Дайджест событий ИТ-безопасности
Белорусские телекомы не дружат с приватностью
Промышленный шпионаж процветает
Инсайдеры — нам таких друзей не надо
В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Так, белорусский сотовый оператор Velcom лишился приватной БД, а инсайдер в сингапурском отделении Citibank’а украл сведения о самых состоятельных клиентах банка. В это время британские репортеры съездили в Индию и обнаружили целый рынок приватных данных своих соотечественников. Служащие индийского телекома украли инновационные технологии фирмы и продали их конкуренту, а сотрудник американской компании поживился корпоративным ноутбуком с приватными сведениями клиентов.
Белорусские телекомы не дружат с приватностью
Не так давно произошла серьезная утечка приватной базы данных в Белоруссии. Журналисты приобрели текстовый файл с информацией о 2 млн абонентов Velcom. В нем содержатся номера мобильных телефонов и ф.и.о. клиентов сотового оператора. При этом белорусская пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 года вышло как минимум шесть вариантов, причем каждый раз информация пополнялась. Между тем аналогичные данные компании МТС в белорусском Интернете по-прежнему отсутствуют. По мнению аналитического центра InfoWatch, Velcom играет с огнем, допуская так много утечек. Если это будет продолжаться и дальше, то абоненты начнут плавно перетекать к менее «дырявому» конкуренту.
Столкнувшись с волной критики, Velcom не стала отмалчиваться и сделала ряд заявлений (http://www.infowatch.ru/threats?chapter=147151398&id=199426795). Во-первых, компания сообщила, что белорусские законы не защищают персональные данные граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных клиентов (номер телефона и ф.и.о. каждого абонента) «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». Иными словами, Velcom снова не виновата в утечке. В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре. Поэтому теперь Velcom готовит банку претензию и «рассматривает возможность предъявления иска о защите деловой репутации». К чему такое разбирательство может привести на практике, мы узнаем только со временем. Пока лишь отметим, что инсайдеры слишком часто уходят от ответственности…
Как здесь не удержаться от сравнения белорусского законодательства с российским? Эксперты аналитического центра InfoWatch указывают, что в России существует федеральный закон «О персональных данных», который, правда, вступит в силу с февраля 2007 года. Этот закон не только юридически запрещает утечки, но и налагает на подрядчиков обязанности по защите приватных сведений, которые получают эту информацию в рамках аутсорсинга. Отметим, что в случае аналогичной утечки в России, скажем, 1 февраля 2007 года все 2 млн абонентов смогут подать в суд на оператора сотовой связи, требуя компенсации морального и материального вреда.
Между тем это не единственный пример такого безалаберного отношения к приватности. Так, белорусский оператор электросвязи «Белтелеком» предоставляет слишком подробные персональные данные абонента намеренно (http://www.infowatch.ru/threats?chapter=147151398&id=198706061). Система компании «Справка о задолженности» позволяет узнать о сумме задолженности за услуги фиксированной связи практически любого гражданина. Таким образом, достаточно знать телефонный номер и фамилию его владельца для того, чтобы косвенно оценить семейный доход, проследить, есть ли в квартире модем или факс, проанализировать частоту междугородных звонков.
Как указывают эксперты InfoWatch, в Белоруссии необходим аналог российского закона «О персональных данных». Ведь без соответствующей законодательной базы прекратить столь наплевательское отношение к приватности не удастся.
Citibank воюет с инсайдерами
Серьезная утечка конфиденциальной информации произошла из сингапурского отделения Citibank’а. Компания не стала скрывать этот инцидент от общественности и подала в суд на нескольких своих инсайдеров (по некоторым данным, от двух до шести человек). Теперь у нас есть возможность ознакомиться с деталями утечки (http://www.infowatch.ru/threats?chapter=147151398&id=199748474).
Оказывается, руководитель местного отделения Private Banking (обслуживающего самых богатых клиентов) перешел на работу к банку-конкуренту UBS. С собой он прихватил конфиденциальные данные всех этих состоятельных граждан. Не мудрено, что через некоторое время и клиенты перекочевали к другому банку. Роль остальных инсайдеров до конца не известна, но, судя по всему, они помогли бывшему управляющему раздобыть эти конфиденциальные сведения. Заметим, что реакция Citibank’а по поводу произошедшего вполне понятна, ведь каждый клиент Private Banking готов передать в управление банку сумму от нескольких сотен тысяч до миллионов долларов. Как отмечают эксперты InfoWatch, это один из самых распространенных случаев утечки. Менеджеры высшего и среднего звена очень часто при смене работы забирают с собой конфиденциальные документы и списки клиентов бывшего работодателя. Это помогает набить себе цену в новой компании и существенно увеличить как оклад, так и проценты.
Однако это еще не самое интересное. В исковом заявлении Citibank’а указано, как именно корпоративные секреты покинули интрасеть. Дело в том, что инсайдеры ни от кого не скрывались и просто пересылали информацию по электронной почте. Сначала руководитель отдела собрал с подчиненных по почте приватные сведения клиентов, а потом выслал их на свой персональный ящик. Естественно, далее этот список перекочевал к новому работодателю. По данным аналитического центра InfoWatch, электронная почта действительно является самым распространенным каналом утечки коммерческих секретов. Бизнесу давно пора взять под контроль эти каналы и защититься от инсайдеров и утечек. Однако компании предпочитают наступать на одни и те же грабли.
Аутсорсинг по-индийски
Еще один крупный скандал произошел в Британии. Репортеры четвертого канала и газеты Sunday Times представили публике подробное описание того, как служащие индийских call-центров распродают их приватные данные. Журналисты съездили в Индию и отыскали двух продавцов (http://www.infowatch.ru/threats?chapter=147151398&id=199880133). Один из них предлагал базу данных, содержащую номера кредитных карт 200 тыс. британцев. Вдобавок, посредник продавал базы с паспортными данными, номерами водительских удостоверений, информацией о банковских счетах. А на одной из встреч он вообще предложил персональные данные о 8 тыс. пользователей мобильных телефонов. Второй продавец специализировался только на финансовых сведениях. Он пытался реализовать приватные сведения клиентов британских финансовых фирм Halifax, Nationwide, Woolwich, Bank of Scotland и NatWest. За персональные данные каждого клиента он хотел получать по 5 фунтов. Однако самое интересное в том, что продавцы даже не скрывают источник информации. Они открыто признают, что все данные были получены от инсайдеров, многие из которых просто скачивают персональные сведения клиентов на USB-флэшки. Как указывают эксперты InfoWatch, мобильные накопители — это второй по популярности канал утечки конфиденциальной информации. О нем все знают, но предпочитают делать вид, что проблемы утечки не существует. А в это время приватные базы продаются всем желающим…
Промышленный шпионаж процветает
Следующий пример (http://www.infowatch.ru/threats?chapter=147151398&id=201426188) должен послужить уроком для всех бизнесменов. Итак, бизнес преуспевающей индийской телекоммуникационной и технологической компании Acme Tele Power строится на том, чтобы разрабатывать энергоемкие решения и продавать их телекомам, которые напрямую обслуживают потребителей. Компания добилась успеха благодаря своему отделу R&D, который постоянно выдает новые технологии, патенты и решения. Однако не все так гладко: есть конкурент — фирма Lambda Private Limited, продукты которой с недавнего времени стали очень похожи на решения Acme Tele Power.
В конце лета наиболее лояльные клиенты Acme Tele Power посоветовали компании присмотреться к своему конкуренту, продукты которого просто повторяют технологии этой фирмы. Инженеры проверили и действительно обнаружили полное сходство. Начали исследовать журналы событий на сервере, где хранятся все результаты R&D. Оказалось, что в апреле текущего года один помощник менеджера скачал с сервера все патенты, результаты всех инновационных проектов и другую интеллектуальную собственность, а потом послал всю эту информацию на свой персональный e-mail. Дальнейшее расследование показало, что в краже участвовал еще один инсайдер (один из директоров). Однако факт остается фактом — все секреты Acme Tele Power были за хорошие деньги проданы ее конкуренту — Lambda Private Limited.
Как указывают эксперты InfoWatch, это типичный пример промышленного шпионажа. Больше всего от таких инцидентов страдают именно технологические компании, чей бизнес напрямую зависит от результатов научно-исследовательской деятельности. В данном случае компания Acme Tele Power оставила свой самый ценный актив — интеллектуальную собственность — без защиты. Между тем утечку можно было легко предотвратить — для этого достаточно фильтровать почту и контролировать операции на сервере.
Инсайдеры — нам таких друзей не надо
Обратимся теперь к расследованию серьезной утечки из американской компании Unisys. Ранее в прессе сообщалось, что неизвестный злоумышленник украл корпоративный ноутбук с персональными данными 38 тыс. ветеранов США. Сейчас удалось установить личность этого преступника и даже арестовать его. Инцидент подтвердил одно из основных правил — там, где произошла утечка, ищите инсайдера. Так и оказалось — арестованный парень был служащим Unisys, но не постоянным, а временным (http://www.infowatch.ru/threats?chapter=147151398&id=198754686). Почему-то никто не подумал, что контрактник может украсть ценную вычислительную технику, на которой записана информация стоимостью в сотни тысяч долларов. Теперь, считают эксперты InfoWatch, фирме Unisys очень повезет, если эксперты ФБР смогут подтвердить, что приватные данные ветеранов не были обнародованы.
Еще один столь же поучительный инцидент произошел в американском колледже (http://www.infowatch.ru/threats?chapter=147151398&id=201564675). Охранник, имевший доступ в административные помещения, просто-напросто украл персональные данные студентов и преподавателей. А потом накупил в Интернете товаров с использованием чужих реквизитов. Хотя охранник с самого начала заказывал товары прямо себе домой (указывая свой настоящий адрес), полиции потребовалось три месяца, чтобы отыскать его и арестовать. Как указывают эксперты InfoWatch, администрация колледжа вряд ли когда-нибудь проводила оценку рисков. Ведь известно, что персональные данные в бумажном виде должны храниться в запертых ящиках, в кабинетах и под сигнализацией. А приватные сведения в электронном виде следует шифровать. Между тем охранник имел физический доступ к любой информации.
Одна из аналитических компаний опросила более 1 тыс. британских служащих и установила два интересных факта (http://www.infowatch.ru/threats?chapter=147151396&id=199751220). В частности, инсайдеры считают, что информация о клиентах компании принадлежит им, а не фирме. И вообще, нет ничего особенного в том, чтобы отнести домой приватную базу данных компании. Так что в поисках угрозы далеко ходить не надо — достаточно осмотреться в офисе.
Неутешительная статистика
В заключение остановимся на шокирующих выводах американских аналитиков. Они подсчитали, что средняя ежегодная стоимость инсайдерской утечки данных из расчета на одну компанию достигает ошеломляющей цифры — 3,4 млн долл (http://www.infowatch.ru/threats?chapter=147151396&id=198637746). Заметьте, это последствия лишь одной утечки! Между тем более 78% опрошенных организаций допускают, что за прошедший год их компания допустила одну или две утечки информации, которые остались незамеченными. По мнению экспертов InfoWatch, масштаб убытков определен американскими аналитиками совершенно верно, хотя от сегмента к сегменту он может немного варьироваться. Например, недавнее исследование Deloitte в сфере крупнейших банков и страховщиков показало, что более 70% утечек приносят финансовой компании убытки в размере 1 млн долл. Так что проблема инсайдеров действительно является одной из самых дорогостоящих для современного бизнеса.