Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Хроника крупнейших утечек. Август 2008

Количество утечек личной информации неуклонно растет. Так, за предыдущий месяц компанией Perimetrix было зафиксировано 39 таких инцидентов. Для сравнения: за весь 2005 год американских центр исследования преступлений в области кражи персональных данных (Identity theft resource center, ITRC) сообщил о 158 утечках (в среднем это 13 в месяц).

По данным исследования, самой популярной причиной утечки информации является кража или потеря компьютерного оборудования – на нее приходится 36% всех зарегистрированных инцидентов. Большинство утечек из этой категории – это банальные кражи ноутбуков у сотрудников различных компаний. На компьютерах часто присутствует секретная информация, которая в случае кражи часто попадает в руки злоумышленников. Единственный способ защиты от такого рода инцидентов – шифрование – до сих пор применяется сравнительно редко.

Очень часто причиной потери оборудования становится разгильдяйство логистических компаний, теряющих посылки с конфиденциальными носителями. Такие инциденты могут обернуться очень масштабными последствиями, особенно если перевозилась лента с корпоративными архивами.

Второй по популярности категорией стали так называемые «веб-утечки» (15,38%) – публикация приватных сведений в общедоступных источниках (интернете или интранете). Удивительно, но эта угроза опередила такие «раскрученные» проблемы, как спланированный инсайд и внешние вторжения. По мнению специалистов компании Perimetrix, угроза веб-утечек серьезно недооценивается, и потому такие инциденты случаются достаточно часто.

На инциденты, связанные с промышленным шпионажем и инсайдом, пришлось почти 13% всех зафиксированных утечек. С одной стороны, эту долю нельзя назвать критически большой, с другой – именно инсайдерские инциденты, как правило, оказываются наиболее масштабными. Так, в нынешнем августе случилось сразу две инсайдерских утечки-миллионика: в американской ипотечной фирме Countrywide и крупном немецком операторе Deutsche Telekom.

Оставшиеся типы утечек – хакерские вторжения, а также почтовые и бумажные утечки – значительно менее опасны. Первая угроза (хакеры) труднореализуема на практике и перегрета в прессе, а почтовые и бумажные утечки предполагают компрометацию информации на бумажных носителях. Понятно, что количество сведений, которые могут быть скомпрометированы таким образом, не может быть слишком большим.

Распределение утечек по отраслям, август 2008

Госструктура – 23,08%, финансы – 23,08%, образование – 15,38%, медицина – 12,82%, телеком – 5,13 %, другое – 20,51%.

Отраслевое распределение утечек наглядно показывает масштаб проблемы и основные вертикальные группы риска. Особое внимание утечкам должны уделять госструктуры и финансовые организации, а также предприятия телекоммуникационной сферы. Последние допускают утечки не очень часто, однако практически каждый инцидент такого рода приводит к весьма плачевным последствиям.

Отдельно хочется сказать о категории «другая отрасль», на которую пришлась пятая часть всех случившихся инцидентов. Среди предприятий, попавших в эту категорию, присутствовали авиакомпании, нефтедобытчики и даже производственные конгломераты. В общей сложности только за август утечки допустили фирмы 11 отраслей, а значит – от них не застрахована практически ни одна организация.

Крупнейшие утечки августа

Организация

Пострадавшие

Скомпрометированные

Описание утечки

Английские банки и платежные системы (American Express, NatWest и Royal Bank of Scotland)

Клиенты банков и платежных систем «несколько миллионов» человек

Имена, адреса, номера телефонов и банковских счетов, номера кредитных карт и даже подлинные подписи

ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman) купил на аукционе eBay компьютер, содержавший конфиденциальные банковские записи более 1 млн. клиентов American Express, NatWest и Royal Bank of Scotland. Несмотря на то, что такая база данных стоит на черном рынке миллионы долларов, компьютер был продан по цене в ?35.

Deutsche Telekom, крупнейший немецкий оператор

30 млн клиентов Deutsche Telekom

«Персональные сведения» клиентов Deutsche Telekom

Deutsche Telekom намерен обратиться в прокуратуру Бонна с иском в отношении одного из собственных call-центров, который нелегально воспользовался базами данных концерна

Нефтяная компания Лукойл

Все миноритарные акционеры «Лукойл»

Контактная информация акционеров, а также размеры их пакетов

«Лукойл» ведет расследование утечки информации о своих акционерах. Об утечке стало известно после почтовой рассылки, которую провела некая кемеровская компания «Интеллект-Капитал»

Ирландское министерство семьи и социальных проблем

Участники программ социального обеспечения (социально незащищенные граждане), 380 тыс. человек 

Имя, персональный сервисный номер (ирландский аналог номера социального страхования) и другие данные

Информация участников социальных программ хранилась на ноутбуке министерства, который был украден в результате вторжения в офис генерального аудитора Ирландии

Countrywide Financial Corporation, крупная американская ипотечная компания

Клиенты и соискатели ипотечных кредитов, в общей сложности 2 млн человек  

Имена, адреса, номера социального страхования и другая персональная информация

Старший финансовый аналитик Countrywide копировал персональную информацию на свою личную флешку с целью дальнейшей перепродажи. В настоящее время он задержан вместе с подельником

Источник: Perimetrix, 2008

Еще один инцидент, обнаруженный в августе, стоит особняком. У компании «Гротек» украли не совсем обычные «персональные данные». А именно программу конференции «Персональные данные», намеченной на 24 сентября. Конференции-клоны, организованные компаниями из смежных отраслей, едва ли будут популярными среди специалистов по информационной безопасности, однако сам факт копирования идей по данной теме говорит о том, что операторов персональных данных волнуют одни и те же проблемы.

Это подтверждает и программный директор конференции «Персональные данные» Мария Калугина. «Несмотря на очевидный плагиат, мы были рады увидеть свою программу, задекларированную другими компаниями», – рассуждает Мария. – «Это указывает на то, что подняты очень правильные и актуальные вопросы. Как трактовать закон, как выполнять, какая должна возлагаться ответственность за его невыполнение».

Сам ФЗ «О персональных данных» был создан и принят в ответ на растущую проблему утечек и неправомерного использования конфиденциальных сведений для того, чтобы защитить владельцев персональных данных – обычных граждан. Однако до сих пор он дает больше вопросов, нежели ответов.

Владимир Ульянов

Денис Зенкин: Большинство утечек в нашей стране остаются вне поля зрения

Своим экспертными мнением с CNews поделился Денис Зенкин, директор по маркетингу компании Perimetrix.

Несмотря на быстрый рост количества зарегистрированных инцидентов, численность пострадавших от утечек персональных данных пока не демонстрирует устойчивой тенденции к росту. Впрочем, очевидно, что публичные утечки – это всего лишь верхушка огромного айсберга. Кроме того, следует учитывать, что защищенность российских компаний значительно уступает защищенности иностранных фирм. И нет оснований полагать, что в нашей стране происходит меньше утечек. Просто абсолютное большинство из них остается вне поля зрения. В средства массовой информации сведения об инцидентах внутренней безопасности практически не попадают, что неудивительно в отсутствие регулирующих законов.

Вместе с тем, федеральный закон «О персональных данных» постепенно начинает набирать обороты, и вскоре может даже заработать на практике. Дальше – больше. Вначале всех операторов персональных сведений занесут в государственный реестр, а потом – заставят оповещать жителей об утечках. У нас же все-таки цивилизованная страна, которая заботится о своих гражданах. А если закон об обязательном оповещении все-таки будет принят – всем незащитившимся компаниям мгновенно станет очень плохо.

В любом случае, защищаться от утечек очень и очень полезно уже сейчас. Благо, сегодня на российском рынке существует не один соответствующий продукт, а несколько – на вкус и цвет каждого потребителя. И будет совсем неплохо, если статистика утечек подвигнет российские компании на новые внедрения.

Николай Федотов: Утрата носителя вообще не считается инцидентом

Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик компании InfoWatch.

Данные об утечках, собираемые компанией InfoWatch, хотя и отличаются от данных, представленных Perimetrix, но показывают такие же общие зависимости и тенденции.
Значительную часть известных инцидентов составляют потери и кражи мобильных носителей конфиденциальной информации – ноутбуков, дисков, флэш-накопителей. И в каждом сообщении о таком инциденте упоминается из раза в раз примерно следующее: «к сожалению, конфиденциальные данные не были зашифрованы». А задумывался ли читатель, отчего такая халатность? Неужели так трудно зашифровать? Хотя бы только чувствительную информацию. Хотя бы на мобильных носителях.

Все дело в том, что утрата носителя, на котором конфиденциальная информация была зашифрована, вообще инцидентом не считается. Не учитывается, не расследуется службой безопасности, об этом не уведомляются потенциальные потерпевшие и государственные органы, не узнает пресса. Поэтому и создается впечатление, что мало кто шифрует свои данные. На самом деле шифрование мобильных носителей достаточно распространено.

Оно было бы распространено повсеместно и тотально. Технически это несложно, и ресурсов тратится совсем немного. Однако имеются препятствия организационного типа. Не всегда удается преодолеть лень и беспечность пользователей. Как пользователей-работников (в случае защиты информации предприятия), так и пользователя-себя любимого (в случае защиты домашнего ПК).

Для первого случая часто применяется принудительное или полупринудительное шифрование. Например, работникам выдают мобильные компьютеры и флэшки с заранее инсталлированной и включенной системой шифрования всего содержимого. Или за шифрованием отчуждаемого носителя следит DLP-система, которая попросту не позволит записать на флэшку или CD незашифрованную конфиденциальную информацию.

Казалось бы, организовать такое не очень сложно. Технически – да. Но упомянутая методика входит в резкое противоречие с картиной мира, как ее видят многие руководители служб безопасности. В ходе своей работы автору неоднократно приходилось наблюдать следующую ситуацию. Вместо того, чтобы организовать шифрование конфиденциальных данных на всех переносных носителях, СБ вводит тупой запрет. Такие данные на ноутбуки и флэшки записывать запрещается. Раз запрещено, о шифровании можно не заботиться. Понятно, что запрет не соблюдают. Рядовые работники – втихаря, руководители – внаглую. Недолго приходится ждать, пока сисадмин спьяну посеет флэшку, а у вице-президента в аэропорту уведут казенный ноутбук. В предвкушении увлекательного процесса поиска и назначения виноватых хочется, однако, спросить: а не дешевле, не проще ли было с самого начала разрешить хранить конфиденциальную информацию на мобильных носителях, но с обязательным ее шифрованием?

В заключении хотелось бы отметить еще одну особенность обсуждаемых инцидентов. Часто в сообщениях мелькает нечто типа: «представитель компании выразил уверенность, что данные на утерянном носителе не будут использованы злоумышленником, поскольку они защищены паролем».

Возможно, для простого пользователя что шифрование, что «защита паролем» – все едино защита. Для специалиста это не так. Для такой угрозы, как утеря (хищение) носителя только шифрование рассматривается как защита, то есть, мера, снижающая стоимость риска. Любая иная «защита» (например, встроенная в ОС авторизация) для такого случая защитой не считается, риски не снижает и не делает инцидент менее опасным.

Источник: http://www.cnews.ru/reviews/index.shtml?2008/09/09/316970


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ