Утечки данных: как бизнес теряет миллионы на ошибках сотрудников и атаках хакеров

В 2024 году Роскомнадзор зафиксировал крупнейшую за всю историю утечку данных россиян за один инцидент — 500 млн записей. Детали происшествия до сих пор расследуются, источник утечки не раскрывается. В 74% случаев взлом начинается с человеческой ошибки: сотрудник открывает фишинговое письмо, ставит простой пароль или оставляет хранилище без шифрования.

Это первая из двух статей об утечках данных. В ней расскажем, почему происходят утечки, и разберём основные векторы атак: вредоносное ПО, социальную инженерию, компрометацию учетных данных и атаки через цепочки поставок. Также рассмотрим технологии, которые помогают снизить риски — от DLP до Zero Trust. Во второй статье обсудим, как компании могут своевременно обнаруживать инциденты и защитить данные в облачной инфраструктуре.

Как обстоят дела с утечками

В 2024 году масштабы утечек данных достигли критических значений: только в России утекло более 710 млн записей, а в мире произошли рекордные инциденты — National Public Data потеряла 2,9 млрд записей, Change Healthcare — более 100 млн медицинских записей. Хакеры атаковали компании во всём мире: от медицинских порталов до финтех‑сервисов и государственных ресурсов. Они похищали учётные записи, платёжную информацию и другие конфиденциальные данные.

Утечка персональных данных — одна из главных киберугроз для бизнеса. Такие инциденты приносят финансовые убытки, штрафы регуляторов и вред репутации. По данным IBM, средний ущерб от одной утечки составляет $4,45 млн, треть этой суммы приходится на потерю клиентов и снижение выручки. Самый большой урон получают медицинские компании — почти $11 млн за один случай против $4–5 млн в других отраслях.

Что такое утечки данных и как они происходят

Утечка данных — это несанкционированный доступ к конфиденциальной информации. Утечь могут любые ценные сведения: персональные данные, реквизиты счетов, медицинские записи, а также коммерческая тайна — клиентские базы, интеллектуальная собственность.

Причины утечек не всегда связаны с действиями злоумышленников. Часто информация утекает из‑за ошибки сотрудника: документ отправлен не тому адресату, забыт ноутбук с незашифрованными данными.

Обычно утечка данных развивается поэтапно. Сценарий целенаправленного взлома выглядит так:

• Хакер ищет уязвимости — слабые места в защите или использует социальную инженерию.

• Злоумышленник начинает атаку: рассылает фишинговые письма, пытается взломать сервер или подобрать пароль.

• Получив доступ, хакер копирует и скачивает ценные сведения. Также он может удалить или зашифровать данные, требуя выкуп.

• При целенаправленных атаках хакеры действуют скрытно, поэтому утечку обычно обнаруживают не сразу. Согласно исследованию IBM, в среднем на выявление и устранение инцидента уходит около 258 дней, при этом атаки с использованием скомпрометированных учетных данных занимают до 292 дней. Компания может не знать о хищении данных месяцами. Поэтому важно не только предотвращать утечки, но и быстро их обнаруживать.

Решающим фактором часто становится человеческая ошибка. По разным оценкам, до трёх четвертей успешных взломов начинаются именно с ошибки сотрудника. Например, человек перешёл по фишинговой ссылке и раскрыл свои учётные данные. Бывают и непреднамеренные утечки: файл с персональными данными оказался в открытом доступе или облачный ресурс был настроен без пароля.

Утечки данных условно делятся на две категории:

• Злонамеренные утечки — данные крадут целенаправленно (внешние хакеры или инсайдеры).

• Случайные утечки — информация попадает к посторонним из‑за ошибки или халатности.

На практике границы размыты: внешняя атака часто начинается с внутренней ошибки. Рассмотрим основные виды утечек в зависимости от источника и сценария.

Виды утечек данных: человеческий фактор, инсайдеры, внешние атаки, сбои конфигурации, цепочка поставок

Утечки данных происходят по разным причинам: от случайных ошибок до продуманных атак. Для эффективной защиты необходим комплексный подход, учитывающий все эти сценарии.

Социальная инженерия

Социальная инженерия — это когда хакеры обманывают людей, чтобы получить доступ к данным компании. Злоумышленники притворяются сотрудниками банка, IT-отдела или даже коллегами и заставляют раскрыть пароли или выполнить опасные действия. Эксперты считают, что до 80% утечек происходят из-за таких ошибок.

Целенаправленные атаки:

• Фишинговые письма — злоумышленники отправляют поддельные сообщения от имени банков, IT-отделов или руководства, заставляя сотрудников переходить по вредоносным ссылкам или сообщать пароли.
• Звонки с обманом — хакеры представляются сотрудниками техподдержки, банка или других служб, выманивая учетные данные или заставляя установить вредоносное ПО.
• Претекстинг — создание ложных сценариев для получения доверия: например, «срочная проверка безопасности».

Предотвратить подобные ситуации помогает обучение персонала и автоматические ограничения, например запрет отправки документов за пределы сети компании.

Внутренний злоумышленник

Инсайдер — сотрудник, который намеренно крадёт данные. Уволенный сотрудник может забрать клиентскую базу, действующий — передать сведения конкурентам.

Для защиты от инсайдеров используется принцип минимальных привилегий и мониторинг активности сотрудников. Тревожные признаки — копирование большого объёма данных, доступ к необычной информации или работа в нетипичное время. Защита от инсайдеров сочетает технические меры (DLP‑системы, аудит логов) и работу с персоналом (проверка кандидатов, мотивация, этические кодексы).

Внешняя атака

Самый распространённый вид утечек. Исследования показывают, что до 83% взломов совершают внешние хакеры или АРТ-группировки, чаще всего ради финансовой выгоды.

Ошибки конфигурации

Причина таких утечек — неверные настройки IT‑инфраструктуры: база данных без пароля, открытое облачное хранилище или сервер с отключёнными обновлениями.

Для предотвращения таких утечек компании внедряют автоматические проверки конфигураций и регулярно проводят аудиты. Особенно помогают DSPM-решения (Data Security Posture Management) — это специальные продукты, которые находят незащищённые данные, проверяют настройки доступа и предупреждают об опасных конфигурациях. Например, Yandex Security Deck автоматически сканирует облачную инфраструктуру и показывает, где данные могут быть под угрозой.

По прогнозу Gartner, до 99% сбоев облачной безопасности происходит из‑за ошибок конфигурации.

Атаки через цепочку поставок

Злоумышленник проникает в компанию через её партнёров, поставщиков или подрядчиков.

Для защиты важно тщательно проверять контрагентов и использовать изолированные среды. Концепция Zero Trust появилась как ответ на угрозы в цепочке поставок. В этой модели никто не считается доверенным по умолчанию — каждая активность проверяется.

Как хакеры крадут данные: от фишинга до взлома API

Методы хищения данных постоянно меняются, но можно выделить несколько основных техник, которые чаще всего используют злоумышленники. Обычно хакеры комбинируют эти техники, выбирая подходящую под конкретную цель.

Социальная инженерия (фишинг)

Самый распространённый и эффективный способ взлома — убедить человека добровольно передать доступ к данным.

Фишинг стал настоящей эпидемией — по данным Hornetsecurity за 2024 год, на него приходится почти 40% всех угроз в электронной почте. А исследование Positive Technologies показывает, что 60% успешных атак с утечкой данных используют социальную инженерию, где фишинг играет ключевую роль.

Хакеры используют фишинг не только для кражи паролей, но и для доставки вредоносных программ. Достаточно открыть зараженное вложение или перейти по подозрительной ссылке — и компьютер заражен. В России число фишинговых сайтов выросло на 116% за последний год, что показывает масштаб проблемы.

Для защиты от фишинга компании учат сотрудников распознавать опасные письма: проверять адрес отправителя, не кликать по подозрительным ссылкам и настороженно относиться к срочным просьбам. Мошенники постоянно совершенствуют уловки, поэтому важны и технические меры защиты: почтовые фильтры, многофакторная аутентификация, ограничение привилегий.

Кража и подбор учётных данных

Второй по распространённости метод утечек — компрометация паролей. Злоумышленники похищают действующие учётные данные или подбирают их. На взлом через украденные или слабые пароли приходится около 16% всех утечек.

Популярный приём — использование старых паролей, слитых ранее из других сервисов. Люди часто используют одинаковые пароли, поэтому велика вероятность повторного использования. Другой метод — подбор паролей. Это особенно опасно, если нет многофакторной аутентификации.

Для защиты важно использовать сложные уникальные пароли и многофакторную аутентификацию. Пароли должны быть длинными, состоять из букв, цифр и символов и регулярно меняться. Одноразовые коды и приложения‑аутентификаторы необходимо включать для всех критичных систем.

Эксплуатация уязвимостей и недостатков защиты

Этот подход предполагает поиск технических брешей в системе. Сайты, базы данных, API и операционные системы могут содержать уязвимости, особенно если не обновляются.

Часто атака начинается с уязвимого веб‑приложения, например через SQL‑инъекцию: хакер вводит специальный код на сайте, получая доступ к базе данных. Другой пример — удалённое выполнение кода (RCE), когда хакер отправляет запрос на сервер и получает контроль над системой.

Для снижения рисков компании должны вести проактивную защиту: регулярно сканировать инфраструктуру на наличие уязвимостей, оперативно устанавливать патчи и проводить пентесты. Автоматические сканеры и аудит конфигураций помогают контролировать состояние систем.

Вредоносные программы и программы‑вымогатели

«Вредоносы» обычно дополняет методы, описанные выше. Они проникают в сеть через фишинг или техническую уязвимость.

Среди «вредоносов» распространены программы‑шпионы и трояны удалённого доступа. Шпионское ПО незаметно перехватывает данные, отправляя хакеру пароли и другую конфиденциальную информацию. Трояны позволяют удалённо управлять заражённым компьютером, просматривать файлы и устанавливать другие программы.

Отдельная категория — программы‑вымогатели. Их цель — шифрование данных и, как понятно из названия, вымогательство. Современные вымогатели часто тайно копируют данные перед шифрованием и угрожают выложить их в открытый доступ, если жертва не заплатит.

Комбинированные методы атак

В реальных инцидентах хакеры редко ограничиваются одним способом. Обычно сложные атаки проходят в несколько этапов: фишинг для проникновения, эксплуатация уязвимости для повышения привилегий, установка шпионского ПО для кражи данных.

Особенно опасны «спящие» атаки — хакеры могут находиться в инфраструктуре компании год и даже дольше, оставаясь незамеченными. Всё это время злоумышленники изучают системы, собирают данные и готовятся к финальному удару.

Кибербезопасность требует комплексной защиты. Нельзя рассчитывать только на антивирус или обучение сотрудников. Если устранить технические уязвимости, но не обучить персонал, люди сами впустят злоумышленников. И наоборот: обученные сотрудники не помогут, если хакер использует новую уязвимость.

Как работают DLP, SIEM и Zero Trust в защите от утечек данных

Системы DLP предотвращают утечки, SIEM помогает обнаруживать атаки, а Zero Trust минимизирует ущерб. Но каждая технология имеет свои особенности, преимущества и недостатки.

DLP‑системы (Data Loss Prevention)

DLP — системы, разработанные специально для предотвращения утечек информации. Они контролируют перемещение чувствительных данных и блокируют их несанкционированную передачу за пределы компании. Проще говоря, DLP выступает фильтром, не позволяющим важным сведениям покинуть защищённый периметр.

Типичная DLP‑система работает по заранее настроенным политикам безопасности. Система интегрируется в корпоративную почту, веб‑шлюз, USB‑порты и другие каналы передачи информации. Если сотрудник попытается отправить письмо с конфиденциальными данными или скопировать клиентскую базу на внешний носитель, DLP это выявит и заблокирует передачу.

Однако у DLP есть две основные проблемы:

• Ложные срабатывания — система реагирует на безобидные действия и мешает работе. Большое количество тревог перегружает службы безопасности, рассеивая внимание.

• Сложность администрирования. В крупных компаниях DLP обычно состоит из нескольких модулей, и политики требуют регулярного обновления. Настройка таких систем затруднительна, и многие организации признают сложности их поддержки.

Тем не менее, при правильной настройке и интеграции с другими решениями DLP заметно повышают шансы предотвратить утечки. Сегодня классические DLP‑системы дополняются ML‑технологиями и облачными платформами.

DSPM-системы (Data Security Posture Management)

DSPM — современная альтернатива традиционным DLP-системам, созданная специально для облачной инфраструктуры. Если DLP больше подходят для классических корпоративных сетей, то DSPM решают задачи защиты данных в облаке, где традиционные подходы работают не так эффективно.

DSPM-системы автоматически находят и классифицируют данные в облачных хранилищах, анализируют права доступа и выявляют потенциальные риски. Они понимают структуру облачных сервисов и могут обнаружить, например, что база данных с персональными данными клиентов открыта для всех сотрудников компании или что конфиденциальные документы лежат в публичном облачном хранилище.

Главное отличие DSPM от DLP — проактивный подход. Вместо того чтобы ждать попытку передачи данных и блокировать её, DSPM заранее выявляет проблемы в настройках безопасности и предупреждает о рисках. Например, Yandex Security Deck сканирует облачную инфраструктуру и показывает, где данные могут быть под угрозой, ещё до того, как произойдёт реальная атака.

DSPM особенно важны для компаний, которые активно используют облачные сервисы и работают с большими объёмами данных. Они помогают поддерживать безопасность в динамичной облачной среде, где ресурсы постоянно создаются, изменяются и удаляются.

SIEM‑системы (Security Information and Event Management)

SIEM решает другую задачу — не предотвратить утечку, а обнаружить и расследовать атаку. Это своеобразный центр управления для ИБ‑аналитиков. SIEM собирает логи событий со всех источников: серверов, сетевого оборудования, баз данных и приложений. Затем система анализирует данные, выявляя аномалии и взаимосвязи.

Например, SIEM заметит, если учётная запись за короткое время скачала гигабайты данных и одновременно вошла с незнакомого IP‑адреса. Или распознает отключение логирования на нескольких серверах — это признак попытки скрыть следы. Аналитики проверяют детали и подтверждают или опровергают инцидент.

Главное преимущество SIEM — целостная картина происходящего. Система позволяет увидеть действия злоумышленника от начала до конца, так как собирает информацию со всех уровней инфраструктуры.

Внедрение SIEM тоже имеет свои сложности. Нужно настроить сбор логов со всех систем, разработать правила анализа и обучить персонал работать с сигналами. Без автоматизации и достаточного количества аналитиков SIEM может стать неэффективным. Тем не менее компании планируют увеличивать бюджеты на SIEM и готовят персонал к работе с ними, понимая, что грамотный анализ логов — ключевой элемент защиты.

Zero Trust против утечек данных

Zero Trust — подход, при котором никому нельзя доверять по умолчанию.

Компании переходят к Zero Trust из‑за роста рисков кибератак и требования регуляторов к защите данных. Внедрение требует перестройки инфраструктуры, усиленной аутентификации и обучения персонала.

Примеры подтверждают эффективность подхода. В 2024 году MITRE столкнулась с атакой через VPN, но благодаря Zero Trust проникновение быстро локализовали. Напротив, в 2023 году Британская библиотека из-за устаревшей сети потеряла большой объём данных. Отчёт по инциденту подчеркнул важность сегментации и Zero Trust.

Во второй части разберём юридические последствия: новые штрафы 420‑ФЗ, чек‑лист мер безопасности и практику настройки защиты в облаке.