Według założyciela firmy BlackFog ponad 95% ataków ransomware obejmuje jakąś formę eksfiltracji danych. Z kolei raport Cost of Data Breach firmy IBM wskazuje, że w 2024 roku średni koszt naruszenia danych wyniósł 4,88 mln dolarów, natomiast średni czas potrzebny na ujawnienie incydentu to aż 194 dni. Wskazuje to, jak poważnym zagrożeniem są działania cyberprzestępców nastawione na kradzież danych.

Eksfiltracja danych to celowe i nieautoryzowane przeniesienie informacji z systemu IT do lokalizacji kontrolowanej przez atakującego. Proces ten może być przeprowadzony ręcznie przez osobę z dostępem do systemu, w tym także pracownika, który działa świadomie jako insider, lub zautomatyzowany za pomocą złośliwego oprogramowania.

W przeciwieństwie do eksfiltracji wyciek danych odnosi się do niezamierzonego ujawnienia informacji spowodowanego np. błędami technicznymi, nieadekwatną polityką bezpieczeństwa czy brakiem szkoleń pracowników.

Główna różnica między tymi dwoma zjawiskami polega na intencji i sposobie działania. Z definicji eksfiltracja danych jest bowiem zamierzona i realizowana przez cyberprzestępcę. Do wycieku danych może natomiast dojść np. z powodu przypadkowego opublikowania danych w sieci czy wysłania ich do innej, niż zamierzona, osoby ze względu np. na błąd przy wpisywaniu adresu e-mail.

Atakujący zwykle dostosowują swoje działania do technologii wykorzystywanych w firmie, jej kultury organizacyjnej oraz poziomu świadomości pracowników. Mają do wykorzystania szeroki zestaw narzędzi cyberprzestępców.

Ataki socjotechniczne

Socjotechnika opiera się na psychologicznym oddziaływaniu na pracowników. Ma na celu skłonienie ich do nieświadomego ujawnienia poufnych informacji lub wykonania działań umożliwiających dostęp do zasobów IT organizacji. Cyberprzestępcy mogą w tym celu wykorzystać phishing, pretexting (polega na stworzeniu fałszywego scenariusza i narracji, które mogą nakłonić określone osoby do spełnienia prośby atakującego), a nawet starannie spreparowane deep fake’i.

Złośliwe oprogramowanie

Cyberprzestępcy dokonują eksfiltracji dzięki keyloggerom, infostealerom czy trojanom, które umożliwiają zdalny dostęp do zasobów IT organizacji lub pozyskiwanie danych logowania. Złośliwe oprogramowanie może zostać wstrzyknięte do systemu m.in. w wyniku ataku socjotechnicznego.

Wykorzystanie podatności

Atakujący skanują infrastrukturę IT organizacji w poszukiwaniu słabych punktów, takich jak nieaktualne oprogramowanie, błędnie skonfigurowane serwery czy niezabezpieczone aplikacje webowe. Mogą one stanowić punkty wejścia, które posłużą do eksfiltracji danych.

Insider threat, czyli zagrożenie z wewnątrz

Eksfiltracji można dokonać także w bardziej tradycyjny sposób, czyli poprzez nakłonienie osoby z wnętrza organizacji do wyniesienia danych na zewnątrz, np. na pamięci przenośnej lub płycie. Motywacje takich działań mogą być różne – zemsta, chęć zysku czy szantaż.

Eksfiltracja danych może mieć wielowymiarowe i długotrwałe konsekwencje, prowadzić może nawet w konsekwencji do utraty danych przez firmę. Jest to szczególnie dotkliwe w przypadku informacji, których odzyskanie jest trudne lub niemożliwe. Dotyczy to m.in. danych finansowych czy własności intelektualnej - ich utrata może zakłócić codzienne operacje i strategiczne plany firmy. W przypadku eksfiltracji danych zapewniających przewagę konkurencyjną, takich jak informacje handlowe, plany rozwoju produktów czy strategie biznesowe, sytuacja rynkowa przedsiębiorstwa może ulec znacznemu osłabieniu.

Eksfiltracja nie pozostaje bez wpływu także na reputację przedsiębiorstwa. Klienci oczekują, że ich dane będą bezpieczne. Badania firmy Verizon wskazują, że 69% konsumentów unika przedsiębiorstw, które doświadczyły naruszenia danych (nawet jeśli oferują lepszą ofertę od konkurencji). Przekłada się to na pogorszenie kondycji finansowej przedsiębiorstwa.

Dla finansów firmy poważnym zagrożeniem mogą być także kary administracyjne związane z naruszeniem przepisów o ochronie danych osobowych. Utrata danych chronionych, np. przez przepisy RODO, naraża firmę na kary w wysokości do 20 mln euro lub 4% rocznego obrotu. Ponadto poszkodowani klienci mogą dochodzić swoich praw w sądzie, domagając się odszkodowań.

Konsekwencje eksfiltracji danych mogą odbić się negatywnie również na morale pracowników, obniżając ich zaangażowanie, a także spowodować znaczny wzrost składek na ubezpieczenie od incydentów cybernetycznych.

Całkowite wyeliminowanie ryzyka eksfiltracji danych jest niemożliwe. Można jednak wdrożyć działania prewencyjne, które zwiększają poziom cyberbezpieczeństwa i znacząco ograniczą prawdopodobieństwo incydentu typu data exfiltration.

Najsłabszym ogniwem wielu systemów bezpieczeństwa są pracownicy, dlatego tak ważne są regularne szkolenia z zakresu security awareness. Prowadzą je doświadczeni eksperci, którzy doskonale wiedzą, czym jest eksfiltracja danych i jak zabezpieczyć przed nią organizację.

W ramach usługi Netia Phishing-on-Demand nasi specjaliści mogą przeprowadzić kontrolowany atak, sprawdzając poziom przygotowania kadry. Usługa ochrona poczty elektronicznej zmniejsza ryzyko, że to błąd pracownika zapewni cyberprzestępcy możliwość kradzieży danych. W połączeniu z uwierzytelnianiem wieloskładnikowym (MFA) znacząco utrudni to uzyskanie nieautoryzowanego dostępu osobom spoza organizacji.

Nie należy zaniedbywać także technicznych rozwiązań z zakresu cyberbezpieczeństwa zapewniających kompleksową ochronę. Netia SOC na bieżąco monitoruje kluczowe elementy infrastruktury firmy, dzięki czemu możliwa jest natychmiastowa reakcja na incydenty bezpieczeństwa. Ponadto warto też zadbać o segmentację sieci, szyfrowanie danych i komunikacji oraz stosowanie zasad najmniejszych uprawnień.