Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Утечки данных носят глобальный характер

Утечки данных носят глобальный характер От утечек данных продолжают страдать как частные лица, так и предприятия. Инциденты ставят под угрозу кражи личности. Компании несут миллионные убытки и серьезно рискуют своей репутацией. Невозможно выделить ни сферу деятельности, ни географический регион, где предприятия не пострадали бы от инсайдеров или страдали бы не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения — все эти организации зафиксировали массу утечек в 2006 году.

Аналитический центр InfoWatch подводит итоги ушедшего года и представляет первое глобальное исследование инцидентов внутренней информационной безопасности (ИБ). Целью проекта было проанализировать все утечки конфиденциальных или персональных данных, случаи саботажа или халатности служащих, а также другие инциденты внутренней ИБ, хотя бы раз в течение 2006 года упоминавшихся в СМИ. Глобальный характер исследования проявляется в том, что анализу подверглись внутренние нарушения вне зависимости от географической привязки компаний или госструктур, ставших жертвами инсайдеров. Таким образом, выявленные закономерности и тенденции одинаково применимы для компаний всех отраслей и стран.

Необходимо отметить, что это первый глобальный проект, направленный на исследование инцидентов внутренней ИБ. В 2004 году аналитический центр компании InfoWatch приступил к формированию базы инцидентов. На сегодняшний день база содержит около 500 записей, из которых 145 было добавлено в течение 2006 года. Именно этот массив инцидентов послужил исходными данными для исследования.

Полученные результаты были призваны органично дополнить исследование «Внутренние ИТ-угрозы в России 2006», в рамках которого компания InfoWatch и ее партнеры опросили более 1450 российских компаний. Однако в отличие от только что указанного проекта, «Глобальное исследование утечек 2006» позволяет выявить объективные тенденции развития внутренних угроз ИБ и обстоятельства такого рода нарушений.

Во-первых, именно бизнес больше всего страдает от утечек конфиденциальной информации. По результатам исследования, 66 % внутренних инцидентов пришлось на частные предприятия. Более того, бизнес несет и основное бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит от ее репутации, а именно по ней утечка наносит удар в первую очередь.

Во-вторых, в 2006 году от утечек информации пострадало просто огромное число граждан. Всего полторы сотни инцидентов поставили под угрозу кражи личности более 80 млн человек. Многие из них теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю.

В-третьих, каждая утечка персональных данных оборачивается миллионными убытками (в долларах). Помимо финансового ущерба, непоправимо ухудшается репутация компании, под угрозой кражи личности оказываются сотни тысяч людей. В среднем, от каждой утечки приватной информации в 2006 пострадало 785 тыс. человек.

В-четвертых, организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска. Использование именно мобильных устройств в половине всех инцидентов (50 %) привело к утечке информации в то время, как интернет использовался в качестве канала утечки всего в 12 % случаев.

И, наконец, наибольшую опасность для бизнеса представляют безалаберные сотрудники. По причине халатности в 2006 году произошло подавляющее большинство (77 %) всех утечек. Таким образом, инсайдеры могут найтись в любом коллективе.

Откуда утекает информация

Исследование 145 инцидентов внутренней ИБ показало, что утечки носят глобальный характер. Невозможно выделить ни сферу деятельности, ни географический регион, где бы компании не пострадали от инсайдеров вообще или страдали не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения — все эти организации зафиксировали массу утечек в 2006 году. Инсайдеры поставили под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы. Все те же мобильные устройства, все тот же интернет. В результате информация под грифом «секретно» неоднократно оказывалась в свободном доступе в интернете, у журналистов или иностранных государств.

Утечки в государственном и частном секторе

Источник: InfoWatch, 2007

На долю частных предприятий приходится в 2 раза больше утечек, случаев саботажа и др. инцидентов, чем на госструктуры. Это можно объяснить несколькими обстоятельствами. Во-первых, количество частных организаций значительно превышает число государственных. Во-вторых, госструктурам легче скрыть факт утечки. Ведь нередко именно регулирующий орган допускает внутренний инцидент ИБ. Таким образом, возникает проблема отсутствия контроля над контролером (регулятором). Вместе с тем, о фактах кражи информации из госструктур иногда становится известно. Это происходит либо когда инцидент просто невозможно утаить, либо когда требуется провести показательное дело с наказанием виновных. К примеру, в течение многих лет правительство США умалчивало о случаях нарушениях внутренней ИБ. А теперь одна за другой появляются новости об утечках и дырах системах безопасности. Одним из последних в ноябре 2006 Налоговое управление США сообщило о пропаже почти 500 ноутбуков за последние 4 года.

Положение коммерческих предприятий ухудшает не только большое число утечек, но еще и повышенный ущерб от каждой из них. Если рассмотреть потери вследствие утечек, то основные убытки фирмы несут из-за ухудшения репутации или снижения привлекательности торговой марки. Для госструктур подобная проблема не столь актуальна. На конкурентном рынке представлено много игроков, и клиенты могут легко сменить запятнавшего себя поставщика, но альтернативы собственной стране и ее министерствам просто нет. К примеру, налоговая служба допустила утечку большого количества данных предприятий или частных лиц. Население будет крайне недовольно случившимся, но от услуг государства отказаться не сможет в принципе.

Природа утечек

Инсайдеры крадут любую конфиденциальную информацию. Однако, как выявило исследование, персональные данные становятся объектом утечки в несколько раз чаще любой другой информации. Хотя интеллектуальная собственность, коммерческие и промышленные секреты представляют собой несомненную ценность, именно приватные данные чаще всего становятся добычей инсайдеров.

Объекты утечек

Источник: InfoWatch, 2007

Между тем, оба типа утечек, когда крадут персональные данные клиентов или секреты фирмы, очень опасны для бизнеса. Исследование однозначно показывает, что в результате хищения приватных данных, страдает несравнимо большее количество людей. Как оказалось, каждый инцидент ИБ, где раскрывается частная информация граждан, угрожает кражей личности в среднем 785 тыс. граждан.

Пострадавшие от утечки персональных данных и коммерческих секретов (чел.)

Источник: InfoWatch, 2007

Наибольшее число инцидентов затронуло относительно малочисленные группы. Например, 33 % утечек нанесли вред до 5 тыс. граждан, 28 % от 5 тыс. до 50 тыс. Однако, как уже известно, среднее число пострадавших равно 785 тыс., что намного больше указанных выше цифр. Дело в том, что огромное влияние на этот усредненный показатель оказали сверхкрупные утечки персональных данных, произошедшие в 2006 году. Прежде всего, на память приходит майская утечка из Министерства по делам ветеранов в США.

Структура утечек по числу пострадавших

Источник: InfoWatch, 2007

Пути утечек

Наиболее важный вопрос — как именно информация утекает чаще всего. Чтобы бороться с утечками, необходимо, прежде всего, идентифицировать каналы утечки. Причем, если специалистам по ИБ нужно для этого время, то инсайдеры чаще всего уже знают, как именно можно украсть документ. Так что эффективная система защиты должна перекрыть все возможные лазейки.

Каналы утечек конфиденциальных данных

Источник: InfoWatch, 2007

Наибольшее количество утечек (50 %) произошло через мобильные устройства (ноутбуки, КПК, USB-флэшки, CD и DVD-диски и др.). Компактность мобильных устройств, помимо всех очевидных преимуществ, имеет и менее заметный недостаток в отношении защиты информации. Будь то ноутбук, КПК или флэш-карта, это устройство очень легко потерять или спрятать. Вследствие непреднамеренной потери носителя конфиденциальные данные попадают к неизвестным людям, которые распоряжаются ими по своему усмотрению. В то же время внутренние нарушители легко спрячут маленький носитель и вынесут данные с рабочего места.

Второй по распространенности канал утечек — это интернет (12 %). Глобальная сеть не так популярна, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину. Кроме того, 5 % инцидентов произошло через неправильно утилизированные или утерянные резервные носители. По 3 % пришлись на электронные послания и факсы, а также на почту. 17 % инцидентов внутренней ИБ произошли по другим каналам, например, утечка вследствие аутсорсинга неблагонадежному партнеру. В 10 % случаях не удалось выяснить, каким образом была украдена информация.

Причина утечки

Источник: InfoWatch, 2007

Корыстные инсайдеры — лишь одна из категорий недобросовестных работников. Данное исследование показывает, что по вине безалаберных сотрудников происходит значительно больше утечек (77 %). Главная причина инцидентов внутренней ИБ — невыполнение должностных инструкций, либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами и поставляют конфиденциальную информацию недоброжелателям, которые манипулируют ими с помощью методов социальной инженерии. Эти результаты лишний раз подчеркивают, что инсайдеры могут быть в любом коллективе.

Крупнейшие утечки года

В подтверждение тезиса о крупнейших за всю историю утечках, приведем ниже пятерку самых громких утечек прошедшего года. Количество пострадавших от пяти перечисленных инцидентов составило без малого 50 млн человек.

Например, в США 3 мая 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск. В результате в руках недоброжелателей оказались персональные данные 26,5 млн ветеранов и 2,2 млн нынешних военнослужащих.

Tоп 5 крупнейших утечек информации в 2006 году

Инцидент Дата инцидента Количество пострадавших
1 Фирма Gratis Internet собрала через Интернет персональные данные 7 млн американцев, а впоследствии перепродала сведения третьим фирмам. Март 2006 г. 7 млн человек
2 Утечка персональных данных ветеранов и военнослужащих вооруженных сил США. Май 2006 г. 28,7 млн человек
3 Одна из фирм-подрядчиков Texas Guaranteed потеряла лэптоп с персональными данными клиентов TG. Май 2006 г. 1,3 млн человек
4 Похищен ноутбук сотрудника Nationwide Building Society. На компьютере находились частные сведения 11 млн членов общества. Август 2006 г. Август 2006 г. 11 млн человек
5 Из офиса Affiliated Computer Services (ACS) украден мобильный компьютер с персональными данными клиентов компании. Октябрь 2006 г. 1,4 млн человек

Источник: InfoWatch, 2007

Крупнейшая утечка в Британии произошла в августе 2006 года. Неизвестные проникли в дом одного из сотрудников Nationwide Building Society и украли ноутбук с незашифрованной информацией о клиентах компании. Под угрозу кражи личности попали 11 млн человек. Компания Nationwide сразу известила полицию, но оперативные розыскные мероприятия ничего не дали. Спустя 3 месяца компания начала рассылать уведомления потерпевшим.

Остальные утечки, хотя и не такие крупные, нанесли ущерб миллионам людей. Обращает на себя внимание факт, что в 4 из 5 самых крупных инцидентов информация пропала с мобильных компьютеров. В тех же самых случаях причиной является небрежное отношение работников к закрытым данным. Например, в случае с американскими ветеранами, сотрудник не должен был хранить украденной секретной информации дома. Еще более грубым нарушением норм ИБ является то, что всякий раз файлы на мобильных носителях пребывали незашифрованными.

***

2006 превзошел все предыдущие года и по количеству инцидентов внутренней ИБ и по масштабу убытков. Произошло сразу несколько крупнейших за всю историю утечек. В их числе пропажа персональных данных о 28,7 млн военнослужащих и ветеранов вооруженных сил из министерства по делам ветеранов США, а также утечка приватной информации об 11 млн членов британской Nationwide Building Society. Все это дает основания назвать ушедший год «годом утечек».

Сами по себе цифры в десятки миллионов пострадавших людей и миллиарды долларов экономического ущерба выглядят устрашающе. Одновременно печальные примеры беспечных организаций должны послужить стимулирующим фактором для организаций. В то же самое время, несмотря на все плохие новости, в отрасли отмечаются положительные сдвиги. Руководители компаний уже начинают осознавать всю серьезность проблемы утечек. В немалой степени этому способствует популярность и широкое внедрение различных иностранных и международных стандартов и законодательных актов. Приятно отметить, что и в России, наконец, приняли федеральный закон «О персональных данных». Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными.

Хочется надеяться, что наступивший 2007 станет переломным этапом в отношении внутренних угроз. В данный момент большинство компаний уже обратили внимание на бреши в системах защиты, которые позволяют конфиденциальным сведениям легко покидать периметр организации. Остается лишь найти лучшее решение и внедрить необходимые комплексы.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS