Дайджест событий ИТ-безопасности

Алексей Доля

Конец пиратским базам данных?

Торговые секреты утекают по e-mail

Ноутбук или жизнь?

 

В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Прежде всего, Президент России подписал закон «О персональных данных», что стало серьезной вехой в регулировании информационных технологий в нашей стране. Далее, произошел целый ряд утечек конфиденциальных данных из крупных компаний по каналам электронной почты. Судя по всему, предприятиям придется серьезно заняться этой проблемой. Наконец, участились случаи кражи ноутбуков с приватными сведениями. Причем преступники не останавливаются ни перед чем: они готовы даже убить, лишь бы заполучить мобильный компьютер с торговыми или персональными секретами.

Конец пиратским базам данных?

В конце июля Президент России подписал закон «О персональных данных», защищающий приватные сведения граждан от любого использования, на которое сам гражданин не давал письменного согласия1. При этом под персональными данными понимается абсолютно вся информация, которая относится к физическому лицу: ФИО, адрес, год и место рождения, сведения о семейном положении, доходах и т.д. По мнению аналитического центра InfoWatch, список охраняемых российским законом приватных сведений является одним из самых широких в мире.

Принятие закона «О персональных данных» — это наиболее значимое событие, касающиеся регулирования информационных технологий в России. Конечно, он в некоторой степени ограничивает свободу слова, но это можно считать случайным побочным эффектом, который законодатели должны исправить в самое ближайшее время. Сейчас же у россиян появилась реальная надежда на то, что новый закон положит конец беспрепятственному обороту приватных сведений в нашем обществе. Правда, для того чтобы закон начал действовать, необходимо желание органов правопорядка очистить рыночные прилавки от баз данных с приватными сведениями граждан.

Между тем закон «О персональных данных» требует от организаций, в распоряжении которых находятся личные сведения граждан, обеспечить безопасность этой информации (конфиденциальность, защиту от утечек и распространения). На первый взгляд может показаться, что это требование коснется только тех компаний, которые торгуют товарами и услугами в розницу. Например, телекоммуникационные компании, как правило, имеют базу абонентов. Некоторые такие базы время от времени появляются на черном рынке. Однако новый закон позволяет гражданам, чьи приватные записи оказались скомпрометированы, подать в суд на организацию, допустившую утечку. Тем не менее в такой ситуации может оказаться абсолютно любая компания, поскольку каждое предприятие хранит личные сведения своих сотрудников. И эту информацию, согласно новому закону, требуется охранять. Кроме того, эксперты InfoWatch указывают на новые пункты, закрепленные в Трудовом кодексе РФ: теперь служащие могут подать в суд на работодателя, который не обеспечивает должной защиты приватных данных персонала, да и сама организация может уволить сотрудника, если он скомпрометирует других работников, воспользовавшись их персональными сведениями.

Таким образом, в России действительно появился закон, который в той или иной степени препятствует утечкам информации. Во-первых, запрещает торговать приватными данными. Во-вторых, налагает на организации ответственность за защиту этой информации. В-третьих, если компания допустит утечку, то она может столкнуться с массой судебных исков. Конечно же, не стоит ожидать, что приватные базы тут же исчезнут с прилавков, однако существенный шаг вперед в этом направлении сделан.

Торговые секреты утекают по e-mail

Вся сложность защиты от утечек состоит в том, что инсайдеры используют для своих преступных целей, казалось бы, самые обычные коммуникационные каналы. Другими словами, никакой специальной подготовки и экипировки инсайдеру не требуется. Ему нужно лишь получить доступ к конфиденциальной информации, а потом преспокойно выслать ее по электронной почте или по какому-либо другому столь же распространенному каналу. Именно так развивались события в известной компании Morgan Stanley. В феврале текущего года служащая фирмы просто скопировала секретный список клиентов фонда одного инвестиционного банка, а потом отправила его обычным письмом2 на свой домашний почтовый ящик. Руководство корпорации узнало об утечке только сейчас и теперь пытается привлечь инсайдера к ответственности, но, как указывают эксперты InfoWatch, утечка уже в любом случае произошла и конфиденциальный список скомпрометирован. Между тем система защиты от утечек, контролирующая почтовый канал, могла легко блокировать такую утечку.

Может возникнуть ложное ощущение, что такое безалаберное отношение к мониторингу почтового трафика — это исключение из правил. Однако это далеко не так. Последнее исследование American Management Association и ePolicy Institute показало, что стандартные каналы утечек (веб, Интернет-пейджеры, почта) процветают. Многие компании увольняют персонал за злоупотребление этими коммуникационными ресурсами, но примерно такое же количество фирм даже не удосуживается ввести политику использования почты, средств мгновенного обмена сообщениями или Интернета. Как здесь не вспомнить инсайдера в Белом доме3, который в течение трех лет преспокойно сплавлял государственные секреты по электронной почте! По мнению аналитического центра InfoWatch, утечки уже давно охватили даже режимные и максимально засекреченные организации. Что уж тут говорить о бизнесе?

С предостережением в середине июля выступило даже ФБР. «Кража торговых секретов — это очень серьезная проблема, — заявил ведущий эксперт ФБР по ИТ-безопасности. — Проблема утечек достигла сейчас того же масштаба, — что и дела “белых воротничков” как раз перед скандалом, связанным с компанией Enron4 , когда одна из крупнейших энергетических компаний обанкротилась из-за мошенничества инсайдеров. Единственное отличие состоит в том, что утечки еще не стали причиной настолько мощного скандала, чтобы все вокруг воскликнули: “Боже мой! С этим надо что-то делать!”». Эксперты InfoWatch считают, что бизнес уже давно осознал, что выгоднее защититься от утечки, чем тратить деньги на ликвидацию ее последствий. Так что положительные сдвиги есть, но они, конечно же, еще очень незначительны.

Ноутбук или жизнь?

Все больше совершается преступлений, когда у добропорядочных граждан крадут или отбирают ноутбуки с приватными или конфиденциальными данными. Причем злоумышленники уже не останавливаются ни перед чем. Вот один из типичных примеров того, как не повезло сотруднику консалтинговой фирмы, обслуживающей один из американских колледжей. Мужчина направлялся к своему автомобилю вместе с ноутбуком, на котором были записаны персональные сведения о 300 работниках колледжа. Было еще не поздно — около 6 часов вечера. Преступник ударил человека сзади по голове, а потом забрал бумажник и ноутбук. Теперь сотрудник лежит в больнице, а весь персонал колледжа, что называется, «стоит на ушах», так как мобильный компьютер практически не имел защиты (за исключением пароля). В результате все 300 человек могут лишиться своих сбережений вследствие кражи личности5. Эксперты InfoWatch обращают внимание, что сегодня даже статья за «тяжкие телесные» не останавливает криминальных элементов, желающих во что бы то ни стало завладеть недешевой вычислительной техникой и еще более дорогой персональной информацией.

Еще одно подтверждение выводам InfoWatch предоставил на минувшей неделе Медицинский центр братьев Вассар в США. Легко догадаться, что эта компания тоже лишилась ноутбука с приватными данными клиентов. К счастью, на пропавшем компьютере не было историй болезни и финансовых записей пациентов6. Примечательно, что преступники решили не дожидаться, пока персонал компании оставит ноутбук без присмотра. Вместо этого они просто взломали офис и украли нужный компьютер с персональными сведениями. Таким образом, по мнению аналитического центра InfoWatch, угроза кражи портативной вычислительной техники достигла такого масштаба, что компании просто обязаны использовать шифрование для защиты мобильной чувствительной информации.

Весьма элегантно преступники обошлись с финансовой корпорацией Matrix Bancorp. В обеденный перерыв, где-то между 13.30 и 14.30, преступники спокойно вошли в офис компании в одном из небоскребов города и, не встретив ни одного служащего, забрали два ноутбука. Только на этот раз, помимо конфиденциальной информации клиентов банка, на мобильном компьютере оказались секретные коммерческие документы компании. Единственное, что спасло фирму в этой ситуации, — все данные на обоих ноутбуках были полностью зашифрованы. Другими словами, ущерб от кражи свелся просто к стоимости двух портативных устройств. Между тем утечка торговых секретов могла привести корпорацию к банкротству. Как отмечают эксперты InfoWatch, к сожалению, такой простой и эффективный подход к защите данных на ноутбуках встречается в бизнесе крайне редко. Хотя необходимость в нем назрела уже давно.

О том, в каких масштабах секретные сведения утекают из государственных организаций, рассказало на минувшей неделе британское правительство7. Чиновники задались целью проверить, сколько ноутбуков с информацией, не подлежащей разглашению, потеряло за прошедший год каждое из министерств. Оказалось, что Министерство обороны потеряло 21 ноутбук, МВД — 19, Министерство торговли и промышленности — 16, Минздрав — 18, Министерство труда — 9. Причем, как справедливо полагают старшие чиновники, практически каждый из этих компьютеров содержал приватные данные граждан. По мнению экспертов InfoWatch, столь печальная статистика должна заставить клерков шевелиться. Если не оснастить ноутбуки средствами шифрования, то от кражи личности может пострадать все население Соединенного Королевства.

А вот еще один пример крупной государственной утечки. Совсем недавно руководство ВМС США сообщило о краже двух ноутбуков с персональными данными 31 тыс. рекрутов. Когда об утечке стало известно, американцы испытали настоящий шок. Дело в том, что ВМС США традиционно считается образцовой военной организацией, но на этот раз она допустила уже третью утечку за полтора месяца8. В середине июня приватные сведения 28 тыс. моряков и членов их семей каким-то чудом оказались на гражданском веб-сайте. А в начале июля персональные записи уже 100 тыс. служащих ВМС были выложены в свободный доступ на веб-сайте Центра безопасности ВМС. Что это — халатность или нежелание защитить своих служащих? Эксперты InfoWatch убеждены, что после того, как руководство ВМС США вызовут на ковер в Пентагон, это ведомство очень быстро внедрит эффективную систему защиты от утечек.

Не легче сегодня приходится и учреждениям здравоохранения. В июле произошла утечка персональных данных 160 тыс. пациентов клиники Kaiser в Северной Калифорнии. Как обычно, информация утекла вместе с ноутбуком9. Хотя в руки преступников попали лишь имена и адреса пациентов, руководство Kaiser усиленно старается задобрить своих клиентов. К чему бы это? Ведь кража личности никому не угрожает! Однако, по мнению аналитического центра InfoWatch, даже малейшая утечка в сфере здравоохранения причиняет огромный моральный вред пациентам. Никто не хочет, чтобы все знали, кто, где и от чего он лечится. Так что клиника Kaiser беспокоится не зря — за клиентов нужно бороться.

 

В начало В начало

КомпьютерПресс 9'2006

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует