Дайджест событий ИТ-безопасности
Инсайдер из Morgan Stanley получил 26 лет тюрьмы
Компания XEROX допустила крупную утечку
Банда из 14 инсайдеров орудовала на Уолл-стрит
Утечка стоимостью в миллион фунтов
Инсайдер обошелся DuPont в 400 млн долл.
Утечки в Израиле и Южной Корее
В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последние два месяца в российских и зарубежных организациях. Среди них — крупная утечка из Morgan Stanley, в результате которой инсайдер получил 26 лет тюрьмы, а также утечки из DuPont и NBS, которые обошлись компаниям в 400 млн долл. и 1 млн фунтов соответственно.
Инсайдер из Morgan Stanley получил 26 лет тюрьмы
В Нью-Йорке завершился суд по делу о краже клиентской базы из Morgan Stanley. В утечке оказался виноват инсайдер. Суд приговорил его к 26 годам лишения свободы и 850 тыс. долл. штрафа. По мнению экспертов InfoWatch, это дело станет хорошим уроком для любителей поживиться за счет работодателя.
44-летний Ира Чиловиц (Ira Chilowitz), бывший консультант Morgan Stanley по вопросам компьютерной техники, украл у компании базу клиентов и платежей, рассчитывая за счет этого открыть собственную консалтинговую фирму. Украденные сведения действительно были очень ценными. В документах суда отмечается, что клиентская база «могла быть исключительно ценной для конкурентов Morgan Stanley».
Преступнику инкриминировалось разглашение тайны, кража корпоративных секретов, неавторизованный доступ к компьютерным ресурсам и передача украденной информации. Чиловиц признал себя виновным еще до оглашения приговора. Представители пострадавшей компании отказались от комментариев по данному делу.
Трудно понять, на что рассчитывал инсайдер. Будучи ИТ-консультантом, он должен был знать о наличии в компании систем защиты информации, а кражу столь важных данных в Morgan Stanley оставить без внимания не могли. Как указывают эксперты InfoWatch, завершившееся дело станет суровым уроком для инсайдеров, так как судья вынес достаточно жесткий приговор.
Компания XEROX допустила крупную утечку
Большое количество работников XEROX пикетируют офис компании. Причина их недовольства заключается в грубом нарушении правил хранения приватной информации и недостаточной заботе о пострадавших в утечке. Дело в том, что ноутбук с персональными данными работников был украден еще в августе, а извещения об утечке фирма XEROX разослала лишь в середине декабря. Эксперты InfoWatch считают претензии протестующих граждан вполне обоснованными, ведь XEROX медлила с объявлением об утечке целых четыре месяца!
На ноутбуке, украденном из автомобиля работника отдела кадров XEROX, хранились важные персональные данные, а также финансовая информация сотрудников фирмы. Всем пострадавшим из-за кражи лэптопа XEROX предложил бесплатный годовой мониторинг банковских счетов. Однако многие работники заявили, что предложение опоздало примерно на четыре месяца. Более того, непонятно, зачем информация вообще попала на мобильный компьютер и почему файлы не были защищены.
Потерпевшие вполне обоснованно считают, что за те четыре месяца, что прошли с момента кражи, преступники имели множество возможностей воспользоваться полученными сведениями для кражи личности или махинаций со счетами. По мнению аналитического центра InfoWatch, работники совершенно справедливо негодуют по поводу отсутствия систем защиты на лэптопе, ведь мобильные носители информации, содержащие конфиденциальные сведения, должны шифроваться в обязательном порядке.
Банда из 14 инсайдеров орудовала на Уолл-стрит
Американское правительство разоблачило группу из 14 человек, занимавшихся инсайдерской торговлей. На скамье подсудимых оказались высокопоставленные служащие финансовых компаний, брокеры, адвокаты, менеджеры хедж-фондов и др. В общей сложности они незаконно заработали 15 млн долл. на инсайдерской информации, и, судя по всему, это был самый крупный случай инсайдерской торговли за последние тридцать лет.
Все 14 инсайдеров арестованы. Комиссия по ценным бумагам США (Securities and Exchange Commission, SEC) предъявила им обвинение в том, что они заработали 15 млн долл., осуществив несколько тысяч биржевых сделок с использованием информации, украденной из UBS Securities и Morgan Stanley.
По заявлению прокурора, восемь профессионалов с Уолл-стрит приняли участие в двух взаимосвязанных преступлениях, касающихся инсайдерской торговли. Среди них — директор по исследованиям UBS и адвокат из Morgan Stanley, два брокера-дилера и фирма для дневной торговли (спекулятивных операций с ценными бумагами в течение одной торговой сессии). В результате всех этих махинаций наживались в основном два хедж-фонда. Суть махинаций состояла в том, что участники биржевых торгов заранее узнавали о результатах аналитических исследований UBS, а также о сделках по слиянию и поглощению клиентов инвестиционного банка Morgan Stanley.
Представители Комиссии по ценным бумагам утверждают, что возглавляли эту преступную группу люди из UBS, которые обменивались информацией посредством секретных кодов и сотовых телефонов, которые потом уничтожались. Помимо всего прочего они не гнушались делать откаты и давать взятки.
В заключение отметим, что четверо подозреваемых уже признали свою вину. Остальные настаивают на своей невиновности. Суд отпустил их под залог в 500 тыс. долл. для каждого. Максимальное наказание за каждый из пунктов обвинения — до 20 лет лишения свободы.
По мнению экспертов InfoWatch, этот вид утечек не в состоянии предотвратить ни одно техническое средство, поскольку вся нужная информация легко помещается в «оперативной памяти» человека. Единственное, что нужно запомнить инсайдеру, — это название компании, которую кто-то собирается поглотить, или названия тех фирм, по которым аналитики UBS повышают прогноз. Кроме того, в этих махинациях были задействованы самые высокопоставленные лица компаний, которые имеют доступ к важной информации по определению. Между тем надо отметить эффективность работы следователей из Комиссии по ценным бумагам, которые смогли связать воедино всех подозреваемых и отследить информационные потоки.
Утечка стоимостью в миллион фунтов
Организация FSA (Financial Services Authority), регулирующая финансовый рынок Великобритании, вынесла вердикт по августовской утечке из NBS. Компанию обязали выплатить штраф в размере 1 млн фунтов за утечку персональных данных клиентов. Аналитический центр InfoWatch отмечает, что эта сумма — просто ничто в сравнении с общей суммой от ущерба вследствие инцидента.
Штраф был наложен после выяснения обстоятельств кражи ноутбука в августе прошлого года. В результате инцидента под угрозой кражи личности оказались 11 млн членов общества. Организация FSA установила, что фирма NBS после кражи вела себя очень беспечно. Поскольку работник, чей лэптоп пропал, ушел в отпуск, до его возвращения никаких мер не предпринималось. Руководство NBS даже не знало, что на ноутбуке находились конфиденциальные данные клиентов.
Тем не менее компания NBS согласилась выплатить эту сумму и не стала апеллировать к вышестоящим инстанциям — в противном случае размер штрафа мог возрасти до 1,4 млн фунтов.
С одной стороны, миллион, тем более фунтов стерлингов — это огромная сумма. Но, с другой стороны, это очень мало по сравнению с тем, сколько фирма NBS уже заплатила за уведомление пострадавших граждан и за услуги адвокатов. Однако, как утверждают эксперты InfoWatch, наибольший ущерб компании нанесет плохое паблисити. Тут счет идет уже на сотни миллионов фунтов.
Инсайдер обошелся DuPont в 400 млн долл.
Бывший сотрудник DuPont признан виновным в краже интеллектуальной собственности на сумму 400 млн долл. Эту информацию инсайдер хотел передать конкуренту — фирме Victrex. По решению суда обвиняемый должен будет заплатить 250 тыс. долл. штрафа и провести 10 лет за решеткой. Как стало известно, для выявления источника утечки компания DuPont привлекла к расследованию ФБР. Однако эксперты InfoWatch отмечают, что все можно было сделать намного проще: контроль над сетевыми каналами и рабочими станциями позволяет поймать инсайдера с поличным и доказать его вину.
Гари Мин (Gary Min), бывший научный сотрудник известной компании DuPont, признан виновным в краже интеллектуальной собственности с целью передачи ее конкурентам. С августа по декабрь 2005 года Мин раздобыл 16,7 тыс. конфиденциальных документов и 22 тыс. научных статей. Все эти материалы он предполагал передать прямому конкуренту DuPont — фирме Victrex. Такая щедрость ученого объясняется просто: после 10 лет службы в DuPont Мин решил сменить работу и договорился именно с Victrex. Прежде чем уведомить свое начальство об уходе, инсайдер начал копировать информацию о разработках DuPont. Не заподозрить неладное было попросту невозможно, поскольку количество обращений к электронной библиотеке DuPont во много раз превысило интересы других сотрудников. Причем большая часть документов прямого отношения к деятельности работника не имела. Суд посчитал, что суммарная ценность полученных Мином документов составляет более 400 млн. долл.
Когда научный сотрудник уведомил начальство об уходе, в DuPont начали выяснять причины частого обращения к конфиденциальным документам. За помощью в расследовании компания обратилась в ФБР. В это время, в первых числах февраля 2006 года, Мин как раз завершал копирование документов на лэптоп, который ему выдали в Victrex. Как отмечают эксперты InfoWatch, инсайдер действовал открыто и довольно нагло. Однако наибольшее удивление вызывает сама DuPont. Как такая крупная компания может позволять своему сотруднику приходить с ноутбуком конкурента и копировать на него секретные разработки? Ведь на сохранности интеллектуальной собственности держится весь бизнес компании!
ФБР изложила положение дел руководству Victrex. Фирма согласилась сотрудничать и передала компьютер Мина правоохранительным органам. Через несколько дней сотрудники ФБР провели обыск у инсайдера дома и нашли остатки сожженных и пропущенных через шредер документов DuPont. Таким образом был доказан факт кражи конфиденциальной информации. Вообще, Секретная служба США докладывала, что в 75% краж интеллектуальной собственности виноваты именно инсайдеры, а не какие-либо внешние злоумышленники.
Как отмечают эксперты InfoWatch, получилась настоящая детективная история на базе довольно обыденной утечки. Тут и ФБР, и обыски, и уничтожение улик всеми доступными способами. Уйму времени и сил потратили правоохранительные органы и сама DuPont. Конечно, все оправданно — преступник пойман и наказан, а шпионаж, скорее всего, не удался. Но ведь всего этого удалось бы избежать, если бы в компании была установлена система защиты от утечек, с помощью которой можно не только проследить источник утечки и предотвратить саму кражу, но и доказать вину инсайдера, причем не вставая с кресла.
Утечки в Израиле и Южной Корее
Две крупнейшие утечки персональных данных граждан Израиля и Южной Кореи были зафиксированы в прошлом месяце. В обоих случаях доступ к информации открыт через Интернет. В Израиле в Интернете оказался приватный реестр населения, а в Южной Корее были найдены правительственные и другие сайты, позволяющие получить свободный доступ к персональной информации граждан. Эксперты InfoWatch указывают, что во всех этих случаях нарушения связаны с полным отсутствием политики конфиденциальности.
В Израиле ведется расследование инцидента, в результате которого на общедоступном веб-сайте появился файл с реестром населения страны. Эксперты InfoWatch уверены, что виновата одна из партий, участвующих в выборах в парламент страны. Дело в том, что, согласно израильским законам, всем партиям перед выборами рассылается реестр населения. Разумеется, представители сторон подписывают соглашение о неразглашении сведений. Но в данном случае какая-то из политических сил нарушила договор.
Тем временем в Южной Корее широкомасштабное исследование выявило утечки персональной информации граждан через 452 сайта различных государственных учреждений, в том числе Администрации президента, центральных правительственных агентств, законодательных и судебных инстанций, местных органов самоуправления, учебных и здравоохранительных учреждений.
Для доступа к информации достаточно знать дату рождения человека и адрес сайта, где может храниться информация о нем. Остальное сделает поисковая машина Google, то есть никаких специальных инструментов для взлома не требуется, технология доступна каждому. Пока эксперты обнаружили два типа утечек: через форумы сайтов и через скачивание документов для внутреннего пользования. Ситуация усугубляется тем, что в различных источниках открыта самая разнообразная информация о гражданах. Где-то указаны лишь имена и адреса, а где-то сведения дополняются данными о налогах и финансовом состоянии плательщиков.
Как отмечают эксперты InfoWatch, количество утечек через Интернет постоянно растет. Немало информации оказывается в свободном доступе из-за отсутствия классификации данных — следовательно, между конфиденциальными и открытыми сведениями не делается никакого различия. Таким образом, борьбу за внутреннюю безопасность следует начинать именно с классификации данных.