Дайджест событий ИТ-безопасности
Утечка стоимостью 1 млрд. долл.
Винчестер с секретными данными за пять долларов
Мобильные угрозы становятся опаснее
Каин и Авель в руках инсайдера
В статье рассматриваются наиболее важные инциденты ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Так, утечка конфиденциальных данных может обойтись компании Lockheed в 1 млрд. долл. Между тем две американские компании научились наживаться на собственных утечках, заставляя клиентов платить за компрометацию приватных данных. Кроме того, на eBay можно купить винчестеры с торговыми секретами американских корпораций всего по 5 долл. за штуку. Возросла опасность и мобильных угроз: «БиЛайн» теперь проверяет MMS-сообщения на вирусы, а «Боинг» бьет тревогу из-за постоянных краж ноутбуков. Наконец, правительство Великобритании хочет ввести налог на инсайдеров, а власти США выкладывают номера кредитных карт своих граждан прямо в Интернете…
Утечка стоимостью 1 млрд. долл.
минувшем месяце произошла, пожалуй, самая дорогая утечка конфиденциальной информации. Крупнейший подрядчик Пентагона, корпорация Lockheed с оборотом 37,2 млрд. долл. и чистой прибылью 1,8 млрд. долл., заявила, что в результате действий инсайдеров может лишиться контракта на сумму 1 млрд. долл. (Подробнее см. http://www.infowatch.ru/threats?chapter=147151398&id=184824430)Как утверждает гигант военной индустрии, три инсайдера перед своим увольнением скопировали конфиденциальную информацию компании и прихватили ее с собой. Будучи сотрудниками компании, инсайдеры занимались разработкой тренировочной системы для пилотов ВВС США именно эти секретные сведения (тысячи страниц в электронном виде) они и забрали, уходя из корпорации. Все было бы не так плохо, но если бы эта интеллектуальная собственность не попала к конкуренту корпорации L-3 (оборот 9,4 млрд. долл., прибыль 808 млн. долл.). Между тем L-3 и Lockheed участвуют в тендере Пентагона на получение 10-летнего контракта стоимостью 1 млрд. долл. В рамках этого проекта подрядчик должен будет разработать в том числе и тренировочную систему для пилотов ВВС США. Естественно, украденные из Lockheed сведения лишили корпорацию ее конкурентного преимущества. Некоторые аналитики сомневаются, что Lockheed удастся выиграть тендер после этой утечки. Как указывают эксперты InfoWatch, руководство Lockheed проявило крайнюю безалаберность, ведь утечку можно было легко предотвратить. Инсайдеры, не таясь, скачали сотни мегабайт документации, а никто этого и не заметил, пока все козыри не оказались на руках у конкурента. Между тем полный контроль над всеми каналами связи сделал бы эту операцию просто невозможной.
Как нажиться на утечках
нтересный способ наживаться на утечках конфиденциальной информации продемонстрировала американская компания Iron Mountain, которая предоставляет услуги малому и среднему бизнесу по защите данных и безопасному резервному копированию. Однако на практике компания уже в третий раз теряет резервные ленты с приватной информацией клиентов во время транспортировки. В мае 2006 года вследствие такого инцидента пострадала фирма Long Island Rail Road (Подробнее см. http://www.infowatch.ru/threats?chapter=147151398&id=186354846), в июле 2005-го сразу несколько американских банков, а в марте того же года Iron Mountain потеряла персональные данные 600 тыс. служащих Time Warner (Подробнее см. http://www.infowatch.ru/threats?chapter=147151398&id=163184193). Казалось бы, компания, предоставляющая услуги в сфере безопасности, давно уже должна была обеспечить безопасность своих услуг. Например, ввести принудительное шифрование приватных данных на резервных лентах и усилить надзор над их транспортировкой. Но не тут то было: вместо этого Iron Mountain предлагает своим клиентам отдельную услугу по транспортировке особо ценных данных. Естественно, за дополнительную плату. Таким образом, фирма пытается нажиться на низком качестве собственных же услуг. По мнению аналитического центра InfoWatch, бизнесу гораздо выгоднее самому заботиться о сохранности своих данных, чем платить за это большие деньги внешним подрядчикам. Например, компания может шифровать все особо важные сведения на резервных носителях и только после этого передавать их транспортной компании.
Дурной пример заразителен: наживаться на собственной беззащитности и безграмотности, похоже, становится модно. Например, в мае 2006 года одна корпорация продемонстрировала, как можно заработать деньги на утечках. Известный в США банк Wells Fargo допустил уже шестую за последние два с половиной года утечку приватных данных своих клиентов. По халатности своих служащих банк не раз терял ноутбуки с конфиденциальными сведениями. Кроме того, в результате слабой физической безопасности офисы Wells Fargo уже неоднократно взламывались, после чего руководство не досчитывалось нескольких персональных компьютеров с финансовыми записями клиентов. А совсем недавно была выявлена группа инсайдеров, работавших в Wells Fargo и обкрадывавших его клиентов. Наконец, на прошлой неделе во время транспортировки была украдена корпоративная рабочая станция с важными сведениями. Но банк не унывает и, несмотря на все эти утечки, даже не пытается повысить уровень ИТ-безопасности. Например, эксперты InfoWatch однозначно указывают на необходимость шифрования конфиденциальной информации как на единственную возможность противостоять «краже со взломом». Вместо этого банк ввел специальную услугу по защите своих клиентов от кражи личности. Причем ее стоимость явно выше средней по отрасли. Менеджеры банка продают услугу клиентам Wells Fargo, чьи приватные данные были скомпрометированы в результате утечки. В результате компания уже который год наживается на собственной беззащитности. Интересно, долго ли еще клиенты Wells Fargo будут терпеть это?
Винчестер с секретными данными за пять долларов
ерьезные проблемы возникают не только с хранением и перевозкой резервных лент. Как на собственном примере выяснила компания Idaho Power (Подробнее см. http://www.infowatch.ru/threats?chapter=147151398&id=186437795), бизнес испытывает трудности с правильным уничтожением информации на носителях, которые стали не нужны. Так, Idaho Power решила избавиться более чем от 200 своих жестких дисков. Для этих целей она обратилась к фирме Grant Korth, которая занимается очисткой накопителей, бывших в употреблении, и последующей их продажей. В качестве эксперимента служащие Idaho Power отследили свои жесткие диски в Интернете. Один из них удалось обнаружить на аукционе eBay. Каково же было удивление сотрудников, когда они обнаружили на купленных винчестерах свою конфиденциальную информацию. Как оказалось, на всех остальных дисках также содержались особо важные документы Idaho Power. Между тем компания-посредник Grant Korth была обязана очистить винчестеры в соответствии со всеми положениями стандарта Министерства обороны США по уничтожению данных. Теперь в отношении Grant Korth ведется следствие. Аналитики Gartner считают, что утечка информации подобным способом типична для современного бизнеса, а эксперты InfoWatch рекомендуют пользоваться новейшими стандартами уничтожения данных на жестких дисках, одним из которых является последний стандарт NIST.
Мобильные угрозы становятся опаснее
последнее время мобильные устройства все чаще фигурируют в прессе в качестве канала утечки конфиденциальной информации. Однако, как уже сообщалось в предыдущих выпусках дайджеста, угроза исходит от вирусов, поражающих мобильные телефоны. В результате вредоносной активности таких программ можно лишиться денег на своем счету, а порой и приватных записей в адресной книге.
Чтобы обезопасить своих клиентов, оператор сотовой связи «БиЛайн» взял на вооружение «Антивирус Касперского» (См. подробнее http://www.kaspersky.ru/news?id=186398260). Наибольшую опасность эксперты мобильной компании увидели в вирусах, распространяющихся через MMS-сообщения. Услуги по обмену мультимедиасообщениями (фото, видео, мелодии и т.д.) действительно являются сегодня очень популярными, между тем любое такое сообщение может содержать вирус, который в состоянии заразить смартфон.
Теперь пользователям «БиЛайн» стала доступна услуга по проверке отправляемых и принимаемых мультимедиасообщений. Фильтрацию MMS-трафика осуществляет Kaspersky Anti-Virus for Mail Servers, входящий в комплексную систему Kaspersky Corporate Suite. Если во время проверки на сервере в теле сообщения обнаружится вредоносный код, то антивирус попытается вылечить инфицированный объект. О результатах обязательно будет сообщено пользователю. В случае невозможности проверки вложений (например, защищенных паролем архивов) в тему письма может добавляться сообщение, информирующее пользователя об опасности.
Однако опасность подстерегает не только пользователей мобильных телефонов. Особым спросом у злоумышленников пользуются сегодня ноутбуки, причем с конфиденциальными данными. В предыдущих дайджестах мы уже не раз сообщали о том, что крупные компании часто теряют лэптопы с приватными данными клиентов, но наиболее интересную статистику на этот счет предоставила корпорация «Боинг» (См. подробнее http://www.infowatch.ru/threats?chapter=147151398&id=184754876) , утратившая в конце апреля этого года очередной мобильный компьютер с персональными сведениями 3,6 тыс. служащих. Оказывается, только за прошлый год фирма лишилась 250 ноутбуков, которые были украдены или потеряны. Между тем директива о шифровании данных на лэптопах была выпущена в «Боинге» лишь в конце 2005 года, когда компания потеряла более 150 мобильных компьютеров. Правда, директива не помогла украденный в конце этого апреля ноутбук был защищен только паролем при входе в систему, а все приватные данные хранились в открытом виде. По мнению аналитического центра InfoWatch, распоряжения сверху не могут сразу решить такую комплексную проблему, какую создают инсайдеры. Компании следует реализовать полноценную политику внутренней ИТ-безопасности, а потом обеспечить ее выполнение на местах с помощью технических средств.
Инсайдеры в законе
ООчень любопытная новость пришла из Великобритании. Министр финансов страны предложил обложить налогом использование офисных компьютеров в личных целях (См. подробнее http://www.infowatch.ru/threats?chapter=147151396&id=186480254). Как известно, многие белые воротнички посещают развлекательные веб-сайты или отправляют личные электронные сообщения прямо в рабочее время. Так вот, главный финансист Соединенного королевства посчитал, что эта деятельность приносит прохлаждающемуся служащему косвенный доход, а следовательно, ее надо обложить налогом. Работодатель же должен выплачивать все социальные налоги. Поэтому если компания не сможет доказать, что ее служащие используют офисную технику в личных целях «незначительно», то ей придется заплатить налог. По предварительным подсчетам, уже за первые три года действия нового налога в бюджет Великобритании поступит 3,75 млрд. долл. По мнению экспертов InfoWatch, новый налог может послужить отличным стимулом для развития рынка продуктов, предотвращающих нецелевое использование информационных ресурсов компании.
Поучительный юридический инцидент произошел в США, охватив всю Флориду (См. подробнее http://www.infowatch.ru/threats?chapter=147151398&id=184892281). Оказалось, что уже многие годы в этом штате действует закон, обязывающий всех чиновников выкладывать в Интернет абсолютно все постановления, приказы, решения суда, нормативные и другие документы без всяких изменений. Когда закон принимался, никто и не подумал, что эти файлы будут содержать приватные данные граждан. Однако теперь выяснилось, что государственные серверы штата завалены отсканированными версиями документов, на которых содержатся номера кредитных карт, социального страхования, образцы подписей граждан и т.д. Теперь всем округам штата предписано удалить личные сведения из электронных документов до начала 2007 года. Один из округов провел оценку объема работы и выяснил, что ему придется обработать 30 млн. страниц, в том числе и датированных 1970 годом. Анализ первых 7 млн. страниц выявил, что на 119 тыс. из них были особо важные данные. При этом анализ всех 30 млн. страниц будет стоить 705 тыс. долл. Напомним, что это лишь один из округов Флориды, который подсчитал свои убытки. По мнению аналитического центра InfoWatch, всему штату придется потратить миллионы долларов, чтобы исправить ошибку законодателей. Более того, инцидент должен послужить уроком всему миру. Например, если российские законодатели решат обеспечить полную прозрачность всех документов через Интернет, то надо будет обязательно позаботиться о том, чтобы из файлов были удалены все приватные сведения граждан.
Каин и Авель в руках инсайдера
заключение рассмотрим любопытный инцидент, произошедший в штате Нью-Хэмпшир (См. подробнее http://www.infowatch.ru/threats?chapter=147151398&id=184892329). Один из сотрудников администрации установил шпионскую программу «Каин и Авель» на государственный сервер, обрабатывающий финансовые транзакции и хранящий номера кредитных карт. Инцидент был предан гласности, и за дело взялось ФБР. Недавно стало известно, что Бюро закрыло дело из-за отсутствия состава преступления: программа-шпион так и не была активирована и похищения данных не произошло. Сам же инсайдер объясняет свои действия тем, что хотел испытать систему ИТ-безопасности на прочность. Как указывают эксперты InfoWatch, об истинных мотивах инсайдера остается только догадываться. Однако очевидно, что каждый инсайдер может легко установить программу-шпион или за раз скачать сотни тысяч номеров кредитных карт, так что об этих угрозах должна помнить каждая организация.