.ru и компанию по разработке программного обеспечения Nival. Доля похищенных данных в обоих случаях составляет более 1,5 миллиона учётных записей.
«Индекс критичности утечек данных свидетельствует о четырёх основных тенденциях, которые наблюдаются в мире киберпреступности в последние годы. Злоумышленники расставляют всё больше сетей и используют легко добываемые учётные и персональные данные в качестве отправной точки для достижения более сложных и многообещающих целей. Очевидно, что злоумышленники также переориентируются с атак, нацеленных на финансовые организации, на проникновение в крупные базы данных — например, развлекательных сайтов или социальных сетей. Наконец, нередко они с помощью шифрования делают данные на атакованных устройствах нечитаемыми, а затем требуют выкуп», — резюмировал итоги исследования Джейсон ХАРТ, вице-президент и директор по технологиям в подразделении защиты данных в Gemalto.
Утечки по типу
Наиболее распространённым видом инцидентов стало хищение персональных данных, на долю таких атак приходилось 59% всех утечек данных, что на 5% выше, чем годом раньше. Вторым по распространённости типом стали утечки учётных записей пользователей. Хотя число утечек такого типа сократилось на 3%, на их долю приходилось 54% всех скомпрометированных записей, что на 336% выше по сравнению с позапрошлым годом. Это свидетельствует о новой тенденции, когда злоумышленники переориентируются с атак с целью получения финансовой информации на атаки на крупные базы данных с большими объёмами идентификационных и персональных данных. Ещё одним распространённым типом инцидентов стала категория незначительных атак, число которых увеличилось на 102%, но на их долю приходится 18% от всех скомпрометированных записей данных, что на 1474% выше по сравнению с 2015 годом.
Утечки по источнику
Наибольшее число утечек было организовано злоумышленниками, действующими извне — на долю таких атак приходилось 68% всех инцидентов, что на 13% выше, чем в 2015 году. Количество скомпрометированных записей данных в результате действий сторонних злоумышленников увеличилось на 286% по сравнению с 2015 годом. Количество утечек данных, организованных хакерами-активистами, также увеличилось в 2016 году — на 31%, но на их долю приходится лишь 3% всех зафиксированных в прошлом году инцидентов.
Утечки по отраслям
В разбивке по отраслям наибольший рост числа утечек в 2016 году пришёлся на технологический сектор. Количество инцидентов выросло на 55%, но тем не менее на их долю приходилось лишь 11% всех утечек за минувший год. Почти 80% всех инцидентов в этом секторе связаны с хищением учётных записей и персональных данных. Кроме того, на их долю приходится 28% всех скомпрометированных записей данных в 2016 году, что на 278% выше, чем в 2015 году.
На предприятия отрасли здравоохранения пришлось 28% всех утечек данных — на 11% выше, чем в 2015 году. Однако количество скомпрометированных записей данных в этой отрасли снизилось на 75%. В секторе образования количество утечек данных за год снизилось на 5%, а количество скомпрометированных записей данных — на 78%. На долю государственных учреждений в 2016 году приходилось 15% всех утечек данных, но количество скомпрометированных записей данных выросло на 27%. На долю компаний финансового сектора приходилось 12% всех утечек данных, что на 23% ниже прошлого показателя.
На долю других отраслей приходилось 13% всех утечек данных и 36% скомпрометированных записей данных. В этой категории общее количество утечек данных снизилось на 29%, однако количество скомпрометированных записей выросло на целых 300% по сравнению с 2015 годом. При этом большинство утечек данных приходилось на социальные сети и сайты компаний из отрасли развлечений.
Шифруйте данные!
В прошлом году количество инцидентов, затрагивающих полностью или частично зашифрованные данные, составляло 4,2% от общего числа инцидентов, тогда как в 2015 году эта цифра составляла лишь 4%. В части этих утечек зашифрованным был только пароль, а остальная информация не была зашифрована. Однако из почти 1,4 миллиарда скомпрометированных, утраченных или похищенных записей данных в 2016 году полностью или частично зашифровано было лишь 6% (в сравнении с 2% в 2015 году).
«Точное понимание того, где именно размещаются корпоративные данные и кто именно имеет к ним доступ, позволит предприятиям лучше сформулировать свои стратегии безопасности, с учётом тех видов данных, которые являются наиболее важными для них. Шифрование и аутентификация уже не просто некие «передовые практики», а самая настоящая необходимость. Это особенно справедливо с принятием новых и обновлением уже существующих государственных стандартов, в том числе с грядущим принятием общего законодательства в отношении защиты данных (General Data Protection Regulation, GDPR) в Европе, а также с принятием внутриштатного (в США) и общенационального (в Азиатско-тихоокеанском регионе) законодательства о публикации информации об утечках. Кроме того, речь идёт о защите целостности данных вашего бизнеса, поэтому от правильности решений зависит ваша репутация и прибыль».
«ВТБ24»: голосовая биометрия
«ВТБ24» завершил тестирование пилотного проекта по голосовой идентификации клиентов. Исследования проводились в контакт-центре банка при участии сотрудников «ВТБ24» и при сравнении порядка 15 тысяч голосовых моделей.
Голосовая биометрия позволяет верифицировать обратившегося в контакт-центр человека по голосу. Преимуществами такого типа распознавания личности являются высокая надёжность технологии в сравнении со стоимостью её внедрения и удобство использования для клиентов: благодаря голосу можно упростить процедуру идентификации по паспортным данным и другим традиционным параметрам.
Использование голосовой биометрии позволит перевести проверку подозрительных клиентских транзакций на автоматический контроль и существенно сократить число мошеннических операций — до уровня статистической погрешности. Применение технологии также значительно сократит время идентификации клиента: в настоящий момент контакт-центр «ВТБ24» проводит процедуру в среднем за минуту, а при верификации по голосу она сократится до 8–10 секунд.
«Запуская пилот проекта, мы хотели оценить применимость технологии в банковском секторе и проверить, насколько можем доверять биометрической верификации по голосу. По результатам исследований мы убедились, что использование голосовой биометрии позволит не только существенно сократить процедуру идентификации клиента, но и создать удобный, надёжный процесс подтверждения всех его операций», — отметила Наталья СМИРНОВА, старший вице-президент, директор департамента клиентского обслуживания «ВТБ24».
Механизм использования голосовой биометрии прост: изначально клиенту необходимо оставить голосовой слепок в банке, и при всех последующих обращениях в контакт-центр записанная голосовая модель в фоновом режиме будет сверяться с голосом позвонившего клиента. Если результат сравнения положительный, система оповестит оператора об автоматическом завершении процедуры.
Токены JaCarta-2 сертифицировны
По сообщению компании «АладдинР.Д.», средство криптографической защиты информации, применяемое в новой линейке средств аутентификации и электронной подписи JaCarta-2 ГОСТ, успешно прошло сертификацию в ФСБ России.
JaCarta-2 ГОСТ — новая линейка смарт-карт, USB- и MicroUSB-токенов — входит в семейство средств аутентификации и электронной подписи JaCarta. В новых устройствах реализована поддержка современных российских криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Возможности JaCarta-2 ГОСТ позволяют:
- осуществлять строгую двухфакторную аутентификацию пользователя при входе в корпоративные системы, web-сайты и облачные сервисы;
- обеспечивать формирование и проверку усиленной квалифицированной ЭП;
- организовывать защищённый канал для обеспечения доверенной аутентификации путём исключения случаев перехвата и подмены аутентификационных данных;
- обеспечивать безопасное хранение ключевой информации (ключевых пар и сертификатов) и программных СКЗИ;
- надёжно сохранять зашифрованные данные в файловой системе токена или смарт-карты;
- вычислять HMAC (hash-based message authentication code) для интеграции с системами, использующими одноразовые пароли (OTP);
- работать в качестве отчуждаемого криптомодуля в составе других продуктов.
Токены JaCarta-2 ГОСТ могут применяться в системах дистанционного банковского обслуживания, системах сдачи электронной отчётности, системах электронного документооборота, электронных торговых площадках, корпоративных порталах, порталах государственных услуг, системах электронного таможенного декларирования и web-сервисах, в которых требуется реализовать защищённый доступ пользователей и обеспечить юридическую значимость действий пользователей.
Основные преимущества токенов JaCarta-2 ГОСТ по сравнению с аналогами:
- повышенная безопасность — в JaCarta-2 ГОСТ применяются специализированные защищённые микроконтроллеры с архитектурой Secure-by-Design и улучшенные механизмы защиты (парольные политики, аутентификация с помощью PIN-кода подписи, расширенная ролевая модель, новые режимы разблокирования и т.д.);
- удобный графический интерфейс — для работы со всеми моделями смарт-карт и токенов JaCarta-2 ГОСТ доступно универсальное средство администрирования с интуитивно-понятным графическим интерфейсом (программный комплекс «Единый Клиент JaCarta»);
- оптимальная ценовая политика — при приобретении JaCarta-2 ГОСТ заказчик может выбрать и оплатить только те функции, которые ему действительно нужны. Это позволяет подобрать оптимальное предложение с точки зрения функциональности, стоимости и удобства использования;
- совместимость — токены JaCarta-2 ГОСТ работают со всеми популярными операционными системами, такими как Microsoft Windows (включая Microsoft Windows 10), различными вариациями GNU Linux (в том числе МСВС), а также Apple macOS (10.10 и 10.11);
- соответствие международным стандартам — используемые в JaCarta-2 ГОСТ микроконтроллеры и операционная система соответствуют профилю безопасности Smart Card Security User Group — Smart Card Protection Profile (достигнутый уровень доверия — EAL 4+) и Security IC Platform Protection Profile (достигнутый уровень доверия — EAL 5+).
Как отметил генеральный директор «Аладдин Р.Д.» Сергей ГРУЗДЕВ, «своевременная сертификация JaCarta-2 ГОСТ в качестве персонального средства электронной подписи позволяет нашим клиентам и заказчикам плавно перейти на использование новых ГОСТов 2012 года. При этом новое СКЗИ в составе токенов позволяет нам обойти конкурентов по таким параметрам, как скорость вычисления хэш-функции, скорость шифрования данных, наличие криптографически безопасных интерфейсов, возможность добавления новых аппаратно-реализованных функций, и ряду других параметров. В совокупности это позволит в полной мере удовлетворить потребности рынка и обеспечит дальнейший рост нашего бизнеса. Новые токены JaCarta-2 ГОСТ с СКЗИ «Криптотокен 2 ЭП» будут доступны для заказа со второй половины мая 2017 года».