Дайджест событий ИТ-безопасности

 

Инсайдерская глупость не знает границ

Крупнейшая утечка в истории Японии

Morgan Stanley продолжает отлавливать инсайдеров

Google допускает утечки?

Провайдеры приторговывают сведениями о клиентах

Американские военные вновь отличились вне поля брани

 

В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последние два месяца в российских и зарубежных организациях. Среди них — крупнейшая утечка в истории Японии, еще один инсайдер в Morgan Stanley, сразу несколько утечек из Google и многое другое.

Инсайдерская глупость не знает границ

Грубое нарушение правил транспортировки информации привело к тому, что под угрозой кражи личности оказались десятки тысяч американцев — сотрудники и клиенты компаний DCH Health System и Hortica. По мнению экспертов InfoWatch, вероятны два варианта — халатность работников и злой умысел инсайдеров.

Около 6 тыс. работников компании DCH Health System обеспокоены пропажей диска с их персональными данными. Тем не менее виноват в утечке не работодатель, а компания-подрядчик Mercer Human Resources Consulting. Диск с именами, номерами социального страхования и информацией о пенсионных отчислениях исчез во время транспортировки. Вскоре после инцидента пришло сообщение, что все сведения на диске были зашифрованы. Однако радость пострадавших от утечки людей оказалась преждевременной. В комплекте с диском поставлялась и бумажная копия данных — на случай, если бы в центре обработки информации не удалось дешифровать диск. Теперь тот, кто заполучил в свое распоряжение пакет документов, наверняка преисполнен благодарности в адрес предусмотрительных работников Mercer Human Resources Consulting.

О том, что транспортируемые данные гораздо более уязвимы, известно, наверное, всем, кто связан со сферой информационной безопасности. Тем не менее раз за разом работники забывают об элементарных правилах, в результате чего страдают тысячи людей, чьи персональные данные попадают в руки недоброжелателей. Еще один пример — утечка данных компании Hortica. Фирма отправила резервные ленты через United Parcel Service (UPS), которая через некоторое время известила Hortica о том, что кассеты пропали. Попытки разыскать посылку собственными силами ни к чему не привели, и компании обратились в полицию. Не понятно только, почему информацию перед отправкой не зашифровали.

Компактные носители информации, диски, флэшки, кассеты, карманные винчестеры имеют сегодня огромную емкость, поэтому часто используются для передачи больших объемов данных на значительные расстояния. Потеря же носителей при транспортировке чревата крупными утечками. В обоих инцидентах правила передачи данных были грубо нарушены: в первом случае непонятно для чего к диску приложили бумажную копию (может быть, это умышленно сделал инсайдер), а во втором — кассеты и вовсе беспечно отправили без защиты.

Крупнейшая утечка в истории Японии

Произошла самая крупная утечка персональных данных за всю историю Японии: инсайдер из полиграфического и электронного гиганта Dai Nippon Printing украл диск с приватными сведениями почти 9 млн граждан. К счастью, злоумышленника удалось поймать. Правда, как отмечают эксперты InfoWatch, преступнику предъявили совсем несуразное обвинение — ему инкриминируют лишь кражу самого носителя, но не хищение и попытку продажи персональных данных.

Японская фирма Dai Nippon Printing, специализирующаяся на выпуске полиграфической продукции, допустила крупнейшую утечку в истории своей страны. Инцидент произошел еще летом 2006 года, но все его обстоятельства стали известны лишь сейчас. Хирофуми Йокояма (Hirofumi Yokoyama), бывший сотрудник одного из подрядчиков компании, скопировал на винчестер и украл персональные данные 8,64 млн человек, в том числе их имена, адреса, телефоны и номера кредитных карт.

Прежде чем полиция задержала инсайдера, злоумышленник продал часть добытых сведений. В результате убытки граждан, которые пострадали из-за мошенничества с кредитными картами, ставшего возможным только вследствие этой утечки, составили несколько миллионов долларов. Всего в инциденте пострадали клиенты 43 различных компаний, в том числе Toyota Motor Corp., American Home Assurance, Aeon Co и NTT Finance. Однако более половины организаций даже не были предупреждены об утечке. Неважно дела обстоят и у прокуроров. Пока инсайдеру предъявили обвинение лишь в краже винчестера за 200 долл. По мнению экспертов InfoWatch, этот случай лучше всего демонстрирует несовершенство японских законов о защите приватности.

Morgan Stanley продолжает отлавливать инсайдеров

Morgan Stanley продолжает разбираться с прошлогодней утечкой данных. Один из виновных инсайдеров уже осужден на 26 лет — теперь полиция задержала сообщника — Рональда Петека. По мнению экспертов InfoWatch, его ожидает не менее суровое наказание, чем его предшественника — Иру Чиловиц. При этом Morgan Stanley предпримет все возможные меры, чтобы другим сотрудникам фирмы было неповадно воровать конфиденциальные сведения.

В начале февраля в Нью-Йорке завершился суд по делу о краже базы данных клиентов Morgan Stanley. Виновный инсайдер, которым оказался бывший консультант компании Ира Чиловиц (Ira Chilowitz), был приговорен к 26 годам лишения свободы и штрафу в 850 тыс. долл.

Теперь полиция схватила сообщника Чиловица — также бывшего сотрудника Morgan Stanley Рональда Петека (Ronald Peteka). Как указывается в материалах следствия, Петек неоднократно пересылал конфиденциальные материалы через свою электронную почту с декабря 2005 года по февраль 2006-го.

Суд над Чиловицем был показательным. Нет никаких сомнений, что Morgan Stanley и для второго инсайдера будет добиваться сурового наказания. Кровожадность Morgan Stanley объясняется просто. Компания собирается устрашить настоящих работников, чтобы ни у кого не возникло желания повторить судьбу нынешних инсайдеров. Между тем проблему стоило решать иными способами. Установка почтового фильтра просто исключила бы возможность этого инцидента и обеспечила бы убедительные доказательства вины нечестных сотрудников.

Google допускает утечки?

За прошедший месяц в адрес Google поступили очередные претензии. Крупнейшая поисковая система снова раскрыла персональные данные граждан. На этот раз в Южной Корее и США. Эксперты InfoWatch считают, что наличие приватных сведений в индексе Google — лучшее доказательство необратимости утечки. После того как персональные данные попадают в Интернет, изъять их обратно уже невозможно.

Министерство информации и связи Кореи обеспокоено тем, что Google продолжает собирать приватные сведения о гражданах страны. В частности, через поисковую систему можно найти регистрационные номера резидентов — аналог американских номеров социального страхования. В отличие от местных информационных порталов, система Google не способна игнорировать закрытые сведения. Проблему выявили еще летом 2006 года, когда в Google нашли более 95 тыс. регистрационных номеров корейцев. Постепенно это число уменьшалось, однако последние тесты показывают, что данные нескольких тысяч корейцев до сих пор открыты всему миру.

В Google ситуацию объясняют тем, что архитектура поискового движка уникальна и едина во всем мире. Компания не может применять различные фильтры в разных странах. Тем не менее корейское представительство Google осознает серьезность проблемы и ищет пути ее решения. Правда, как отмечают эксперты InfoWatch, все может закончиться тем, что правительству Южной Кореи придется просто заменить скомпрометированные регистрационные номера своих граждан на новые. Пока речь идет всего о нескольких тысячах или десятках тысяч человек, так что это вполне реально.

Тем временем американский студент из Лос-Риос нашел через Google собственные персональные данные. А еще номера социального страхования 2 тыс. других учащихся. Учебные заведения тут же предъявили претензии в адрес поисковика в неправомерности сбора информации, так как файл явно не предназначался для широкого использования. Но оказалось, что инцидент произошел именно по вине работников колледжа, которые выложили часть базы данных студентов на сайт с целью тестирования. По мнению аналитического центра InfoWatch, винить Google в подобных утечках просто бессмысленно.

Как считают эксперты InfoWatch, это классический пример необратимости утечки, доказывающий ее высокую степень опасности по сравнению с нарушением целостности или доступности информации. В первом случае данные можно восстановить, например, из резервной копии. Во втором случае повысить доступность можно, введя в строй дополнительные вычислительные мощности или оптимизировав бизнес-процессы. Однако если информация утекла и попала в Интернет, то исправить это уже не удастся.

Провайдеры приторговывают сведениями о клиентах

Конференция Open Data 2007 в Нью-Йорке позволила разоблачить интернет-провайдеров, которые торгуют сведениями об активности своих клиентов во Всемирной сети. По мнению экспертов InfoWatch, единственный способ решить данную проблему — это принять достаточно жесткие законы, которые бы приравняли информацию о веб-серфинге пользователей к приватным данным.

Последние данные из Нью-Йорка подтвердили опасения, что активность американских пользователей в Интернете протоколируется и перепродается третьим лицам. Интересно, что провайдеры, которые собирают и распространяют статистику, не уведомляют об этом самих клиентов.

Как стало известно, ежемесячно компании имеют около 40 центов за информацию об одном клиенте. В масштабах государства это миллионы долларов. Типичная статистика содержит информацию о том, какие сайты, когда и в какой последовательности посещались пользователем. Имена обычно не указываются, но возможность узнать конкретного клиента по его внутреннему идентификатору существует.

Как считают эксперты InfoWatch, если компании пренебрегают этической стороной вопроса, их следует поставить в более жесткие рамки государственных законов. Ведь информация, которую продают провайдеры, могут использовать не только маркетологи, но и спамеры и мошенники. Интересно, как поведут себя клиенты, зная, что все их действия в Сети записываются и передаются на сторону? Скорее всего, большинство тут же сменит провайдера.

Американские военные вновь отличились вне поля брани

Сразу несколько утечек допустили американские военные. Сначала был украден ноутбук с персональными данными 16 тыс. гражданских, работавших в форте Монро (Fort Monroe). А затем сразу три лэптопа пропали из базы ВМС в Норфолке (Norfolk). Это далеко не первые утечки из вооруженных сил, и, как указывают эксперты InfoWatch, история ничему не учит американцев. Пропавшие ноутбуки снова были защищены лишь паролем.

16 тыс. гражданских служащих, работавших в учебном армейском центре в форте Монро (шт. Вирджиния), находятся под угрозой кражи личности. Ноутбук, на котором находились приватные данные работников, был украден из автомобиля неподалеку от другого учебного центра в форте Ли (Fort Lee). Вероятно, информация перевозилась из одного заведения в другое. Транспортируемые данные особенно уязвимы. Но в данном случае защита состояла лишь из пароля, который легко может быть взломан. Теперь в руках неизвестных злоумышленников номера социального страхования, платежные ведомости и другие сведения о служащих учебного центра.

Другой инцидент тоже произошел в Вирджинии, на базе ВМС в Норфолке. О подробностях утечки не сообщается. Нет даже приблизительного числа жертв. Известно лишь, что пропали три ноутбука с персональными данными моряков, которые были приписаны к кораблям базы Сан-Диего (San Diego) с января 2003-го по октябрь 2005 года. В настоящее время Служба уголовных расследований ВМС (The Naval Criminal Investigative Service (NCIS)) совместно с полицией ведет поиск компьютеров и выясняет подробности инцидента.

В целом за прошлый год из ВМС США утекло огромное количество закрытой информации — от персональных данных офицеров до инструкции по созданию атомной бомбы. И если коммерческие предприятия после очередной утечки обещают исправить положение, внедрить новые системы защиты, то военные не делают ничего. Как и год, и два года назад, лэптопы защищаются крайне ненадежным паролем. При этом армейские чины прекрасно осведомлены о проблеме. Так что их бездействие выглядит странным.

 

В начало В начало

КомпьютерПресс 5'2007

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует