Дайджест событий в сфере ИТ-безопасности
Сколько стоит утечка конфиденциальных данных
Кража персональных данных и нарушение конфиденциальности
В статье рассматриваются наиболее важные инциденты в области ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Анализ событий позволяет взглянуть на проблемы защиты данных с практической точки зрения: ознакомиться с конкретными ошибками различных компаний, оценить последствия инцидентов и получить реальное представление о серьезности тех или иных угроз.
Инсайдеры не дремлют
аиболее неприятным событием последнего месяца стала новая утечка конфиденциальной информации из крупной государственной организации Центробанка РФ (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=179642772). В середине февраля в Интернете появилась рекламная рассылка, предлагающая купить базу данных о банковских проводках через расчетно-кассовые центры ЦБ за I квартал 2005 года. Как известно, практически ни одна утечка данных не проходит без участия инсайдеров сотрудников, имеющих доступ к конфиденциальным сведениям в силу своих должностных полномочий. Не стал исключением и Центробанк России: борьба с инсайдерами продолжается в ЦБ уже не первый год, причем с переменным успехом. Ранее было зафиксировано как минимум две утечки из Центробанка: в феврале 2005 года на черный рынок попала база данных с проводками за апрель 2003 сентябрь 2004-го, а в мае 2005 года за IV квартал 2004 года. Последняя база данных (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=164140440), в частности, позволила широкой общественности ознакомиться с деталями продажи с аукциона «Юганскнефтегаза» основного добывающего предприятия ЮКОСа.
Названные инциденты не прошли бесследно. В октябре прошлого года Татьяна Парамонова, первый зампредседателя ЦБ РФ, сообщила (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=172513501), что Банк России обеспокоен проблемой инсайдеров и проверяет доступные на черном рынке базы, пытаясь извне отследить утечку. Но уже в ноябре Владимир Бабкин, заместитель начальника Управления безопасности и защиты информации Московского главного территориального управления Банка России, заявил (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=172906527), что канал, по которому данные утекали наружу, удалось выявить и закрыть. Правда, источник утечки так и не был назван.
В связи с последним заявлением ЦБ и высказанной ранее обеспокоенностью можно утверждать, что новая утечка базы за I квартал 2005 года вовсе не противоречит словам Владимира Бабкина, поскольку попавшая на черный рынок информация датирована началом 2005 года и, следовательно, отстоит от момента выявления канала утечки на пять-шесть месяцев. Таким образом, очень важно, чтобы в продажу не попали новые базы, актуальность которых не вызывает сомнения. От этого зависит не только финансовая стабильность деловых операций, но и репутация Банка России как одной из самых авторитетных организаций страны.
Как поймать инсайдера
егодня инсайдеры представляют, может быть, наиболее опасную угрозу ИТ-безопасности. Тем не менее защита информационных активов компании от собственных служащих, которые просто по определению имеют доступ к конфиденциальным данным, оказывается вполне реальным делом. Пример победы над инсайдерами продемонстрировала в середине февраля российская компания LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности фирме удалось обезвредить двух сотрудников, уличенных в злоупотреблении служебным положением.
Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. В этом ему помогал еще один сотрудник фирмы. Если бы инсайдерам удалось привести свой план в действие, то LETA понесла бы серьезные финансовые убытки, связанные с недополученной прибылью и утечкой сведений о заказчиках, и вдобавок получила бы серьезный удар по репутации.
Однако злоупотребление было оперативно и заблаговременно выявлено с помощью InfoWatch Mail Monitor системы фильтрации почтового трафика и обнаружения утечки конфиденциальной информации. Специалист по ИТ-безопасности компании LETA получил предупреждение о подозрительной активности сотрудника. После изучения почтовых сообщений, которыми инсайдеры обменивались между собой и с потенциальными заказчиками, подозрения укрепились, о чем тут же было проинформировано руководство компании.
Важно отметить, что применение технических средств мониторинга почты было удачно дополнено необходимыми организационными мерами. В фирме были внедрены политика ИТ-безопасности и положение о конфиденциальности. Каждый сотрудник в трудовом договоре обязался хранить коммерческую тайну работодателя и документально передать все данные, созданные на рабочем месте, в собственность компании.
Таким образом, организации удалось защитить свой самый ценный информационный актив клиентскую базу. Уличенные в нарушении трудового договора и корпоративной этики сотрудники возместили ущерб и были уволены. При этом руководство LETA решило не замалчивать инцидент, а проинформировать о нем общественность и другие компании, чтобы инсайдеры не смогли найти себе новую жертву.
Сколько стоит утечка конфиденциальных данных
ценивая последствия различных утечек, специалистам часто приходится иметь дело с такими показателями, как недополученная прибыль, ущерб деловой репутации, прямые финансовые убытки и т.д. Перевести все эти параметры в денежное выражение не так-то просто. Тем не менее пролить свет на эту проблему позволяет утечка конфиденциальных данных из американской компании ChoicePoint, вследствие которой корпорация уже лишилась более 55 млн. долл.
Величину общих потерь и структуру убытков определил аналитический центр InfoWatch (Подробнее: http://www.infowatch.ru/threats?chapter=147151396&id=179698803). В результате оказалось, что прошлогодняя утечка обошлась ChoicePoint практически в 50% ее чистой прибыли за 2005 год. Структура расходов представлена в таблице.
Расходы компании ChoicePoint вследствие утечки конфиденциальных данных (источник: InfoWatch)
За последний месяц были преданы огласке еще два инцидента, в результате которых инсайдерам удалось серьезно повысить собственное благосостояние. Прежде всего, российские мошенники, наравне с представителями украинского и корейского «андеграунда», используя персональные сведения американских граждан, выкачали с их счетов нескольких десятков тысяч долларов. Эти конфиденциальные сведения были добыты с участием инсайдеров (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=179259425) в результате утечки сведений о 365 тыс. пациентов американской больницы Providence Home Services. Местные преступники распродали сотни тысяч таких записей в Интернете, а посредством части из них получили деньги жертв самостоятельно.
Жертвой махинации стал и один из украинских банков. При расследовании финансового мошенничества выяснилось, что деньгами банка тоже воспользовался инсайдер (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=179263028), инженер-программист, который имел доступ к счетам клиентов. Сейчас 23-летний банковский служащий арестован, представители обвинения уверены, что он украл у клиентов компании как минимум 45 тыс. долл. Анализируя этот случай, можно вспомнить два инцидента, когда в преступную группу входили три и семь банковских инсайдеров: три инсайдера смогли украсть у банка 300 тыс. долл., а семь инсайдеров несколько миллионов.
Кража персональных данных и нарушение конфиденциальности
родолжая тему утечки приватных и конфиденциальных данных граждан, нельзя обойти вниманием историю с продажей телефонных записей в США. Скандал в американском обществе разгорелся после того, как журналисты за 90 долл. купили список входящих и исходящих вызовов бывшего кандидата в президенты США генерала Уэсли Кларка (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=178325588). Когда об инциденте стало известно, граждане США были шокированы: юристы установили, что телефонные записи вообще не защищены законом. Другими словами, любой желающий может за сотню долларов узнать, кому звонил определенный гражданин и кто звонил ему. Чтобы хоть как-то снять общественное напряжение, сенаторы начали срочно готовить федеральный закон о защите телефонных записей, а операторы мобильной связи подали в суд на десятки мелких фирм, торгующих конфиденциальными данными прямо в Интернете.
Попутно стало известно, как именно онлайн-торговцам удалось раздобыть телефонные записи генерала Кларка. Оказалось, что сотрудники сайта Celltolls.com позвонили в сотовую компанию и рассказали телефонистке выдуманную историю о том, что генерал болен ангиной и не может запросить требуемые сведения самостоятельно. В качестве доказательства они предоставили номер социального страхования бывшего кандидата в президенты, добытый, видимо, в результате одной из крупных утечек.
Все эти события очень напоминают инцидент, произошедший в 2004 году, когда одна небольшая российская фирма торговала в Интернете информацией о входящих и исходящих вызовах абонентов трех крупнейших операторов сотовой связи. Как потом выяснилось, эти данные утекали из мобильных компаний с помощью инсайдеров (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=155420567) , которые за деньги передавали нужную информацию преступникам. Тем не менее МВД и ведущим сотовым фирмам удалось практически сразу перекрыть канал утечки личных сведений и арестовать преступников, а федеральный закон, защищающий конкретно телефонные записи, и вовсе не понадобился…
В целом же сегодня угроза нарушения конфиденциальности превосходит по степени опасности такие, казалось бы, нешуточные угрозы, как ухудшение экологической обстановки и террористические атаки. Именно к такому выводу пришла компания Visa, опросившая тысячи граждан в различных странах мира, включая Россию (Подробнее: http://www.infowatch.ru/threats?chapter=147151396&id=179263044). Отметим, что наибольшую обеспокоенность утечкой своих личных данных продемонстрировали китайцы и индийцы.
Самые курьезные утечки месяца
амыкают череду последних инцидентов в сфере ИТ-безопасности три курьезных случая. В первом случае американский госпиталь Brigham and Women в течение полугода отсылал личные данные пациентов по факсу в банк, не имеющий ни к больным, ни к больнице никакого отношения. Служащие банка отправляли пришедшие факсом данные в шредер и еженедельно звонили в госпиталь с просьбой о прекращении отправки номеров социального страхования, медицинских записей и т.п. На другом конце провода каждый раз обещали разобраться с проблемой, но факсы все приходили и приходили, пока банк не пожаловался в прессу…
Во втором случае из-за пресловутой человеческой ошибки более полутысячи номеров социального страхования были напечатаны прямо сверху на конвертах получателей. В результате приветственные письма новым клиентам страховой компании Blue Cross and Blue Shield принесли не радость, а тревогу, так как эти люди теперь могут лишиться своих банковских сбережений вследствие кражи персональных данных.
Наконец, в последнем инциденте отличились две газеты, принадлежащие «New York Times». Дело в том, что в Америке использованная бумага отправляется на переработку, а не в мусорный ящик и потом на свалку. К сожалению, на некоторых из отправленных в переработку бумажных листах содержались номера кредитных карт и банковских счетов более 240 тыс. подписчиков «The Boston Globe» и «Worcester Telegram & Gazette». После переработки из бумаги получились почтовые наклейки, которыми обычно снабжают посылки и бандероли (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=179267748) . Каково же было удивление граждан, когда они обнаружили на обычных почтовых пакетах наклейки с номерами кредитных карт и банковских счетов...