Мобильные устройства — источник утечки
Популярность мобильных устройств
Для чего используются мобильные устройства
Утечка конфиденциальной информации — одна из самых серьезных угроз. Особенно часто утечки происходят в результате кражи или потери мобильных устройств. Согласно «Глобальному исследованию утечек 2006», в ходе которого аналитический центр InfoWatch изучил 145 утечек 2006 года, ровно половина (50%) всех инцидентов связана именно с мобильными устройствами. Таким образом, на повестке дня стоят вопросы, почему так происходит и как от этого можно защититься.
Новое исследование аналитического центра InfoWatch охватило 1500 пользователей портала Zoom.CNews. В ходе проекта «Безопасность мобильных устройств 2007» эксперты изучили особенности использования мобильных устройств, хранения конфиденциальных данных на них и утечки этой информации вследствие кражи или потери портативной техники.
Аналитики в очередной раз убедились, что мобильные устройства сегодня очень распространены. Более половины пользователей (60,8%) имеют хотя бы одно подобное устройство, а почти каждый третий (29,3%) — сразу два. Причем подавляющее большинство пользователей (70,7%) хранит на своих мобильных устройствах конфиденциальную информацию — как свою, так и своего работодателя.
Практически каждый пользователь (78,1%), который уже хоть раз терял свою портативную технику с конфиденциальной информацией, все равно не использует шифрование для защиты данных. Естественно, вопиющая безалаберность при защите от утечек через мобильные устройства обязательно приведет к колоссальным убыткам для пользователей и их работодателей и в конечном счете заставит защищать информацию от утечек с помощью шифрования.
Популярность мобильных устройств
На рис. 1 представлен портрет респондентов по виду используемой портативной техники. Наиболее распространенным мобильным устройством является ноутбук (47,3%). Далее следуют смартфон (45,8%) и карманный компьютер (26,6%). Отметим также, что немалая доля респондентов (30,4%) применяет другие мобильные устройства.
Рис. 1
Общая сумма ответов превышает 100%, что однозначно указывает на широкое распространение портативных устройств в нашем обществе. Многие пользователи имеют в своем распоряжении не только КПК и ноутбуки, но и смартфоны. Это безусловно повышает мобильный потенциал наших граждан, но в то же время существенно увеличивает риск утечки.
На диаграмме, представленной на рис. 2, дано распределение респондентов по количеству используемых мобильных устройств. Легко видеть, что у 8,5% пользователей вероятность утечки персональных данных или конфиденциальной информации в три раза выше, чем у 60,6%, применяющих лишь одно устройство.
Рис. 2
Для чего используются мобильные устройства
На рис. 3 указаны самые распространенные области применения мобильных устройств. Наиболее популярными из них являются ведение списка контактов (друзья, знакомые, коллеги) и проверка (получение и чтение) почты. Эти варианты ответов выбрали 77,7 и 70,8% респондентов соответственно. На третьем месте оказался веб-серфинг (63,8%). Далее следуют ведение электронного ежедневника (33,5%) и совершение покупок в Интернете (23,4%).
Рис. 3
Исходя из того, для каких целей респонденты используют портативную технику, можно определить, какие конкретно сведения хранятся на их мобильных помощниках. Прежде всего, 77,8% пользователей записывают на портативные устройства собственные персональные данные или приватную информацию своих друзей и коллег. Все эти сведения хранятся в адресной книге и в контактах. Еще 70,8% респондентов хранят на мобильных устройствах личную и/или деловую переписку, а также реквизиты для доступа к почтовым ящикам. Утечка такой информации может привести не только к разглашению сугубо приватных сведений, но и к шантажу, краже личности, промышленному шпионажу и т.д.
Как отмечают эксперты Aladdin, может показаться, что кража мобильных устройств с конфиденциальной информацией — это проблема западных стран, ведь пресса переполнена примерами подобных утечек именно в Европе и США. Однако в России такие инциденты происходят не реже, чем за рубежом, просто они не предаются огласке.
Менее уязвимым способом использования мобильной техники является веб-серфинг. В случае кражи или утери устройства в руки злоумышленника может попасть лишь история посещенных пользователем веб-страниц. Однако если этот пользователь совершает в Интернете покупки, как делают 23,4% респондентов, то утечка может привести к прямым финансовым потерям. Дело в том, что браузер мог сохранить номер кредитной карты, имя и пароль пользователя в электронном магазине или какие-нибудь другие реквизиты. Все эти сведения являются чрезвычайно ценными и представляют существенный интерес для преступников.
По мнению специалистов компании Aladdin, поскольку современный смартфон гораздо ближе к компьютеру, чем к телефону, пользователям нужно учитывать целый ряд актуальных сегодня угроз: утечку приватных данных, вредоносное ПО (spyware, adware), спам, фишинг и т.д.
Наконец, ведение ежедневника (33,5%) указывает на то, что пользователь мобильного устройства, скорее всего, является корпоративным сотрудником. Он имеет насыщенный график и с помощью ежедневника планирует свое время. Эта информация также является конфиденциальной или, как минимум, приватной. Поэтому ее кража или потеря может нанести ущерб не только самому пользователю, но и его работодателю.
Топ 10 мобильных утечек
Инцидент |
Дата инцидента |
Количество пострадавших |
Потенциальный ущерб |
Утечка персональных данных ветеранов и военнослужащих Вооруженных сил США |
Май 2006 |
28,7 млн человек |
45 млрд долл. |
Похищен ноутбук сотрудника Nationwide Building Society |
Август 2006 |
11 млн человек |
1,5 млрд долл. |
Инсайдер из Dai Nippon Printing украл винчестер с приватными сведениями клиентов компании |
Июль 2006 |
8,64 млн человек |
1,2 млрд долл. |
Из медицинского центра ветеранов Вооруженных сил США в Бирмингеме украден ноутбук |
Январь 2007 |
1,8 млн человек |
367 млн долл. |
Из офиса Affiliated Computer Services (ACS) украден мобильный компьютер с персональными данными клиентов компании |
Октябрь 2006 |
1,4 млн человек |
320 млн долл. |
Одна из фирм-подрядчиков Texas Guaranteed потеряла ноутбук с персональными данными клиентов TG |
Май 2006 |
1,3 млн человек |
237 млн долл. |
Украден лэптоп из автомобиля сотрудника компании «Боинг» |
Ноябрь 2006 |
382 тыс. человек |
147 млн долл. |
Из офиса страховой компании CS Stars украли ноутбук с именами, адресами и номерами социального страхования рабочих Нью-Йорка |
Июль 2006 |
540 тыс. человек |
84 млн долл. |
У сотрудника бухгалтерской фирмы Hancock Askew украли ноутбук с персональными данными клиентов |
Октябрь 2006 |
401 тыс. человек |
73 млн долл. |
Расследование в медицинском центре Vassar Brothers выявило пропажу ноутбука и резервного диска |
Январь 2007 |
257,8 тыс. человек |
47 млн долл. |
Утечки и защита от них
Следующий пункт опроса посвящен хранимой на компьютере информации. В ходе исследования было установлено, что только 29,3% респондентов не хранят на мобильных устройствах никаких чувствительных сведений. Как видно из диаграммы (рис. 4), большинство пользователей (68,1%) хранят на мобильных устройствах личную информацию. Корпоративные конфиденциальные документы и интеллектуальную собственность компании хранят 16,5 и 14,9% респондентов соответственно. И лишь 12,2% респондентов используют мобильные устройства для хранения приватных данных клиентов или партнеров компании.
Рис. 4
Таким образом, подавляющее большинство (70,7%) респондентов тем или иным способом хранят на своем мобильном устройстве конфиденциальную информацию. Насколько хорошо эти данные защищены от утечки? Ответ на этот вопрос можно считать самым главным предметом исследования.
Оказывается, лишь 29,8% респондентов используют шифрование для защиты данных (рис. 5). Если пересчитать этот показатель на группу пользователей, которые хранят на мобильных устройствах корпоративные конфиденциальные документы, интеллектуальную собственность компании или приватные данные клиентов и партнеров, то лишь 40,7% из них защищают свои данные шифрованием. Это означает, что более половины респондентов, хранящих на мобильных устройствах ценные и секретные данные, вообще никак не защищают свою информацию. По мнению экспертов InfoWatch, эти пользователи однозначно уязвимы для кражи и потери своей техники, а также для последующей утечки.
Можно предположить, что такое отношение к защите информации обусловлено тем, что 83% респондентов никогда не теряли мобильные устройства. Однако 78,1% тех пользователей, которые уже хоть раз становились жертвой кражи или теряли свою портативную технику (с конфиденциальной информацией) сами, признались, что и после этого не применяют шифрование для защиты данных. Из этого можно сделать вывод, что культура информационной безопасности сегодня развита слабо и основным препятствием является безалаберность как самих пользователей, как и компаний в целом.
Рис. 5
Комментарии экспертов «Безопасность мобильных устройств также связана с защитой от вредоносных кодов. Конечно, на столь популярных ноутбуках можно использовать обычные антивирусы. В этом случае веб-серфинг, электронная почта и любые другие сервисы Интернета становятся безопасными. Однако широкое распространение смартфонов и КПК должно заставить пользователей задуматься об антивирусной защите своих мобильных помощников, так как стандартные средства здесь не подходят. Причем под пользователями я здесь подразумеваю не только индивидов, но и представителей бизнеса. Как можно быть уверенным в безопасности корпоративной информации, если она может утечь со смартфона или КПК служащего из-за действий троянца? Между тем многие компании игнорируют эту проблему, что рано или поздно приведет к трагедии», — отмечает Андрей Никишин, директор направления аутсорсинга ИТ-безопасности «Лаборатории Касперского».
Андрей Никишин |
Аналитики компании Aladdin считают, что одной из существенных проблем на пути внедрения средств шифрования является техническая неграмотность персонала. Для правильной настройки систем шифрования в соответствии с корпоративной политикой нужны дополнительные знания и навыки. Простой бухгалтер, ведущий при этом всю финансовую документацию компании в «1С», такой квалификацией может попросту не обладать. Данная проблема должна решаться сверху — именно руководство должно адекватно оценивать риски утечки конфиденциальной информации и выделять бюджеты на защиту таких данных.
Комментарии экспертов «К защите от утечки через мобильные устройства следует подходить основательно. Первым делом необходимо провести классификацию данных, определить, какая информация есть в компании, что является конфиденциальным, а что публичным. Далее для каждого класса нужно разработать политику безопасности. Например, документы для служебного пользования будут доступны гораздо более широкому кругу лиц, чем конфиденциальные данные. Далее следует создать политику использования мобильных устройств, согласно которой секретные сведения могут попадать на ноутбуки и КПК только в том случае, если они зашифрованы. Это единственная эффективная защита от утечки из-за кражи или потери мобильного помощника. На заключительном этапе следует внедрить средства шифрования и донести до персонала, что ими необходимо пользоваться», — считает Денис Зенкин, директор по маркетингу компании InfoWatch.
Денис Зенкин |
Заключение
Постоянное развитие мобильных технологий непременно обострит проблему утечек через портативную технику. Уже сегодня подавляющее большинство (70,7%) респондентов так или иначе хранят на своем мобильном устройстве конфиденциальную информацию. При этом 17% пользователей хотя бы раз теряли своих электронных помощников. Но, даже обжегшись на утечке, 78,1% респондентов все равно не используют шифрования. Тем не менее все эти цифры свидетельствуют о том, что проблема утечек через мобильные устройства приобретает все более серьезный характер. По мнению экспертов InfoWatch, это либо приведет к серьезным убыткам для компаний и пользователей, либо заставит их защищаться.