Разделы

Безопасность Стратегия безопасности

Инсайдерские проделки скрывать все труднее

Нынешний август стал рекордсменом по количеству утечек – за 31 день последнего летнего месяца было зарегистрировано 29 инцидентов. Известный тезис о том, что утечки происходят чуть ли не каждый день, к сожалению, получил документальное подтверждение. При этом не стоит забывать, что огромное количество утечек остаются неизвестными широкой массе специалистов.

Особенную активность в августе проявляли похитители ноутбуков. Наверное, это связано с периодом отпусков, а значит – с большим количеством всевозможных переездов. Может быть, виной всему беззаботное летнее настроение, посещавшее хозяев ноутбуков с завидным постоянством. В результате действий грабителей было похищено не менее 18 лэптопов с приватными данными. А еще несколько случаев были связаны с кражами компьютерного оборудования непосредственно из офисных зданий.

От похитителей ноутбуков страдали практически все организации, независимо от их размера и сферы деятельности. В числе жертв можно увидеть финансовые и страховые компании (Aflac, Merrill Lynch), государственные учреждения (округ Юба, министерство по налогам и сборам штата Коннектикут), энергетические компании (E-ON-U.S) и даже медицинские учреждения (Capital Health, Providence Alaska Medical Center). Отметим, что в подавляющем большинстве (16 из 18) случаев украденная информация была не зашифрована, а всего лишь защищена разнообразными паролями. Другими словами, любой "продвинутый" пользователь системы мог элементарно получить к ней доступ.

Топ-10 утечек корпоративных данных, август, 2007

Инцидент Дата занесения в базу Количество пострадавших Ущерб, млн. долл.
1 С помощью троянской программы злоумышленники получили доступ к базе вакансий сайтов Monster.com и USAjobs.gov 21 августа 1,8 млн. человек 244
2 Организация CalPERS разослала листовки, на которых были напечатаны номера социального страхования 22 августа 485 тыс. человек 41
3 Сотрудник страховой компании Aflac потерял ноутбук с информацией о клиентах 1 августа 150 тыс. человек 27
4 Консультант агентства финансовых услуг потерял ноутбук с приватными данными нескольких американских пенсионных фондов 23 августа 280 тыс. человек 24
5 Неизвестные грабители укради ноутбук, принадлежащий налоговому ведомству штата Коннектикут. На компьютере содержалась информация о налогоплательщиках 30 августа 106 тыс. человек 22
6 В результате хакерской атаки международный оператор Tele2 потерял сведения о своих норвежских клиентах 10 августа 60 тыс. человек 7,2
7 Некое "компьютерное устройство" было украдено из офиса финансовой компании Merrill Lynch 7 августа 33 тыс. человек 6,2
8 В калифорнийском округе Ююба пропал ноутбук с приватными данными местных жителей 2 августа 70 тыс. человек 5,8
9 Медицинский центр Sky Lakes в Орегоне держал персональные данные пациентов в открытом доступе 15 августа 30 тыс. человек 5,6
10 Общество бывших военнопленных штата Техас потеряло ноутбук с приватными данными собственных членов 31 августа 35 тыс. человек 3

Источник: InfoWatch, 2007

Интересно, что в августе "отличились" сразу две компании, работающие на рынке информационной безопасности. Вначале это сделала компания Facetime (поставщик решений IM-безопасности), которая держала приватные данные посетителей своего сайта в открытом доступе. "Эстафетную палочку" от Facetime приняла корпорация Verisign, работающая на рынке защищенных транзакций и сертификатов. Утечка из Verisign оказалась более банальной – сотрудник компании не сумел сберечь собственный ноутбук. Парадоксально, но его дисковая система не была зашифрована – а ведь одной из специализаций Verisign являются SSL-сертификаты.

Самая крупная утечка прошедшего месяца оказалась и самой интересной. Дело в том, что сотрудники сайта Monster.com долго не хотели признавать факт утечки, говоря о том, что похищенная информация доступна в любой "телефонной книге". Однако среди украденных данных находились, в частности, электронные адреса, которые не публикуются в телефонных книгах. И никакую телефонную книгу нельзя использовать как средство для создания массовых спамовых рассылок.

Модуль «Управление уязвимостями» на платформе Security Vision: как выявить и устранить уязвимости в своей ИТ-инфраструктуре
Безопасность

Интересен и второй инцидент рейтинга, который произошел в Калифорнии. Организация CalPERS (California Public Employees` Retirement System) разослала 485 тысяч листовок, сообщающих о грядущих выборах в собственный совет директоров. Кроме всевозможной информации, на каждой листовке был напечатан номер социального страхования пенсионера, которому эта листовка предназначалась.

Несмотря на всю несуразность ситуации, утечка обнаружилась не сразу. Чиновников выручила некая Джанетт Браун (Jeanette Brown) - пенсионерка, проработавшая 39 лет в налоговых органах. Наблюдательная женщина заметила собственный номер социального страхования на листовке и сообщила об этом в соответствующие инстанции. И только после этого сотрудники CalPERS признали факт утечки и извинились в прессе перед пострадавшими пенсионерами

Общая картина произошедших утечек оказалась весьма разнообразной. В августе происходили не только банальные кражи компьютеров, но и другие более интересные инциденты. Аналитический центр InfoWatch зарегистрировал несколько веб-утечек (Sky Lakes Medical Center, Facetime), несколько "хакерских" инцидентов (monster.con, Tele2), а также ряд весьма специфичных случаев (тюрьма Wabash Valley, лаборатория в Лос-Аламосе). Прошедший август подтвердил, что от утечек не защищены ни тюремщики, ни ядерщики, ни даже учащиеся элитных школ (Loomis Chaffee)