2024 год раскрыт: тревожное состояние утечек данных в Австралии

В последнем отчете Управления комиссара по информации Австралии о подлежащих уведомлению утечках данных отмечен стремительный рост числа подлежащих уведомлению утечек данных по всей стране за первые шесть месяцев 2024 года — на 9% больше по сравнению с последними шестью месяцами 2023 года и самое большое количество уведомлений с 2020 года.

Отчет, опубликованный в сентябре, показал, что недавние утечки данных, включая пляж медицинского рецептурного сервиса MediSecure, затронувший 12,9 млн австралийцев, вызвали резкую реакцию со стороны OAIC. Агентство предупредило, что оно принимает более жесткую позицию в отношении конфиденциальности данных и утечек, подчеркивая, что организации должны отдавать приоритет конфиденциальности в своей практике работы с данными.

В каких отраслях чаще всего происходят утечки данных?

OAIC опубликовала статистическую информацию об уведомлениях об утечках данных с момента запуска схемы Notifiable Data Breaches в Австралии в 2018 году. В последнем отчете говорится следующее:

Всего с января по июнь 2024 года было получено 527 уведомлений, что на 9% больше, чем 485 уведомлений, полученных с июля по декабрь 2023 года. За последний полугодовой период было получено наибольшее количество уведомлений с июля по декабрь 2020 года, в разгар глобальной пандемии COVID-19. В пятерку секторов, в которых чаще всего случались утечки данных, вошли поставщики услуг здравоохранения (102 утечки), правительство Австралии (63), финансы (58), образование (44) и розничная торговля (29).

Вредоносные или преступные атаки, как внешние, так и внутренние, были источником 67% всех утечек данных, за которыми следовали человеческие ошибки (30%) и системные сбои (3%). Вредоносные или преступные атаки включали киберинциденты (57%), социальную инженерию/выдачу себя за другое лицо (27%), кражу документов или хранилищ данных (8%) и угрозы со стороны мошеннических сотрудников/инсайдеров (8%). В большинстве зарегистрированных утечек (63%) было задействовано 100 человек или меньше, но было восемь крупномасштабных утечек, затронувших более 100 000 человек, включая «крупнейшую в истории» утечку MediSecure в Австралии.

SEE: Австралийские организации сталкиваются с самым высоким уровнем утечек данных

Киберинциденты доминируют среди вредоносных и преступных атак в Австралии

Киберинциденты продолжают оставаться распространенной причиной утечек данных, составляя 38% от общего числа утечек. Киберинциденты были определены как те, которые включают фишинг, программы-вымогатели, скомпрометированные или украденные учетные данные (метод неизвестен), атаки методом подбора, взлом и вредоносное ПО — но не атаки в стиле социальной инженерии.

Среди различных вредоносных или преступных атак киберинциденты оказали наибольшее влияние на отдельных лиц. В среднем 107 123 человека пострадали от 201 киберинцидента, в то время как в среднем 4 709 человек пострадали от инцидентов, вызванных недобросовестными сотрудниками или внутренними угрозами.

В своем отчете комиссар Австралии по вопросам конфиденциальности Карли Кайнд заявила, что продолжающееся преобладание киберинцидентов в общем количестве утечек данных, о которых сообщается в OAIC, обусловлено «тем, что наша растущая зависимость от цифровых инструментов и онлайн-сервисов все чаще раскрывает наши данные злоумышленникам в киберпространстве».

Однако человеческая ошибка по-прежнему составляет 30% уведомляемых утечек данных. Главными категориями человеческих ошибок были:

Персональные данные отправлены не тому получателю электронной почты (38%). Несанкционированное раскрытие информации или непреднамеренное раскрытие или публикация (24%). Неиспользование опции Bcc (скрытая копия) при отправке электронной почты (10%).

Всплеск утечек данных ставит австралийские правительственные учреждения в центр внимания

OAIC отметила, что правительство Австралии сообщило о втором по величине количестве утечек данных среди всех секторов, что является его самой высокой позицией за всю историю, хотя ранее оно входило в пятерку наиболее утечек. Согласно отчету:

Правительственные учреждения сообщили о 63 утечках данных с января по июнь 2024 года, что составляет 12% всех уведомлений об утечках данных в Австралии. На правительство пришлось наибольшее количество утечек данных с использованием социальной инженерии или выдачи себя за другое лицо, что составляет 42% таких инцидентов. По данным OAIC, эти нарушения обычно связаны с тем, что злоумышленник выдает себя за клиента, чтобы получить доступ к учетной записи, используя законные учетные данные. Правительство также действует медленнее: у него была самая большая доля (87%) уведомлений, когда агентство идентифицировало инцидент более чем через 30 дней после его совершения, в то время как 78% уведомлений правительства были сделаны более чем через 30 дней после того, как агентству стало известно об инциденте.

SEE: Готов ли государственный сектор Австралии к крупному инциденту в сфере кибербезопасности?

Как организации могут остановить утечки данных?

Эксперты по безопасности постоянно напоминают организациям, что многие утечки данных или кибератаки можно предотвратить, внедрив базовые меры кибербезопасности. OAIC представил несколько рекомендаций, основанных на тенденциях в данных об утечках данных.

Смягчение киберугроз

OAIC рекомендовала внедрить многофакторную аутентификацию в качестве первоочередной задачи для предотвращения киберугроз или надежные политики и методы управления паролями, если MFA недоступна. Агентство также рекомендовало:

Внедрение многоуровневого контроля безопасности для предотвращения единой точки отказа. Обеспечение уровней доступа к информации на основе ролей и обязанностей. Использование мониторинга безопасности для обнаружения, реагирования и сообщения об инцидентах или необычной активности.

В качестве мер по улучшению практики OAIC указала на такие рамочные документы, как Essential Eight Австралии, Руководство по информационной безопасности Австралийского управления радиоэлектронной борьбы, Рамочную концепцию кибербезопасности Национального института стандартов и технологий США, а также стандарты управления информационной безопасностью ISO 27001 и ISO 27002 Международной организации по стандартизации.

Риски расширенной цепочки поставок

По данным OAIC, некоторые крупномасштабные утечки данных вызваны нарушениями в цепочке поставок, например, утечка, затронувшая MediSecure, и еще один инцидент с Outabox. Агентство добавило, что аутсорсинг обработки личной информации третьим лицам остается распространенным риском.

Агентство заявило, что компании должны учитывать риски аутсорсинга обработки личной информации на самой ранней стадии закупок, в том числе облачным провайдерам. Оно также рекомендовало организациям внедрить надежную структуру управления рисками поставщиков, а также более надежные меры безопасности.

Учет человеческого фактора

OAIC подчеркнул, что отдельные лица остаются значительной угрозой для прочности практик конфиденциальности. Эти угрозы включают нарушения из-за человеческой ошибки или обмана сотрудников с помощью фишинга.

Агентство призвало организации внедрить технические меры для сокращения ошибок и подчеркнуло, что обучение персонала имеет важное значение для обеспечения понимания ими своих обязательств по обеспечению конфиденциальности и безопасности. Оно также рекомендовало отдать приоритет обучению персонала методам безопасной обработки информации.

Неправильная конфигурация облачных хранилищ данных

Некоторые организации «не обращают внимания» на безопасность облаков в процессе цифровой трансформации, заявила OAIC. Различные утечки данных в течение квартала произошли, когда австралийская организация неправильно настроила параметры безопасности из-за человеческой ошибки, в результате чего персональные данные стали уязвимыми для несанкционированного доступа или публичного раскрытия.

OAIC заявила, что организации не должны считать, что ответственность за безопасность облака лежит на поставщике. Агентство указало, что безопасность и управление облаком должны быть приоритетом, подчеркнув важность таких мер, как безопасный контроль доступа через MFA, контроль доступа по IP и шифрование.