Спецпроекты

ВУЗы стали гнездом инсайдеров

Безопасность
Инсайдеры по всему миру в поте лица трудятся над предоставлением аналитикам пищи для размышлений. Представляем первый в 2007 году обзор инцидентов внутренней ИТ-безопасности, согласно которому от утечек больше всего страдает социальная сфера, в частности ВУЗы.

Несмотря на то, что для россиян прошлый рабочий месяц оказался намного короче обычного, утечек от этого меньше не стало. Так, в январе база инцидентов пополнилась 15 новыми записями. Крупных инцидентов (свыше 100 тыс. пострадавших граждан) было всего два. Это кража компьютеров из офиса Electronic Registry Systems и утечка из TJX Companies. Однако другие случаи инсайдерства назвать малочисленными тоже язык не поворачивается.

Рейтинг утечек информации в мире по сумме ущерба, январь 2007

Инцидент Дата занесения в базу Число пострадавших Ущерб
1 Утечка персональных данных 70 тыс. студентов, выпускников и работников Университета Айдахо в Москве 12 января 70 тыс. человек 27,7 млн. долл.
2 Утечка финансовой информации о покупателя крупнейшей сети розничных магазинов под управлением TJX Companies 19 января 250 тыс. человек 25 млн. долл.
3 Кража компьютеров из офиса фирмы Electronic Registry Systems с приватными данными клиентов 5 страховых компаний 10 января 120 тыс. человек 22 млн. долл.
4 Из консалтинговой фирмы Tower Perrin украли 5 ноутбуков с персональной информацией клиентов компании 9 января 55 тыс. человек 10,2 млн. долл.
5 Из базы данных отдела здравоохранения Гавайев инсайдер похитил приватные сведения об 11,5 тыс. малоимущих семей на островах 23 января 40 тыс. человек 5,8 млн. долл.
6 Компания Xerox долгое время умалчивала о пропаже ноутбука с персональными данными работников 26 января 15 тыс. человек 4,5 млн. долл.
7 Украден ноутбук из автомобиля сотрудника Финансового управления Северной Каролины 16 января 30 тыс. человек 2,5 млн. долл.
8 Из офиса по продажам строительной компании KB Home украден компьютер с информацией о клиентах фирмы 27января 3 тыс. человек 550 тыс. долл.
9 В Коста-Месе из офиса финансовой помощи преступники похитили компьютер с данными о доходах и другой чувствительной информацией студентов Вэнгардского Университета 25 января 5 тыс. человек 420 тыс. долл.
10 Злоумышленники украли 30 компьютеров с данными пациентов Лимингтонского медицинского изолятора 18 января 4 тыс. человек 340 тыс. долл.
11 Из административного корпуса школы магнетизма в Норт-Чарльстоне похищен лэптоп с информацией о студентах 12 января 500 человек 43 тыс. долл.
12 Неизвестные украли ноутбук адьюнкт-профессора Университета Ратджерса с приватной информацией студентов 26 января 200 человек 18 тыс. долл.
13 Утечка конфиденциальной информации о гражданах России из МВД 14 января 90 тыс. человек Неизвестно*
14 Утечка базы данных клиентов "Корбины телеком" 15 января 40 тыс. человек** Неизвестно*
15 Инсайдер вынес ноутбук из учебного центра Учебного авиационного корпуса 18 января Неизвестно*** Неизвестно*

* - данных для определения ущерба недостаточно
** - база неактуальна и дополнительного ущерба "Корбине" не нанесет
*** - в данном случае военные тщательно скрывают, что за информация находилась на компьютере и кто пострадает в случае разглашения тайны

Источник: InfoWatch, 2007

Если говорить в целом, то в январе произошло большое количество утечек персональных данных и конфиденциальной информации из учебных заведений. Подобные происшествия составили ровно треть всех инцидентов. Среди пострадавших учащиеся школы в Норт-Чарльстоне, студенты и работники университета Айдахо, Вэнгардского университета, университета Ратджерса, курсанты Учебного авиационного корпуса в Англии. Также немало утечек допустили медицинские учреждения. Обе закономерности говорят о слабости систем защиты информации в отраслях образования и здравоохранения.

Очередной утечкой отметились американские налоговые службы. Из Финансового управления Северной Каролины украли ноутбук с приватными данными о 30 тыс. граждан. Можно сделать вывод, что чаще всего "утекают" данные в социальной сфере (образование и здравоохранение) и в правительственных ведомствах. Между тем, именно в этих организациях сосредоточено большое количество информации о частных лицах.