Топ 10 инсайдерских инцидентов 2006 года

Алексей Доля

Самые крупные инсайдерские инциденты 2006 года в России и странах СНГ

Утечка базы данных потребительских кредитов российских банков

Утечка базы данных неблагонадежных заемщиков банка «Первое ОВК»

Утечка базы данных белорусского сотового оператора Velcom

Утечка базы данных логинов и паролей пользователей хостинг-провайдера Valuehost.ru

Самые крупные инсайдерские инциденты 2006 года за рубежом

Утечка интеллектуальной собственности из Lockheed Martin

Утечка из Министерства по делам ветеранов США

Кража клиентской базы японского сотового оператора KDDI

Инсайдеры в крупнейшем британском банке HSBC

Утечка из сингапурского отделения Citibank

Утечка интеллектуальной собственности из Acme Tele Power

Итоги

Утечки конфиденциальной и приватной информации, саботаж, мошенничество, промышленный шпионаж — все эти угрозы внутренней ИТ-безопасности преследуют каждую успешную компанию. В данной статье мы обобщим самые громкие инциденты 2006 года, чтобы составить представление о том, какие убытки приносит реализация инсайдерских угроз.

Прежде чем перейти к самим инцидентам, рассмотрим последнюю статистику относительно масштаба потерь в результате реализации внутренних угроз ИТ-безопасности. В 2005 году аналитики ФБР опубликовали результаты своего очередного исследования «2005 FBI Computer Crime Survey». Согласно этому отчету, средний ущерб каждой компании, нанесенный инсайдерскими атаками, составляет 355 тыс. долл. Однако сегодня эти цифры уже не соответствуют реальности. Следует обратиться к последнему исследованию «2006 Annual Study — Cost of a Data Breach», в котором были проанализированы финансовые убытки 31 компании, пострадавшей от утечки. Оказывается, средний ущерб от одной утечки составляет 4,8 млн долл. Причем инсайдерская кража персональных данных всего одного человека в среднем обходится компании в 182 долл. Между тем это лишь обезличенная статистика. Посмотрим теперь на реальные инциденты, связанные с инсайдерскими атаками. Описания всех последующих утечек, случаев саботажа и промышленного шпионажа взяты из базы инцидентов InfoWatch, которая содержит подробности более 500 инсайдерских инцидентов за период с конца 2004 года до момента написания статьи с оценкой ущерба и анализом последствий для пострадавших компаний.

Самые крупные инсайдерские инциденты 2006 года в России и странах СНГ

В табл. 1 приведено описание самых крупных утечек, произошедших в 2006 году в России и странах СНГ. Рассмотрим их подробнее.

Таблица 1. Самые громкие инсайдерские инциденты 2006 года в России и СНГ
(источник: InfoWatch, 2007)

Утечка базы данных потребительских кредитов российских банков

Довольно темный случай — либо в России произошла очередная очень громкая утечка конфиденциальной информации, либо кто-то решил подзаработать на продаже «цифровой куклы». Ясности нет, но, как отмечают эксперты InfoWatch, потеря репутации всего финансового сообщества уже налицо.

15 августа 2006 года ряд бюро кредитных историй (БКИ) и банков получили по электронной почте предложение купить базу данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг — более 700 тыс. записей. Тем не менее есть основания полагать, что эта база — всего лишь кукла. Дело в том, что, несмотря на все попытки, правоохранительным органам купить базу полностью так и не удалось.

В руки журналистов попала выборка из базы, датированная 7 апреля 2006 года. Каждая запись базы содержит ф.и.о. заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций. За всю базу, которая содержит более 700 тыс. записей, продавцы запросили 90 тыс. руб., что не идет ни в какое сравнение с рыночной стоимостью кредитных историй — одна такая история в кредитном бюро стоит около 0,4 долл. По мнению участников рынка, предлагаемая база похожа, скорее, на базу данных розничных бэк-офисных банковских программ. В результате главное подозрение в разглашении конфиденциальной информации падает на банки, которых в торговых розничных сетях в России в массовом порядке работает не так много. Таким образом, под подозрением снова оказываются инсайдеры.

Утечка базы данных неблагонадежных заемщиков банка «Первое ОВК»

В конце августа стало известно об утечке базы данных неблагонадежных заемщиков банка «Первое ОВК», получавших кредиты в 2002-2003 годах. Информацию о частных клиентах, которые после слияния ОВК и «Росбанка» оплачивают кредиты в «Росбанке», можно приобрести на черном рынке за 900 руб. Судя по всему, «Росбанк» мог стать жертвой утечки в результате недобросовестных действий уже несуществующей службы безопасности ОВК.

Репортеры приобрели диск «Банковский черный список физлиц: Москва и Московская область» в ларьке недалеко от Митинского радиорынка за 900 руб. В отличие от базы данных, которую предлагали купить банкирам в середине августа, она относительно невелика и содержит информацию примерно о 3 тыс. неблагонадежных клиентов банка «Первое ОВК». В новой базе указаны заемщики, получившие кредиты в течение 2002-2003 годов, номера их домашних или мобильных телефонов, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем указана дата и причина занесения в черный список. Отметим, что банковская группа ОВК, созданная Александром Смоленским, была приобретена холдинговой компанией «Интеррос» в середине 2003 года. Информация о неблагонадежных заемщиках собрана как раз в 2002-2003 годах и имеет отметки сотрудников службы безопасности ОВК. Специалисты предполагают, что утечка произошла именно оттуда в момент интеграции банков.

Корреспонденты связались с лицами из новой базы и узнали, что они действительно брали кредиты в «Первом ОВК» в указанные сроки. Между тем официальные представители «Росбанка» отказались от комментариев, заметив, что «необходимо сначала проанализировать базу и установить подлинность данных». В то же время источник в банке пояснил, что во время слияния бизнесов ОВК и «Росбанка» не все сотрудники были довольны процессом интеграции и «утечка информации могла стать своеобразной местью». По мнению аналитического центра InfoWatch, хотя данная утечка уходит корнями в другую организацию, ее негативные последствия отразятся на «Росбанке». В частности, компания рискует испортить репутацию и столкнуться с оттоком клиентов.

Утечка базы данных белорусского сотового оператора Velcom

Белорусские журналисты приобрели текстовый файл с информацией о 2 млн абонентов сотового оператора Velcom. В нем содержатся номера мобильных телефонов и ф.и.о. клиентов сотового оператора. При этом белорусская пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 года было выпущено как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем аналогичные данные компании МТС в белорусском Интернете по-прежнему отсутствуют.

Столкнувшись с волной критики, оператор Velcom не стал отмалчиваться и сделал ряд заявлений. Во-первых, компания сообщила, что белорусскими законами не предусмотрена защита персональных данных граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных клиентов (номер телефона и ф.и.о. каждого абонента) «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». Другими словами, Velcom снова не виноват в утечке. В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре. Поэтому теперь Velcom рассматривает в отношении этого банка «возможность предъявления иска о защите деловой репутации». К чему такое разбирательство может привести на практике, мы сможем узнать только спустя какое-то время. Правда, эксперты InfoWatch отмечают, что инсайдеры, как правило, уходят от ответственности.

Утечка базы данных логинов и паролей пользователей хостинг-провайдера Valuehost.ru

В конце октября в Интернете начали продавать базу данных петербургского хостинг-оператора Valuehost, содержащую логины и пароли к 101 тыс. сайтов. Сейчас фирма проводит внутреннее расследование, но конкуренты уже начали говорить, что если утечка подтвердится, то клиентам компании будет угрожать опасность.

Товар, представленный в ряде электронных магазинов (www.plati.ru, www.zaplati.net и www.privet.in), называется просто и со вкусом — «База данных Valuehost.ru со всеми логинами и паролями». Информация о размещении базы датирована концом сентября 2006 года. Как уверяет продавец, скрывающийся под псевдонимом Money-monster, всего за 8886 руб. любой желающий может получить логины и пароли к 101 тыс. сайтов (70 тыс. пользователей), а следовательно, и возможность изменить содержание сайтов, как ему заблагорассудится.

Между тем обстановка вокруг питерской компании продолжает накаляться. Многие пользователи решили просто сменить хостинг-оператора, то есть расторгнуть договор с Valuehost и заключить новый с его конкурентами. Однако не все так просто — за разрыв договора и смену DNS старый оператор требует сумму, эквивалентную 30 долл. В ответ на это юристы портала LawMix.ru вызвались помочь пострадавшим отстоять свое право бесплатно отказаться от услуг ненадлежащего качества — ведь предоставление услуг хостинга подчиняется закону «О защите прав потребителей». На LawMix.ru бесплатно помогают оформить иск, а за вознаграждение берутся вести дело в суде. Все заявки принимаются через электронную почту.

По мнению аналитического центра InfoWatch, питерской компании следовало постараться как можно деликатнее свести на нет все негативные последствия инцидента. Во-первых, с самого начала нужно было выступить с заявлением и либо сообщить о том, что утечки не было и продаваемая база является фальсификацией, либо признать факт утечки и указать на источник, пообещав его перекрыть. Во-вторых, необходимо было минимизировать плохое паблисити. Вместо этого фирма стала цепляться к клиентам, которые решили отказаться от ее услуг. Теперь об этом скандале знает вся страна.

Самые крупные инсайдерские инциденты 2006 года за рубежом

В табл. 2 приведено описание самых крупных утечек, произошедших в 2006 году в Европе, США и Азии. Рассмотрим их подробнее.

Таблица 2. Самые крупные инсайдерские инциденты 2006 года за рубежом
(источник: InfoWatch, 2007)

Утечка интеллектуальной собственности из Lockheed Martin

В апреле 2006 года гигант военной индустрии Lockheed Martin обвинил своего конкурента L-3 Communications в промышленном шпионаже. Согласно исковому заявлению, три инсайдера из Lockheed украли интеллектуальную собственность и конфиденциальную информацию корпорации и продали ее конкуренту. Теперь L-3 собирается нечестно выиграть миллиардный контракт Пентагона.

Корпорация Lockheed уверена, что инсайдеры передали всю информацию подразделению Link Simulation and Training компании L-3 Communications. Истец требует направить инспекторов в L-3 и проверить все ее компьютерные системы — там обязательно обнаружатся следы конфиденциальной информации Lockheed, которую конкурент собирается использовать в борьбе за 10-летний контракт ВВС США стоимостью 1 млрд долл. Предыдущий аналогичный контракт компания Lockheed выиграла в 2000 году.

Главные герои этого скандала — инсайдеры Кевин Спид (Kevin Speed), Стив Флеминг (Steve Fleming) и Патрик Ромэин (Patrick Romain). Они были участниками разработки тренировочной системы для пилотов ВВС, имели доступ к гигантским объемам внутренних данных, включая план действий Lockheed в борьбе за контракт. Уволившись, инсайдеры скопировали тысячи страниц секретных документов на мобильные носители и забрали их с собой. Еще одним ответчиком по иску выступает маленькая фирма Mediatech. Именно в нее эти инсайдеры перешли на работу сразу после увольнения. Компания Mediatech является поставщиком L-3, так что все конфиденциальные сведения очень быстро оказались в L-3.

Как отмечают эксперты InfoWatch, миллиардный контракт — это лакомый кусок для обеих сторон. В прошлом году корпорация Lockheed выиграла тендеры Пентагона на 19,4 млрд долл., а L-3 — только на 4,7 млрд долл. Очевидно, Lockheed следовало предельно внимательно относиться к защите от инсайдеров — как минимум, закрыть такие каналы утечки, как мобильные носители и принтеры.

Утечка из Министерства по делам ветеранов США

Инсайдер, работающий аналитиком в министерстве, забрал домой корпоративный ноутбук с персональными данными 26,5 млн бывших военнослужащих. Вскоре дом инсайдера ограбили, в числе прочего украли и ноутбук. В результате десятки миллионов американцев оказались под угрозой кражи личности.

Когда об инциденте стало известно, министр по делам ветеранов Джим Николсон выступил с докладом перед Сенатом США и попросил выделить 500 млн долл. на устранение последствий утечки. В то же самое время аналитический центр InfoWatch оценил расходы правительства США на защиту ветеранов от кражи личности в 4 млрд долл. Дело в том, что распространенной практикой является предоставление всем пострадавшим вследствие утечки бесплатной услуги по мониторингу кредитной активности. Это уже стало частью best practices, и ни одна американская организация, допустившая утечку за последние два года, ни разу это правило не нарушила. Между тем, по оценкам аналитического центра InfoWatch, стоимость мониторинга в течение года для всех 26,6 млн ветеранов составляет 3,5 млрд долл. Однако это еще далеко не все потери американских налогоплательщиков. Ведь Министерству по делам ветеранов пришлось разослать 26,6 млн уведомлений об утечке и организовать горячую линию для пострадавших. В результате на поддержание call-центра ежедневно уходит 200 тыс долл., а на рассылку уведомлений единовременно потрачено 14 млн долл. Вдобавок к этому все пострадавшие бывшие военнослужащие подали коллективный иск против федерального правительства с требованием выплатить компенсацию в размере 1 тыс. долл. на каждого. Таким образом, общая сумма иска составляет 26,5 млрд долл. В сумме потенциальный ущерб от утечки превышает 30 млрд долл.

Кража клиентской базы японского сотового оператора KDDI

Инсайдеры требовали 90 тыс. долл. у японской корпорации KDDI, являющейся вторым по величине оператором сотовой связи в стране, под угрозой раскрытия информации о крупной утечке приватных данных в преддверии основного собрания акционеров компании. Представители KDDI обратились в полицию Токио. В результате были арестованы два подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных данных 4 млн клиентов KDDI. В ней содержались имя, пол, дата рождения, телефоны, почтовые адреса и другие персональные сведения каждого из 4 млн клиентов фирмы. Отметим, что все эти данные идеально подходят для осуществления кражи личности.

Чтобы продемонстрировать серьезность и обоснованность своих угроз, 30 мая шантажисты предъявили представителям KDDI компакт-диски и USB-флэшки с приватными данными. Эти носители были просто подброшены на проходную. При этом злоумышленники угрожали сообщить об утечке в прессу. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Руководство телекоммуникационной компании заявило, что в утечке, безусловно замешаны сотрудники самой корпорации, то есть инсайдеры. Топ-менеджмент уверен, что один из служащих специально скопировал приватные сведения и вынес их за пределы компании. В целом более 200 работников KDDI имели доступ к украденным данным. Эксперты InfoWatch полагают, что внедрение адекватной системы защиты от утечек на рабочих станциях могло бы отбить у инсайдеров охоту шантажировать своего работодателя. Ведь в данном случае фирма рисковала примерно 800 млн долл., поскольку утечка приватных записей одного клиента в среднем обходится компании в 182 долл., а под угрозой находились персональные сведения 4 млн граждан.

Инсайдеры в крупнейшем британском банке HSBC

Утечка данных из офшорного подразделения международного банка HSBC привела к тому, что несколько британских клиентов банка потеряли свои сбережения. Злополучное подразделение, расположенное в г.Бангалор (Индия), занималось обработкой данных, выполняя, по сути, функции call-центра.

24-летнему инсайдеру предъявлено обвинение в краже к конфиденциальной информации о счетах клиентов HSBC и передаче этих сведений преступникам в Великобритании. Инсайдер был арестован 27 июня 2006 года, причем к расследованию международного инцидента был привлечен Интерпол. Вычислить инсайдера удалось благодаря системе безопасности самого банка HSBC. Служащий совершил ошибку — он постоянно «сливал» сведения о тех счетах, к которым у него был формальный доступ, но работать с которыми ему не требовалось для выполнения порученных руководством задач. Такая подозрительная активность инсайдера, естественно, насторожила службу безопасности.

Как стало известно, в результате согласованных действий инсайдера и его подельников в Соединенном Королевстве пострадали порядка 20 британцев, а общая сумма ущерба составила 233 тыс. фунтов, или 424,8 тыс. долл. Представитель HSBC сообщил, что банк возместит всем пострадавшим потерянные деньги. Однако, по мнению аналитического центра InfoWatch, убытки вследствие ухудшения репутации составят, как минимум, несколько миллионов долларов.

Утечка из сингапурского отделения Citibank

Серьезная утечка конфиденциальной информации произошла из сингапурского отделения Citibank. Компания не стала скрывать этот инцидент от общественности и подала в суд на нескольких своих инсайдеров (по некоторым данным, от двух до шести человек). Оказывается, руководитель местного отделения Private Banking (обслуживающего самых богатых клиентов) перешел на работу к банку-конкуренту UBS и уходя прихватил с собой конфиденциальные данные всех состоятельных клиентов. Не мудрено, что через некоторое время и клиенты перекочевали к другому банку. Роль остальных инсайдеров до конца не известна, но, судя по всему, они помогли бывшему управляющему раздобыть все конфиденциальные сведения. Заметим, что раздражение Citibank по поводу произошедшего вполне понятно, ведь каждый клиент Private Banking готов передать в управление банку сумму от нескольких сотен тысяч долларов до более 10 млн. Как отмечают эксперты InfoWatch, это один из самых распространенных случаев утечки. Менеджеры высшего и среднего звена очень часто при смене работы забирают с собой конфиденциальные документы и списки клиентов бывшего работодателя. Это помогает набить себе цену в новой компании и получить существенно больший оклад, а также проценты.

Однако это еще не самое интересное. Ведь в исковом заявлении Citibank указал, как именно корпоративные секреты покинули интрасеть. Дело в том, что инсайдеры ни от кого не скрывались и пересылали информацию по электронной почте. Сначала руководитель отдела собрал с подчиненных по почте приватные сведения клиентов, а потом отправил их на свой домашний персональный почтовый ящик. Естественно, далее этот список перекочевал к новому работодателю. По мнению аналитического центра InfoWatch, это как раз тот случай, когда внедрение системы защиты от утечек могло бы окупиться уже после одного предотвращенного инцидента. 

Утечка интеллектуальной собственности из Acme Tele Power

Этот инцидент можно считать типовым. Итак, Acme Tele Power — преуспевающая индийская телекоммуникационная и технологическая компания, бизнес которой строится на том, чтобы разрабатывать энергоемкие решения и продавать их телекомам, напрямую обслуживающим потребителей. Компания добилась успеха благодаря своему отделу R&D, который постоянно создает новые технологии и решения и получает новые патенты. Однако не все так гладко: есть конкурент — фирма Lamda Private Limited, продукты которой с недавнего времени стали очень похожи на решения Acme Tele Power.

В конце лета наиболее лояльные клиенты Acme Tele Power посоветовали компании присмотреться к своему конкуренту, продукты которого просто повторяют технологии этой фирмы. Инженеры присмотрелись и действительно обнаружили полное сходство. Начали исследовать журналы событий на сервере, где хранятся все результаты проектов R&D. Оказалось, что в апреле 2006 года один помощник менеджера скачал с сервера все патенты, результаты всех инновационных проектов и другую интеллектуальную собственность, а потом просто переслал всю эту информацию на свой персональный e-mail. Дальнейшее расследование показало, что в этом участвовал еще один инсайдер (один из директоров). Однако факт остается фактом — все секреты Acme Tele Power были за хорошие деньги проданы конкуренту — Lamda Private Limited.

По оценкам Ernst&Young, прямые финансовые убытки Acme составили 166 млн долл. Эксперты InfoWatch отмечают, что интеллектуальная собственность утекла из пострадавшей компании самым обычным способом — по электронной почте. Теперь фирма планирует перенести свой бизнес из Индии в Австралию.

Итоги

Успешным компаниям надо использовать все доступные средства, чтобы не попасть в список организаций, пострадавших от инсайдеров. Ухудшение репутации в результате утечки конфиденциальных или персональных данных может привести к потере лояльных клиентов и к трудностям в привлечении новых. В результате успешный бизнес может быть подорван. Между тем сегодня на рынке уже появились системы защиты от утечек и инсайдеров, и бизнесу остается лишь воспользоваться ими.

КомпьютерПресс 3'2007