Дайджест событий ИТ-безопасности
Из Tele2 утекла приватная БД на 60 тыс. абонентов
Инсайдер из Алабамы проведет в тюрьме 20 лет
Американский гигант Tyco нарушил директиву ЕС
Американским военным не дают покоя даже дома
Комплекс оповещения не спас от утечки
«Веселая» ядерная лаборатория в Лос-Аламосе
В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последние два месяца в российских и зарубежных организациях.
Из Tele2 утекла приватная БД на 60 тыс. абонентов
Современные корпорации, хранящие приватные данные своих клиентов, сидят на пороховой бочке. Особую пикантность ситуации придает то обстоятельство, что некоторые компании имеют просто огромные клиентские базы, количество записей в которых сравнимо с населением отдельных городов или даже целых государств. Такова, например, корпорация Tele2, чья норвежская «дочка» допустила утечку.
В результате атаки, использовавшей уязвимость на официальном сайте Tele2, неизвестные хакеры получили доступ к приватной информации 60 тыс. норвежцев. Учитывая, что население Норвегии не превышает 4 млн 700 тыс. человек, получается, что были скомпрометированы приватные данные 1,3% населения страны.
В украденной базе данных содержались персональные номера (выдаются каждому жителю Норвегии) клиентов Tele2, а также их имена и домашние адреса. Подобный «информационный коктейль» позволяет проводить ряд действий от имени пострадавших людей. В частности, хакеры могут переадресовывать почту или же заказывать от имени скомпрометированного человека различные материальные блага.
Интересно, что одним из первых пострадавших стал Георг Апенес (Georg Apenes), руководитель организации Datatilsynet, проверяющей норвежские компании на предмет защиты конфиденциальных данных. В одно прекрасное утро г-н Апенес обнаружил в своем почтовом ящике новую SIM-карту для телефона, которую он, естественно, не заказывал. Вместе с тем массового использования приватных данных пока не отмечается. В настоящее время оператор надеется, что случившаяся атака была затеяна не с целью наживы, а с благородным замыслом предупредить о существующей угрозе.
Тем временем медицинская компания Legacy Health System, оказывающая услуги жителям штата Орегон, пострадала от действий неизвестного инсайдера. Первые подозрения в краже возникли еще в марте текущего года, когда один из сотрудников компании не досчитался 13 тыс. долл. В ходе дальнейших разбирательств выяснилось, что кража денег стала следствием потери приватных записей 747 пациентов, наблюдавшихся в клиниках Legacy Health System с января 2006-го по февраль 2007 года.
По версии следствия, причиной инцидента стала деятельность инсайдера, которым является бывший сотрудник компании. Этот человек украл приватные данные пациентов (в том числе номера их кредитных карт) и в дальнейшем переводил их платежи больнице на собственные банковские счета. В настоящее время специалисты Legacy Health System оповещают всех пострадавших и помогают полиции собрать все необходимые доказательства.
Как указывают эксперты InfoWatch, утечка, произошедшая в Норвегии, впечатляет своим масштабом. Это очередной пример того, что небрежное отношение к приватным данным может привести к катастрофе. Сложно даже представить себе, насколько огромную власть получили люди, укравшие эти данные, — они могут посеять панику в стране.
Инсайдер из Алабамы проведет в тюрьме 20 лет
В американском городе Монтгомери (шт. Алабама) полиция арестовала женщину, которая подозревается в торговле приватными данными. По версии следствия, 24-летняя Квонтрис Торнтон (Kwantrice M. Thornton) украла информацию о 498 людях, получавших ассигнования на медицинскую помощь (medicaids). До ареста женщина успела продать 50 аккаунтов, применявшихся для подделки таможенных деклараций.
Прежде чем стать инсайдером, г-жа Торнтон работала в компании Electronic Data Systems, выдававшей эти самые медицинские ассигнования. Каким образом ей удалось украсть приватные данные, пока не сообщается. Известно лишь, что горе-инсайдеру предъявлены обвинения в торговле украденными данными, которые предусматривают тюремное заключение до 20 лет, а также штраф до 30 тыс. долл. Отметим, что Квонтрис Торнтон также обвиняется в нарушении Alabama Computer Crimes Act — этот акт предусматривает до 10 лет тюрьмы и до 15 тыс. долл. штрафа. Непосредственно после задержания женщина была отпущена под залог в 5 тыс. долл.
Квонтрис Торнтон стала вторым инсайдером, задержанным в США за последнюю неделю на момент написания статьи. До этого калифорнийская полиция арестовала женщину, хранившую у себя дома приватную информацию. Однако петь дифирамбы американским сыщикам пока рано, считают эксперты InfoWatch. Подобные случаи напоминают пальбу из пушки по воробьям — вместо того чтобы ловить действительно опасных профессиональных инсайдеров, полиция задерживает неудачливых мошенниц и латентных наркоманок.
Американский гигант Tyco нарушил директиву ЕС
Национальная комиссия информатики и свобод Франции (Commission Nationale de l’Informatique et des Libertes, CNIL) выписала штраф в размере 30 тыс. евро французской «дочке» американской корпорации Tyco Healthcare. Медицинская компания была оштрафована за неправильное применение базы данных своих сотрудников, а также за нелегальный перенос приватных данных в свою американскую штаб-квартиру. Этот случай стал первым прецедентом использования директивы Евросоюза по защите данных (E.U.’s Data Protection Directive) против транснациональной американской корпорации.
Напомним, что директива Евросоюза запрещает передачу конфиденциальной информации в страны, расположенные за пределами европейской экономической зоны (European Economic Area, EEA). Это означает, что дочерние компании транснациональных корпораций, базирующихся в Америке, не могут передать информацию о своих сотрудниках и клиентах в головной офис фирмы. Существует несколько способов легального трансферта данных в любую страну мира, однако все они сопряжены с массой организационных проблем.
История с Tyco началась с того, что Национальная комиссия попросила объяснить, с какой целью компания хранила конфиденциальные данные в системе HRIS (Human Resources Information System). На запрос властей специалисты Tyco не дали внятного ответа и даже заявили о том, что прекратили применять систему. В ответ комиссия начала неожиданную проверку французских офисов компании Tyco, в ходе которой выяснилось, что система благополучно работала и содержала массу «интересной» информации. В базе данных находились сведения о зарплате, профессиональных навыках и предпочтениях сотрудников, что противоречило условиям регистрации HRIS со стороны комиссии. В дальнейшем стало очевидно, что эти данные пересылались на территорию США без согласия властей.
По мнению аналитического центра InfoWatch, случай с Tyco наглядно демонстрирует те риски, с которыми сталкиваются американские корпорации, желающие покорить европейские рынки. Этот инцидент стал первым сигналом, предупреждающим американский бизнес о важности соблюдения европейских законов. В дальнейшем количество подобных случаев будет только расти.
Американским военным не дают покоя даже дома
Один из крупнейших государственных подрядчиков США — компания SAIC — скомпрометировала персональные данные 580 тыс. военнослужащих. Предварительное расследование выявило вину ее сотрудников, которые передавали чувствительную информацию по открытым каналам связи. Другой инцидент произошел в Университете штата Пенсильвания (Pennsylvania State University), где в Интернет попали сведения о 10,5 тыс. морских пехотинцев. Эксперты InfoWatch считают, что компаниям, которые работают с конфиденциальной информацией, необходимы технические системы, которые смогут контролировать действия сотрудников. Это позволит избежать подобных инцидентов.
Совсем недавно в аналитическом центре InfoWatch разбирали утечки информации от подрядчиков американской армии. Однако за прошедший месяц случились еще две крупные утечки — из компании SAIC и из Университета штата Пенсильвания. SAIC активно сотрудничает с военным ведомством. В данном случае компания скомпрометировала персональные данные военнослужащих и членов их семей по контракту с медицинской организацией TRICARE: имена, адреса, даты рождения, номера социального страхования и истории болезни. Всего пострадало 580 тыс. человек. Внутреннее расследование выявило грубые нарушения правил информационной безопасности. Приватные данные передавали через Интернет незашифрованными и хранили на незащищенном сервере. SAIC уже заявила, что подобные упущения недопустимы. Сотрудники, которые не умеют работать с конфиденциальной информацией, будут уволены.
Детали инцидента выяснит специальная комиссия. В ее состав войдут и сторонние эксперты по безопасности. Предварительный ущерб от утечки в компании оценивают в 7-10 млн долл., не считая денег на оплату мониторинга счетов пострадавших военных. SAIC заключила договор с фирмой Kroll, Inc. на годовое обслуживание счетов военнослужащих. Таким образом, окончательные расходы будут в несколько раз больше. Кроме того, существенный урон причинен репутации компании. Акции SAIC в первый же день после утечки упали в цене на несколько центов.
Еще одна утечка произошла из Корпуса морской пехоты США (Marine Corps, U.S.). Персональные данные свыше 10,5 тыс. бойцов оказались в Интернете. И снова виноват подрядчик — Университет штата Пенсильвания, проводящий для морских пехотинцев различные статистические исследования.
Как только информация попала на сервер вуза, ее проиндексировал Google. После этого любой пользователь Глобальной сети мог просматривать и копировать сведения. Именно так утечку и обнаружили. Один из бойцов искал в Интернете свое имя и наткнулся на рассекреченные файлы Корпуса морской пехоты. Сервер вскоре выключили, однако убрать информацию из Google гораздо сложнее. К тому же на протяжении двух недель к данным обращались многие люди. Университет собирается тщательно изучить журналы сервера и надеется, что сможет точно сказать, чьи персональные данные копировались. В результате уменьшится количество жертв утечки и расходы самого университета.
По мнению экспертов InfoWatch, очень хорошо, что организации тщательно изучают инциденты и стараются выяснить их причины. Тем более что в компании SAIC персональные данные не впервые оказывались незащищенными. В начале 2005 года компания потеряла приватные и финансовые сведения о 45 тыс. бывших и нынешних работников. Вообще, рекомендации в таких случаях просты. Необходимо внедрять системы контроля действий сотрудников. Беспристрастные технические комплексы не позволят оставить незащищенную информацию или отправить данные по неверному адресу.
Комплекс оповещения не спас от утечки
Работник департамента финансов Сент-Луиса украл файл с персональными данными 1,6 тыс. человек. Предполагается, что инсайдер собирался шантажировать начальство. Утечку не смогли заблокировать, но достаточно быстро обнаружили. Тем не менее эксперты InfoWatch считают, что для комплекса защиты информации одной лишь системы оповещения об утечках недостаточно. Хотя активные системы и дороже, лишь они способны исключить внутренние инциденты.
В департаменте финансов Сент-Луиса (шт. Миссури), обнаружили утечку конфиденциальной информации. Один из работников скопировал на домашний компьютер файл с персональными данными 1,6 тыс. коллег. Документ, в частности, содержал номера социального страхования нынешних и бывших городских служащих. Следует отметить, что инсайдер проработал в департаменте уже около 10 лет. Как предполагает руководство, работник мог использовать файл для шантажа с целью повышения заработной платы.
Как только офицеры-наблюдатели обнаружили инцидент внутренней безопасности, к делу были подключены полиция и ФБР. Домашний компьютер инсайдера конфисковали и провели анализ данных. Специалисты предполагают, что файл не копировался на другие носители и не пересылался по электронным каналам связи. Но, согласно законам штата, департамент разослал уведомления служащим, чьи данные оказались скомпрометированными. После завершения расследования ФБР передала отчет в Министерство юстиции США. В свою очередь, инсайдер за кражу информации был уволен.
Данный инцидент — прекрасная иллюстрация того, что одной лишь системы оповещения в комплексе защиты от утечек недостаточно, полагают в аналитическом центре InfoWatch. Решение, которое не может заблокировать передачу конфиденциальной информации, является половинчатым. Подобные системы могут создавать иллюзию защищенности, но не более того. Внедрение пассивных систем в большинстве случаев неоправданно. Деньги потрачены, но информация все равно не защищена, что и продемонстрировал инцидент в Сент-Луисе. Да, утечку обнаружили достаточно быстро (хотя в идеале это должно было произойти мгновенно), но инсайдер не только скопировал все данные, но и имел достаточно времени, чтобы размножить файл.
Инсайдер из «Боинга» «влетел»
Очередная утечка конфиденциальной информации с завода «Боинг» в Сиэтле может привести к убыткам в размере до 15 млн долл. Инсайдер из подразделения контроля качества в течение двух лет скопировал около 320 тыс. документов. Информацию сотрудник переносил на домашний компьютер с помощью обычной флэшки. Как считают в аналитическом центре InfoWatch, многочисленные инциденты говорят о серьезной проблеме на «Боинге». Компания неверно подходит к обеспечению внутренней безопасности. Необходимо регламентировать доступ к данным и контролировать работу с конфиденциальными файлами.
Инспектор подразделения контроля качества авиастроительного гиганта «Боинг» арестован за кражу конфиденциальных документов. В течение двух лет работник собирал различные сведения, а затем предложил подборку корреспондентам газеты The Seattle Times. По предварительным оценкам, инсайдер украл около 320 тыс. различных документов общей ценностью до 15 млн долл. По словам самого Джеральда Истмэна (Gerald Eastman), таким способом он собирался привлечь внимание к проблемам на предприятии.
Данные инсайдер копировал с помощью обычной флэшки. Как указывают отдельные аналитики, проблема заключается в том, что невозможно каждый день досматривать каждого работника. Даже если бы служба безопасности пошла на такие меры, работник мог переслать материалы по электронной почте. Таким образом, проблема заключается в развитых современных технологиях переноса данных. И единственный выход из ситуации — это нанимать на работу честных людей. Однако эксперты InfoWatch с таким мнением категорически не согласны. Современные технологии предоставляют и широкие возможности контроля над доступом к информации.
Представители «Боинга» отказались сообщить, каков же реальный экономический ущерб от действий Истмэна. Однако на домашнем компьютере инсайдера обнаружили контакты нескольких журналистов. Найдены и свидетельства, что Истмэн делился с ними закрытой информацией.
Эксперты InfoWatch отмечают, что в последнее время на авиагиганте зарегистрировано слишком много внутренних инцидентов. Это дает основания полагать, что политика безопасности «Боинга» неверна. Истмэн украл документы из многих подразделений. В «Боинге» заявили, что он нарушил политику компании. Однако это и вина ИT-службы — она допустила, что сотрудник мог работать с ненужными ему директориями. Доступ работников к данным необходимо строго регламентировать, а работу с файлами контролировать с помощью систем защиты от утечек. Тогда количество внутренних инцидентов будет сведено к минимуму.
«Веселая» ядерная лаборатория в Лос-Аламосе
Американская ядерная лаборатория в Лос-Аламосе (шт. Нью-Мексико) опять скомпрометировала секретные данные. На этот раз конфиденциальная информация попала за пределы лаборатории по электронной почте. Агентство POGO (The Project On Government Oversight), занимающееся независимыми расследованиями деятельности федеральных образований, присвоило инциденту высшую категорию важности — «серьезная угроза национальной безопасности» (“the most serious threats to national security”).
Нынешний инцидент — далеко не первый случай компрометации секретных данных ядерной лабораторией в Лос-Аламосе. Месяц назад Министерство энергетики США оштрафовало лабораторию на 3,3 млн долл. Причиной штрафа стал инцидент, произошедший в октябре прошлого года, когда сотрудник лаборатории, имевший доступ к секретным сведениям, был пойман органами во время антинаркотического рейда. Другими словами, на американских ядерных объектах работают даже наркодилеры.
Из-за проблем с внутренней безопасностью лаборатория в Лос-Аламосе была оштрафована, а ее работники были уволены. В свое время деятельность лаборатории была приостановлена на несколько месяцев с целью хоть как-то нормализовать ситуацию. Однако последний инцидент наглядно показал, что лаборатория просто не может защитить свою информацию.
За последние восемь лет в лаборатории в Лос-Аламосе произошло как минимум 11 инцидентов, связанных с внутренней безопасностью (см. таблицу).
Инциденты, произошедшие в лаборатории в Лос-Аламосе
Дата |
Описание |
Май 1999 г. |
Вен Хо Ли (Wen Ho Lee), научный сотрудник лаборатории в Лос-Аламосе, был арестован агентами ФБР. По версии следствия, уроженец Тайваня «сливал» американские ядерные секреты китайской разведке. Однако несовершенство ИС лаборатории не позволило ФБР доказать факт шпионажа и ученый был оправдан практически по всем пунктам. Более того, он выиграл встречный иск против Министерства юстиции США и ряда СМИ и отсудил у них 895 и 745 тыс. долл. соответственно за распространение ложных сведений и ущерб деловой репутации |
Июнь 2000 г. |
Из лаборатории пропали диски с секретными сведениями. Они были найдены две недели спустя за одним из копировальных аппаратов |
Январь 2002 г. |
Сотрудники лаборатории не только допустили утечку, но и умудрились потерять собственные данные. Диск, на котором была записана информация, бесследно исчез, однако спустя какое-то время был найден |
Октябрь 2002 г. |
Из лаборатории пропал очередной компьютер с секретными данными, и его до сих пор не нашли |
Ноябрь, 2002 г. |
В агентство POGO поступили документы, из которых следовало, что из лаборатории пропали около 200 (!) компьютеров, причем на некоторых из них содержались секретные сведения |
Декабрь 2003 г. |
В лаборатории проводилась инвентаризация, в ходе которой обнаружилось исчезновение дисков с секретными данными. В общей сложности пропало десять дисков |
Май 2004 г. |
Из лаборатории в Лос-Аламосе пропал носитель с секретными данными |
Октябрь 2006 г. |
Секретные сведения лаборатории были найдены в ходе «метамфетаминового» рейда |
Май-июнь 2007 г. |
Сотрудник лаборатории поехал в отпуск в Ирландию и взял с собой корпоративный ноутбук. Компьютер был украден, а на нем содержались важные правительственные документы (“government documents of a sensitive”). Примерно в то же время еще один сотрудник лаборатории отправил по электронной почте секретные данные, никак их не защитив |
Июнь 2007 г. |
Член Cовета директоров лаборатории отослал секретные данные по незащищенным каналам электронной почты. Инцидент получил максимальную категорию опасности (“the most serious breach of U.S. national security”) |
Июль 2007 г. |
Сотрудник лаборатории с самым высоким доступом к секретной информации (“highest possible security clearance”) был арестован в ходе «кокаинового» рейда |
Пример многострадальной лаборатории в Лос-Аламосе говорит о сложности проблем внутренней безопасности, считают эксперты InfoWatch. Однако большинство инцидентов связано, скорее, с административными проблемами. Администрация лаборатории пока не в состоянии «построить» своих рассеянных ученых, которые все время теряют диски и компьютеры. В таких условиях автоматизированные системы мониторинга будут бессильны. Но посыпать голову пеплом, наверное, все-таки не стоит. Обилие инцидентов — это показатель того, что проблема внутренней безопасности серьезно беспокоит руководство лаборатории и POGO.