Дайджест событий ИТ-безопасности
Призрак утечки вернулся к ChoicePoint
Утечка из IBM: нелепость или злой умысел?
МВД обезвредило группу кардеров
Крупные инциденты ИТ-безопасности происходят постоянно. Так, в прошедшем месяце серьезные утечки допустили такие гранды, как IBM и Alcatel. В то же время утечка трехгодичной давности аукнулась корпорации ChoicePoint в дополнительные 500 тыс. долл. ущерба. При этом американская компания Cable & Wireless привлекла к суду инсайдера, укравшего приватную базу данных, но так и не смогла добиться выполнения своих требований. Между тем в США инсайдеры начали охоту даже на персональные данные младенцев. Единственная хорошая новость: управление «К» МВД России смогло обезвредить профессиональную группу кардеров.
Призрак утечки вернулся к ChoicePoint
Корпорация ChoicePoint наконец уладила претензии 44 штатов из-за произошедшей еще в 2004 году утечки персональных данных клиентов. Сумма штрафа впечатляет: компания заплатит 500 тыс. долл. Правда, эксперты InfoWatch уверены, что бренд ChoicePoint понес гораздо больший урон.
История с утечкой персональных данных трехлетней давности из компании — подрядчика корпорации ChoicePoint завершается. Штаб-квартира ChoicePoint в г.Альфаретта (шт.Джорджия) достигла договоренности с главными прокурорами 44 штатов. Остальные шесть штатов, в том числе и Джорджия, в соглашении не участвовали. Корпорация взяла на себя обязанность регулярно проводить инспекции в организациях-подрядчиках. Кроме того, около 500 тыс. долл. ChoicePoint потратит на популяризацию мероприятий по защите информации среди населения. Как отмечают представили ChoicePoint, достигнутые договоренности не просто удовлетворяют требования штатов — они положительно скажутся и на бизнесе корпорации в целом.
Напомним, утечка из ChoicePoint случилась в середине 2004 года и затронула 163 тыс. американцев. Корпорация выплатила несколько штрафов, в том числе 15 млн долл. Федеральной торговой комиссии (Federal Trade Commission, FTC), из которых 5 млн пошло на компенсации пострадавшим клиентам. Крупнейшим клиентом ChoicePoint является федеральное правительство США. Может быть, поэтому инциденту уделялось особое внимание, а корпорации были выдвинуты жесткие требования по укреплению защиты информации.
Эксперты InfoWatch отмечают, что сегодня граждане уже привыкли к утечкам персональных данных миллионов людей, а вот в 2004 году все было по-другому. Инцидент с ChoicePoint даже побудил американских законодателей к разработке новых нормативов в области защиты приватных сведений. Кроме того, утечка отчетливо продемонстрировала миру, что наибольшую сумму составляют не прямые издержки, а ущерб репутации. На уведомление клиентов и на услуги адвокатов корпорация потратила «всего» 9,4 млн долл., тогда как снижение прибыли вследствие потери репутации составило от 15 до 20 млн за один только 2005 год.
Невиновный инсайдер
В то время как ChoicePoint тратит все больше средств на устранение последствий утечки, компания Cable & Wireless пытается победить навредившего ей инсайдера. Эта фирма, владеющая маркой Bulldog Broadband, добилась положительного решения суда по делу о краже базы персональных данных 100 тыс. британцев. Однако инсайдер, которому предписано вернуть все украденные сведения, заявляет о своей непричастности к инциденту. Доказать его вину очень сложно. Именно поэтому эксперты InfoWatch рекомендуют использовать современные комплексы защиты от утечек, которые в состоянии доказать вину нарушителя.
Суд по делу о краже базы данных интернет-провайдера Bulldog Communications признал экс-сотрудника компании виновным и предписал вернуть похищенные сведения владельцу. Тем не менее Симаб Зафар (Seemab Zafar) не собирается выполнять решение суда и отрицает свою причастность к инциденту.
Компания BBC провела собственное расследование, которое подтвердило версию Bulldog Communications и владельца провайдера телекоммуникационного гиганта Cable & Wireless о том, что пакистанские call-центры используют базу данных для мошенничества и кражи личности британцев. Конфиденциальную информацию г-жа Зафар передала во время командировки в Пакистан. Поскольку сотрудница без объяснения причин не вернулась вовремя в Англию, компания уволила ее. Вскоре Симаб Зафар открыла собственный бизнес в сфере аутсорсинга. Когда г-жа Зафар узнала о решении суда, она написала открытое письмо в BBC, в котором сообщила, что не имеет базы данных и что в ближайшее время собирается обжаловать вердикт. Между тем в Британии имеется достаточно свидетельств, что клиенты Bulldog Communications становились жертвами кражи личности. Похищенная база данных содержала имена, адреса, телефоны, а также финансовую информацию 100 тыс. человек. Многие понесли серьезный финансовый ущерб из-за несанкционированных операций со счетами и в платежных системах.
По мнению экспертов InfoWatch, для Cable & Wireless сложилась непростая ситуация. Все указывает на инсайдера, но неопровержимых доказательств нет. Адвокатам Cable & Wireless пришлось потрудиться, чтобы склонить мнение суда в свою сторону. Но и в этом случае нарушитель отказывается признать вину. Видимо, считает, что не пойман — не вор. Ситуация могла бы сложиться совершенно по-иному, если бы компания использовала современные комплексы защиты от утечек. Подобные решения могут и физически предотвратить «слив» информации, и наглядно доказать вину инсайдера в спорной ситуации, а именно это и было нужно Cable & Wireless.
Alcatel дала брешь
Между тем в другой крупной компании — Alcatel-Lucent — до наказания виновных дело еще не дошло. Региональный американский офис Alcatel-Lucent сообщил об утечке персональных данных работников. Виновник инцидента — компания-подрядчик, которая потеряла винчестер с информацией. В пресс-релизе Alcatel-Lucent не говорится, сколько человек пострадало от утечки, однако эксперты InfoWatch считают, что на винчестере находились данные минимум 20-30 тыс. работников.
У телекоммуникационного гиганта Alcatel-Lucent пропал винчестер с персональными данными — на нем находились имена, адреса, даты рождения, номера социального страхования, а также сведения о зарплате большого количества сотрудников компании. Утечка произошла по вине кадровой фирмы Hewitt Associates. Сотрудники именно этой компании потеряли или похитили винчестер. Компания Hewitt Associates занималась пенсионными и страховыми отчислениями Alcatel-Lucent.
Сейчас в американском офисе Alcatel-Lucent зарегистрировано около 20 тыс. работников. По оценкам аналитического центра InfoWatch, если прибавить 180 тыс. бывших сотрудников и пенсионеров, получается внушительная цифра в 200 тыс. человек. Вряд ли на винчестере находились персональные данные всех американских работников Alcatel-Lucent, однако информация, касающаяся порядка 20-30 тыс. человек, вполне могла быть.
Младенцы под угрозой
Почему утечкам уделяется столь большое внимание? Потому что для бизнеса утечка чревата потерей репутации, а для простых граждан — кражей личности. В США от утечки могут пострадать даже младенцы. Например, неправильно утилизированные документы самых юных жителей страны в очередной раз стали причиной серьезной утечки информации. Инцидент затронул семьи почти 150 тыс. младенцев из Джорджии. Эксперты InfoWatch отмечают, что персональные данные совсем юных американцев все равно представляют для мошенников ценность.
Недавно в число потенциальных жертв кражи личности попали 2,9 млн. жителей американского штата Джорджия. Вина за утечку легла на компанию ACS (Affiliated Computer Services), славящуюся подобными инцидентами. В очередной утечке виноваты чиновники. Персональные данные, в том числе номера социального страхования и информацию из медицинских карточек, 140 тыс. младенцев в возрасте до года выбросили с обычным мусором.
Все бланки с чувствительной информацией о детях собирают из родильных домов и больниц в департамент народонаселения штата (Department of Human Resources). Информацию затем переносят в электронную базу данных, а бланки уничтожают с соблюдением определенных правил. Как поясняют в департаменте, в данном случае виноваты новые сотрудники, которые не были осведомлены о нормах утилизации документов.
Как считают эксперты InfoWatch, персональные данные весьма ценны для мошенников. Под чужими именами можно проворачивать различные сомнительные сделки, брать ссуды, наконец, получать социальные пособия, причем делать это безнаказанно. В большинстве случаев подделки вскроются лишь спустя много лет, когда пострадавшие дети достигнут совершеннолетия.
Утечка из IBM: нелепость или злой умысел?
Компания IBM официально подтвердила пропажу персональных данных большого количества нынешних и бывших работников. Кассеты с информацией исчезли при транспортировке еще в конце февраля. Скрупулезные поиски в течение трех месяцев так и не дали результата. Тем не менее компания не теряет надежду разыскать потерянные ленты и даже разместила объявления в местных газетах. Эксперты InfoWatch уверены, что всех проблем можно было избежать, если бы содержимое кассет было зашифровано.
Неназванная компания — подрядчик IBM в конце февраля потеряла при транспортировке резервные кассеты с конфиденциальными данными Голубого гиганта. Инцидент произошел неподалеку от штаб-квартиры IBM в Армонке (шт.Нью-Йорк). По официальной версии, ленты просто выпали из автомобиля. В аналитическом центре InfoWatch с сомнением относятся к такому объяснению — ведь надо быть чрезвычайно беспечным, чтобы перевозить незакрепленный груз в незакрытом автомобиле, да к тому же не заметить потерю. Здесь, скорее, прослеживается злой умысел инсайдеров.
Эксперты InfoWatch уверены, что в данном инциденте нельзя снимать ответственности с безалаберной транспортной фирмы. Однако главное упущение заключается в том, что IBM отправила незашифрованные данные. Несомненно, утечка больно ударит по репутации Голубого гиганта. Ведь компания позиционирует себя как эксперта в области защиты информации, в то время как данный инцидент свидетельствует об обратном.
МВД обезвредило группу кардеров
Управлением «К» МВД России была раскрыта и остановлена преступная деятельность группы кардеров, подделывавших кредитные и расчетные банковские карты. По мнению следователей, группировка нанесла ущерб десяткам банков в России, США, Китае, Бразилии, Германии и других странах. Минимальная сумма ущерба оценивается в 8 млн руб. В органах милиции заявляют, что преступники уникальны тем, что весь процесс мошенничества осуществляли самостоятельно.
Используемое злоумышленниками оборудование позволяло изготовлять карты, неотличимые от оригиналов. Данные карт кардеры собирали в Интернете и там же совершали покупки, а для повышения безопасности и удобства проводимых незаконных операций изготавливали поддельные паспорта владельцев карт.
Группа кардеров состояла из двух команд. Первая, в которую входили несколько болгар, занималась непосредственно кражей информации. Ее участники были задержаны в середине мая текущего года. Вторая, находившаяся в Москве, выполняла все остальные операции. Главарь группы ранее уже был судим — он провел за решеткой в Германии около двух лет.
Как сообщила пресс-служба МВД, управление «К» подобного рода преступления раскрывает достаточно часто. «Но интерес и даже уникальность этого случая состоит в том, что данная группа кардеров весь процесс — от получения данных кредитных карт и их владельцев до покупки — реализовывала сама, без посредников и помощников, — заявила Ирина Зубарева, руководитель пресс-службы МВД России. — Чаще всего кардеры работают на разных уровнях: одни занимаются сбором и продажей данных карт и информации об их владельцах, другие имеют дело с оборудованием и закупленными данными и т.д.».
Названную сумму ущерба в 8 млн руб. вряд ли можно назвать значительной, в том смысле что она оценена «консервативно», считают эксперты. По мнению аналитического центра InfoWatch, в действительности ущерб, нанесенный кардерами, гораздо серьезнее. Просто в значительной степени он является латентным, а следовательно, адекватно оценить его очень трудно.
Кардерские группы типа «все в одном» являются большой редкостью, отмечают эксперты, и российское управление «К», без сомнения, хорошо справилось с задачей. Теперь есть надежда, что через эту группу удастся выйти и на других злоумышленников, ведь все они общаются друг с другом на закрытых специализированных интернет-форумах.