September 3, 2021

Отмывание данных создает риски для конфиденциальности и безопасности

Отмывание данных - процесс, при котором данные, полученные незаконным путем (из даркнета или взломанной / украденной базы данных)
впоследствии подвергаются специальной обработке для придания аутентичности.

По мере того, как компании адаптируются к современным технологиям и новым методам ведения бизнеса, появляются дополнительные возможности для сбора и использования данных. Поэтому отмывание данных становится все более серьезной проблемой.

Крис Пин, вице-президент PKWARE по безопасности и конфиденциальности, объяснил, что данные могут быть получены несколькими способами: куплены у продавца в даркнете, скачаны с веб-сайта компании или получены с помощью вредоносных программ, фишинга по электронной почте или даже MITM-атаки.

«Получив данные, злоумышленники обычно пропускают их через рандомизатор, который представляет собой инструмент для очистки данных, помогающий рандомизировать недостающую или ценную информацию, чтобы сделать данные более легитимными для потенциальных покупателей», - сказал Пин.

Проблема отмывания данных

Проблема с отмыванием данных состоит в том, что ничего не подозревающие покупатели могут приобрести украденные данные, также становясь частью процесса по их отмыванию.

«Давайте разберемся, что происходит после покупки организацией украденных данных. Как и любые другие данные, они будут где-то храниться, например, в базе данных », - объяснил Пин.« Хранение и системные ресурсы сами по себе являются большими инвестициями. Для обработки большего объема данных, компания вынуждена соответственно увеличивать ресурсы. Помимо хранилища, организация применяет для этих незаконных данных все имеющиеся средства контроля безопасности, обнаружения, управления данными и т. д.».

По словам Пина, именно на данном этапе все становится действительно плохо. Ведь ИТ-организация сделала все возможное, чтобы бизнес начал включать такой набор данных в ИИ, машинное обучение и другие автоматизированные процессы принятия решений.

«Возможно, ваша организация планирует проводить маркетинговые кампании, исследования региональных продуктов или тенденций и многое другое. Проблема заключается в том, что отмытые данные могут содержать много неточностей и привести бизнес к убыткам из-за решений, основанных на ложных данных. Причем, это только деловая сторона проблемы», - сказал Пин.

С другой стороны, нелегальные данные несут огромные риски. Невозможность подтвердить легитимность данных (или ее отсутствие) сделают позицию организации уязвимой в случае судебного разбирательства.

«Если ваша компания начнет продавать украденные электронные письма, у потребителей сразу возникнет ряд вопросов, откуда вы получили электронные письма и с какой целью делали это», - пояснил Пин. «Поскольку вы не сможете ответить на данные вопросы, у потребителей будет основание для предъявления индивидуального иска, возможна даже подача коллективного иска».

По мнению Пина, организации, занимающиеся торговлей данными, должны быть полностью уверены в своих источниках.

Отслеживание цепочки поставок

Кроме того, поставщики данных также должны быть уверены в своих источниках. Поэтому необходимо отслеживать всю цепочку поставок, чтобы гарантировать достоверность данных, а ткже законность обмена данными.

Пин уверен, что по прошествии времени законы о конфиденциальности наверстают упущенное. Отслеживание цепочки хранения данных станет обязательным требованием для организаций и федеральных ведомств.

Эндрю Барратт, управляющий директор по решениям и расследованиям в Coalfire, провайдере консультационных услуг по кибербезопасности, пояснил, что отмывание данных не является чем-то новым, и долгое время считается проблемой в сфере «продажи данных».

«Отмыть данные не так сложно, как думают многие», - сказал Барратт. «Киберпреступники используют как небольшие манипуляции с Excel, так и специальные алгоритмы очистки при крупномасштабном сборе утечек данных, таким образом удаляя всю информацию для атрибуции источника».

Баррат объяснил, что после того, как список имен, адресов и электронных писем был разбит на части, практически невозможно определить источник их происхождения. Против подобной процедуры помогает только присутствие в наборе данных специальных «канареечных» ( ‘canary’) записей.

Как бороться с отмыванием данных

Для борьбы с отмыванием данных законы о конфиденциальности должны продолжать развиваться в соответствии с GDPR- и California CPA-стандартами, обязывая компании удалять данные по запросу граждан, заявил Барратт.

По его словам, GDPR прошел долгий путь, установив права высокого уровня для субъектов данных в Великобритании и ЕС, США также движутся в этом направлении от штата к штату.

«На федеральном уровне Конституция и Билль о правах прямо не наделяют граждан правом на неприкосновенность частной жизни, хотя существуют различные прецедентные законы, в которых приводятся аргументы в пользу неприкосновенности частной жизни», - отметил Барратт.

К сожалению, с точки зрения безопасности, если записи взяты из скомпрометированных наборов данных, «лошадь уже убежала, а корабль отплыл», - сказал он. Такие записи по-прежнему будут представлять проблему с конфиденциальностью, а также доставлять неудобства пользователям. Обладателей скомпрометированных данных завалят маркетинговым спамом, целевой рекламой и т. д.

«В зависимости от контекста данных, также могут возникнуть проблемы с личной безопасностью, связанные с потерей имен и адресов, сведений о социальном обеспечении и медицинских записей», - предупредил Барратт.

Джон Бамбенек, советник по анализу угроз в Netenrich, также указал, что основной целью регулирования должны выступать компании, приобретающие данные, чтобы гарантировать надежность поставщиков и сбор данных только в законных целях.

«Было бы лучше, чтобы данные о потребителях принадлежали потребителю. Все покупки и продажи должны производиться только с согласия потребителя. Но к сожалению, в Соединенных Штатах мы далеки от этого», - сказал он.

Бамбенек отметил, что любое действие, поощряющее или монетизирующее преступную деятельность, способствует ее продолжению. Многие компании, занимающиеся покупкой сомнительных данных, скорее всего намеренно смотрят не в ту сторону.

«В отличие от программ-вымогателей, нет причин отдавать деньги подобным преступным бандам. Компании не должны пользоваться услугами киберпреступных наемников для загрузки своих информационных машин», - уверен Банбенек.