16 Июля, 2019

Банк, инсайдер и украденные данные 2,7 миллионов человек

Panda Security в России и СНГ
Согласно отчету Insider Threat Report 2018 , 90% компаний чувствуют себя уязвимыми перед инсайдерскими атаками. В этом же отчете указано, что за последние 12 месяцев 53% компаний подверглись инсайдерской атаке. Когда мы говорим об инсайдерах, существует два различных типа угроз: вредоносные инсайдеры, которые специально атакуют компания и наносят ей ущерб, и, с другой стороны, случайные инсайдеры, которые создают проблемы для компании в результате своей небрежности.

Исследование ущерба от нарушения данных (Cost of a Data Breach Study), выполненное исследовательской организацией Ponemon Institute объясняет, что наряду с хакерами вредоносные инсайдеры являются основной причиной нарушений данных, и что инциденты, вызванные инсайдерами, приводят к более ощутимому ущербу, чем другие виды нарушений.

Desjardins Group – жертва инсайдера
В конце июня этого года Desjardins Group, канадский банк и крупнейшее объединение кредитных союзов в Северной Америке, объявила о нарушении данных в компании. В результате данного инцидента пострадало примерно 2,7 миллионов физических лиц и около 173 000 компаний.

По данным Desjardins, лицо, стоящее за данным нарушением, являлось сотрудником компании, который собирал информацию о клиентах банка и передавал ее третьим лицам за пределами данной финансовой организации. Сотрудник был уволен и арестован, но пока ему не предъявлены обвинения.

Гай Кормье, руководитель (CEO) Desjardins Group, пояснил, что это был необычный случай в компании, когда не было механизмов контроля для предотвращения доступа к конфиденциальным данным. Он сказал, что ни один человек в банке не имеет права доступа к информации по всем его клиентам. Это означает, что вредоносный инсайдер использовал свой собственный привилегированный доступ вместе с аналогичными уровнями доступа других сотрудников для сбора всей информации, которую он украл.

Украденная информация включает в себя имена, адреса, даты рождения, номера социальных страховок, адреса электронной почты и информацию о привычных транзакциях клиентов. Пароли клиентов и PIN-коды не пострадали.

Обнаружение нарушения
Первый индикатор того, что происходит что-то странное, появился в декабре 2018 года. Desjardins уведомила полицию о некоторых подозрительных транзакциях, но понадобилось несколько месяцев, чтобы выяснить весь масштаб проблемы. В течение этого времени, компания сотрудничала с полицией для расследования инцидента. В мае полиция уведомила компанию, что в ней произошла утечка персональных данных 2,7 миллионов человек.

Хотя это может показаться достаточно длительным промежутком времени для обнаружения нарушения данных, но отчет Ponemon Institute показывает, что среднее время для обнаружения нарушения данных составляет 197 дней.
Что Desjardins делает для защиты своих клиентов?
Desjardins ввела дополнительные меры безопасности, такие как дополнительные шаги при подтверждении личности клиента. Компания также связалась со всеми клиентами, пострадавшими в результате данного инцидента, и предложила им страховку от кражи их личных данных, а также план кредитного мониторинга.

Ponemon Institute считает, что эти сервисы относятся к прямым расходам при нарушении данных, а согласно исследованию Канада имеет самые высокие прямые расходы за нарушение данных – 81 доллар США за каждую скомпрометированную запись.

Как защитить Вашу компанию
Ущерб от нарушения данных достаточно ощутим: в среднем 3,86 миллионов долларов США в прошлом году . Причем это исследование было выполнено до вступления в силу GDPR. В этом году, в результате действия нового законодательства о защите персональных данных, вполне вероятно, что ущерб от нарушения данных только возрастет.

Чтобы избежать этих убытков, крайне важно защищать персональные данные, которые обрабатываются в вашей компании. Надлежащий уровень защиты подразумевает возможность в любое время точно знать, кто имеет доступ к данным, кто обрабатывает их и какие действия осуществляются по отношению к ним. Таким образом, вы сможете остановить любого (внешнего хакера или внутреннего инсайдера) и не позволить ему украсть персональные данные.

Panda Data Control * предлагает такие инструменты. Более того, это решение также предоставляет непрерывный мониторинг неструктурированных персональных данных в сети вашей компании, поэтому в любое время вы точно знаете, какие данные у вас есть и где они находятся.

Этот случай является ярким примером того, какое воздействие могут иметь инсайдеры. К сожалению, инсайдеры (вредоносные или случайные) могут причинить любой ущерб. Вот почему непрерывный мониторинг всей ИТ-системы – это важный шаг для обеспечения безопасности вашей компании.

* Panda Data Control представляет собой модуль для решения ИТ-безопасности Panda Adaptive Defense . В настоящее время этот модуль пока не работает с персональными данными на русском языке или языках стран бывшего СССР. Данный модуль рекомендуется использовать компаниям, которые работают с персональными данными граждан Евросоюза для обеспечения требований GDPR .


Оригинал статьи: A bank, an insider, and 2.7 million people’s data stolen

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru