Дайджест событий ИТ-безопасности
Из-за утечки банк перевыпустил все карточки
Утечка из Университета Станфорда
Утечки-клоны из американских университетов
Крупнейший американский оператор свалил вину за утечку на собственного сотрудника
Интернет-магазин забыл об утечке
Экзотическая утечка из Австралии
Инцидент в HSBC при поддержке DHL
20 тыс. американцев отправили «на тот свет»
Июль можно смело назвать месяцем краж ноутбуков. Действительно, большинство утечек произошло именно из-за пропажи мобильных компьютеров. В свою очередь, данные о пластиковых картах потеряли банк 1st Source и интернет-магазин Montgomery Ward. А на звание самого экстравагантного инцидента претендуют сразу две утечки: обнаружение во время пожара в заброшенном австралийском парке развлечений бумажных документов обанкротившейся фирмы и ошибочное причисление к мертвым 20 тыс. американцев.
Из-за утечки банк перевыпустил все карточки
Американский банк 1st Source из Индианы решился на достаточно смелый шаг и заменил все свои дебетовые карты. Целью повторной эмиссии было предотвратить мошенничество и обезопасить своих клиентов от финансовых потерь.
Точных данных о том, какая брешь привела к утечке сведений о пластиковых карточках клиентов, нет. Неизвестно также и количество скомпрометированных данных. Подозрительный исходящий трафик от сервера управления пластиковых карт был обнаружен в середине мая. Несмотря на то что трафик тут же заблокировали, банк действовал оперативно и профессионально. Не считаясь с текущими расходами, в короткие сроки были перевыпущены все дебетовые карты, а клиенты уведомлены об утечке.
Как отмечают в аналитическом центре Perimetrix, банк не только защитил от убытков своих клиентов, но и снизил собственные издержки. Если бы кредитная организация начала выяснять, сведения о чьих карточках успели выйти наружу, попыталась умолчать об утечке, то ее потери оказались бы несравнимо больше, когда мошенники начали бы снимать средства со счетов клиентов. Ведь потеря репутации является наибольшим злом для коммерческих компаний.
Банк, безусловно, допустил ошибку, нарушив требования стандарта PCI DSS. На сервере вместе хранились и PIN-коды к картам, и информация с магнитных лент. Кроме того, недостаточной оказалась безопасность самого сервера. Однако мероприятия по ликвидации последствий инцидента можно назвать примерными.
Утечка из Университета Станфорда
Около 72 тыс. сотрудников Университета Станфорда находятся под угрозой кражи личности в связи с кражей ноутбука с базой персональных данных. В группу риска попали не только нынешние работники, но и уже уволившиеся, а также студенты, работавшие на полставки, — все, кто подписал трудовой договор до сентября 2007 года.
В базе данных хранились имена, даты рождения, номера социального страхования, должности, номера домашнего и рабочего телефонов, домашние адреса, сведения о заработной плате и другие сведения. Университет предполагает предоставить всем пострадавшим услуги по защите от кражи личности. Это указывает на то, что конфиденциальная база данных на ноутбуке не была зашифрована.
В аналитическом центре Perimetrix удивлены, что в столь уважаемом учебном заведении, воспитавшем основателей Google, Yahoo, Cisco, Sun Microsystems и др., не знакомы с простейшим способом защиты информации — шифрованием.
Утечки-клоны из американских университетов
Университеты Восточного Теннесси и Южной Каролины допустили две очень похожие утечки данных. В обоих случаях из кабинетов были украдены настольные компьютеры с базами персональных данных студентов и сотрудников.
В Восточном Теннесси (East Tennessee State University) пострадало около 6 тыс. человек. Причем полиция подозревает в сговоре с похитителями сотрудников или студентов вуза, поскольку следов взлома не было обнаружено. Примерно столько же пострадавших и в Университете Южной Каролины (University of South Carolina) — 7 тыс. человек.
Как указывают эксперты Perimetrix, для хранения баз данных плохо приспособлены не только ноутбуки, но и рабочие станции пользователей. Требования физической безопасности тоже важны, и хранить чувствительную информацию следует в защищенных серверных комнатах на специальном оборудовании.
Крупнейший американский оператор свалил вину за утечку на собственного сотрудника
Из-за кражи ноутбука из автомобиля сотрудника AT&T большому количеству менеджеров компании угрожает кража личности. На пропавшем компьютере хранилась база данных со сведениями об управленцах крупнейшего американского оператора, в том числе имена, номера социального страхования, размеры зарплат и премий.
Представитель AT&T Уолт Шарп (Walt Sharp) сообщил, что компания оплатит пострадавшим сотрудникам кредитный мониторинг, а виновный в утечке будет наказан. В компании существуют очень строгие правила, которые запрещают хранить конфиденциальную информацию на мобильных устройствах без использования шифрования. По мнению Шарпа, каждый сотрудник должен быть уверен, что секретные сведения на его ноутбуке зашифрованы или отсутствуют.
Как отмечают в аналитическом центре Perimetrix, строгие корпоративные политики — это основа безопасности. Однако шифрование компьютеров не является тем мероприятием, которое должны проводить сами пользователи. С точки зрения владельца ноутбука, шифрование вообще должно быть незаметным и внедряться на этапе подготовки ноутбука к эксплуатации ИТ-специалистами.
Сапожник без сапог
Консалтинговая компания BearingPoint, специализирующаяся на вопросах защиты от утечек данных, сама пострадала от глупейшего инцидента. Из дома одного из сотрудников BearingPoint грабители похитили ноутбук с приватной информацией подрядчиков BearingPoint.
На компьютере использовалась двухуровневая парольная защита, а персональные сведения были распределены по нескольким файлам. Однако эксперты компании Perimetrix предполагают, что в условиях отсутствия шифрования этих мер защиты явно недостаточно.
Примечательно, что на стартовой странице сайта BearingPoint бросается в глаза сообщение, что «кража личности является наиболее опасным интернет-преступлением в течение последних 8 лет».
Данный инцидент наверняка самым печальным образом скажется на бизнесе BearingPoint, ведь компания позиционировала себя как эксперта в области защиты информации.
Очередной антирекорд от NHS
Медицинский холдинг NHS допустил очередную утечку данных, которая стала уже 11-м инцидентом внутренней безопасности в компании менее чем за год.
Из-за пропажи еще одного ноутбука с базой приватных данных из организации Wolverhampton City Primary Care Trust, входящей в состав NHS, холдинг был вынужден уведомить об утечке 11 тыс. своих пациентов. Полиция Вулверхэмптона сообщила, что лэптоп с приватными сведениями пациентов хирургического отделения был украден из дома одного из врачей организации.
Английское Министерство здравоохранения выпустило рекомендации, чтобы персональные данные пациентов и докторов хранились на компьютерах в зашифрованном виде. Однако в Wolverhampton City Primary Care Trust не последовали совету и использовали обычную парольную защиту.
Руководитель Wolverhampton City Primary Care Trust Джон Крокетт (Jon Crockett) отметил, что его организация обеспокоена возможными последствиями утечки. По его словам, «компании, которые обрабатывают персональные сведения граждан, должны поддерживать адекватный уровень безопасности. Именно поэтому мы проводим полное и максимально подробное расследование данного инцидента».
По мнению экспертов Perimetrix, не следует винить NHS за очередной вскрывшийся инцидент безопасности. То, что холдинг регулярно уведомляет пациентов об утечках, говорит об открытости организации и стремлении обезопасить граждан. В конечном счете старания компании будут сосредоточены на обеспечении безопасности данных, а не на ликвидации последствий утечек.
Интернет-магазин забыл об утечке
Компания Direct Marketing Services, владелец нескольких интернет-магазинов: Montgomery Ward, HomeVisions.com, SearsHomeCenter.com, SearsShowPlace.com и SearsRoomForKids.com — забыла сообщить клиентам о крупной утечке сведений о банковских картах. Как полагают в аналитическом центре Perimetrix, компания попросту пыталась скрыть инцидент, чтобы избежать репутационных потерь и снизить свои издержки на уведомление клиентов.
По словам генерального директора Direct Marketing Services Дэвида Милгрома (David Milgrom), компания выполнила все предписания Visa и сообщила об инциденте в правоохранительные органы. Почему не были уведомлены клиенты — Милгром не пояснил.
Инцидент все же стал публичным в конце июня по «вине» компании CardCops, которая проводит различные исследования по борьбе с мошенниками-кардерами. По данным CardCops, в начале июня на одном из интернет-форумов появилась крупная база данных, содержавшая информацию о 200 тыс. банковских карт. Сотрудники CardCops перехватили несколько сотен записей и обзвонили владельцев карт. Выяснилось, что все они делали покупки в магазине Montgomery Ward, который входит в Direct Marketing Services.
Пример с Direct Marketing Services показывает, насколько важна качественная кампания по рассылке оповещений пострадавшим. Если бы исследователи CardCops не нашли пропавшую базу, ее могли приобрести мошенники, которые стали бы снимать деньги с карточек ничего не подозревающих обывателей.
Экзотическая утечка из Австралии
Неординарная утечка информации произошла на днях в австралийском городке Лансвале (Lansvale). В заброшенном парке развлечений была найдена стопка конфиденциальных бумаг медицинской организации Sydney West Area Health Service (SWAHS).
Бумаги обнаружили во время тушения пожара, который возник в парке по неизвестной причине. Предполагается, что в утечке виновата обанкротившаяся компания — бывший партнер SWAHS. Но как теперь предъявить претензии несуществующей фирме — непонятно.
Руководитель SWAHS профессор Стивен Бояджис (Steven Boyages) заявил, что в организации существуют процедуры по уничтожению конфиденциальных данных и утилизации медицинских отходов, однако в данном случае они не были соблюдены. В ближайшее время SWAHS планирует проверить всех партнеров на предмет выполнения принятых правил.
Инцидент в HSBC при поддержке DHL
Очередная крупная утечка произошла из корпорации HSBC. В начале июля гонконгский офис HSBC сообщил о потерянной магнитной ленте с 25 тыс. телефонных разговоров. Пропажа случилась во время транспортировки данных крупнейшей логистической фирмой DHL из Гуанчжоу в Гонконг — из 55 отправленных лент на место прибыли только 54.
На потерянной ленте хранились записи звонков клиентов, в том числе связанные «с запросами на получение кредитных карт и интернет-банкингом для корпоративных клиентов». Предполагается, что банк оповестит всех пострадавших после того, как сумеет установить их личность.
По мнению экспертов Perimetrix, потерянная информация вполне могла быть использована мошенниками, поскольку беседы со специалистами по интернет-банкингу содержат конфиденциальные сведения. Однако если лента действительно была зашифрована стойкими алгоритмами, то угроза минимальна.
20 тыс. американцев отправили «на тот свет»
В конце июня шокирующие новости пришли из США. В базу данных Death Master File (DMF), где должны храниться сведения только об умерших американцах, попала информация о 20 тыс. живых людей. Утечка имеет две стороны вопроса. Во-первых, этическую: мало кому будет приятно числиться мертвецом, пусть даже понарошку. Во-вторых, практическую: сведения об умерших американцах содержат и номера социального страхования, которые могут использоваться мошенниками.
Интересно, что американское ведомство Social Security Administration (SSA), управляющее программой социального страхования, давно пытается бороться с утечками персональных данных, но, как показал последний инцидент, безуспешно.
По сведениям генеральной прокуратуры, причиной утечки стали не единичные ошибки персонала, а системные проблемы в бизнес-процессах SSA. Сведения о еще живых гражданах попадали в Death Master File начиная с 2004 года, однако были обнаружены и удалены лишь в 2008-м. Стоит также отметить, что скомпрометированные записи уже успели распространиться по Интернету.
Как отмечают эксперты Perimetrix, случай с DMF демонстрирует, что даже организация, которая управляет всей системой (SSA), не может защитить приватные сведения. При этом SSA требует от других операторов сведений соблюдать безопасность. Очевидно, проблема носит патологический характер и решить ее будет очень трудно.
 |
|
