Дайджест событий ИТ-безопасности
Английские больницы снова разбрасываются информацией
От утечек страдают не только пациенты, но десятки тысяч врачей
Зачем колледжу собирать пароли студентов?
Не можешь поступить в Гарвард — насоли его студентам
Секретный диск вернулся в МВД Британии после продажи с аукциона
Самый простой способ избавиться от секретных сведений
Пентагону впору объявлять войну Google
MTV здорово «попало» с персональными данными
В феврале в медицинских учреждениях всего мира разразилась настоящая эпидемия. «Косили» пациентов и врачей больниц не грипп или простуда, а банальные утечки персональных данных. Наибольшее количество (свыше 100 тыс. человек) пострадало от утечки из Health Net. Кроме того, инциденты зарегистрированы в Министерстве внутренних дел Великобритании, Гарвардском университете и даже на канале MTV. Одну утечку можно назвать счастливо завершившейся — секретный диск вернулся в британское МВД после... продажи на eВay.
Английские больницы снова разбрасываются информацией
В середине февраля из поликлиники больницы Рассела Холла (Russells Hall Hospital) злоумышленник украл ноутбук с персональными данными более 5 тыс. пациентов, которые страдали от плохой свертываемости крови. База данных на компьютере не была зашифрована, поэтому медики отдают себе отчет в том, что даже два пароля (на вход в систему и собственно на базу данных) не остановят злоумышленника, если тот захочет добраться до сведений. Примечательно, что данный инцидент стал уже шестым в текущем году, когда виновником утечки оказалась больница, входящая в состав National Health Services Trusts (NHS Trusts). Пострадали также больницы в Стокпорте (Stockport), Болтоне (Bolton), Олдхэме (Oldham) и в других городах.
Тем не менее в аналитическом центре Perimetrix с удовлетворением отмечают, что в больнице осознают серьезность проблемы и инвестируют в безопасность. The Dudley Group of Hospitals, куда входит и больница Рассела Холла, уже потратили около 135 тыс. фунтов стерлингов на решения, касающиеся информационной безопасности.
От утечек страдают не только пациенты, но десятки тысяч врачей
Крупнейшая утечка информации произошла в конце февраля в Калифорнии. Медицинская корпорация Health Net Federal Services (HNFS), базирующаяся в этом регионе, выложила в Глобальную сеть приватные данные докторов центральноамериканских штатов. В общей сложности пострадали 103 тыс. человек, в списке которых оказались медицинские работники штатов Висконсин, Мичиган, Иллинойс, Индиана, Пенсильвания, Огайо, Теннеси, Айова, Миссури, Кентукки и Западная Вирджиния. В течение двух месяцев на веб-сервере HNFS лежали их номера социального страхования, а также «другая приватная информация». Кто и почему выложил конфиденциальные данные в Интернет, ни американские СМИ, ни виновник утечки не сообщают. В аналитическом центре Perimetrix полагают, что речь идет о стандартной веб-утечке, случившейся в результате банальной ошибки персонала.
По словам представителя HNFS Молли Таттл (Molly Tuttle), всем жертвам инцидента будет предложена бесплатная услуга кредитного мониторинга сроком на год. Отметим, что случившийся инцидент стал уже второй утечкой HNFS в нынешнем году. В начале января корпорация заявила о компрометации приватных данных 5 тыс. собственных сотрудников в результате кражи ноутбука.
Зачем колледжу собирать пароли студентов?
Не секрет, что причиной подавляющего большинства утечек данных является банальная неграмотность персонала. Как правило, под «персоналом» при этом подразумеваются рядовые сотрудники компаний, никак не связанные с информационной безопасностью. Специалисты аналитического центра компании Perimetrix полагают, что не меньшую вину должны нести ИТ-специалисты, которые часто предоставляют обычным сотрудникам доступ к совершенно ненужным им сведениям. Между тем классификация данных и разграничение доступа — это основа любой системы безопасности.
Утечка в штате Юта, случившаяся в конце февраля, является прекрасным подтверждением данного тезиса. Причиной инцидента стала пропажа ноутбука, принадлежавшего местному колледжу (Salt Lake Community College, SLCC). На исчезнувшем при непонятных обстоятельствах компьютере находились пароли к интернет-ресурсу с персональными данными студентов колледжа.
По словам представителя колледжа Джоя Тлу (Joy Tlou), на лэптопе хранились аутентификационные сведения предположительно тысячи учащихся. Однако руководство учебного заведения почему-то решило оповестить 25 тыс. человек, чьи данные также могли храниться на компьютере. По всей видимости, в колледже до сих пор не знают, что именно они потеряли.
Случай с SLCC наглядно демонстрирует, как нельзя управлять конфиденциальными данными. При построении любой защищенной системы логины и пароли не могут быть доступны никому, кроме их владельцев. Это известно любому студенту, знакомому с информационными технологиями. Что делала эта информация на ноутбуке, совершенно неясно…
Не можешь поступить в Гарвард — насоли его студентам
Неизвестный хакер в конце февраля взломал веб-сервер Высшей школы искусств и науки Гарварда (Harvard Graduate School of Arts and Sciences). Подробностей инцидента не знают и сами сотрудники учебного заведения. Сообщается лишь, что хакер украл персональные данные 10 тыс. студентов. Информация не была однородной. Так, у 6,6 тыс. студентов были указаны номера социального страхования, а еще у 500 человек — внутренние гарвардские идентификаторы.
Примечательно, что университет начал рассылать уведомления об утечке только по завершении расследования. Вероятно, официальные лица рассчитывали, что специалисты не смогут точно сказать, были украдены приватные сведения или нет. Директор информационной службы Гарварда Даниэль Мориарти (Daniel D. Moriarty) сообщил, что подчиняется требованиям закона. По мнению экспертов компании Perimetrix, приятный момент в этой истории всего один: Гарвардский университет обратился в компанию Kroll, чтобы предоставить пострадавшим студентам услуги по защите кражи личности.
Секретный диск вернулся в МВД Британии после продажи с аукциона
Министерство внутренних дел (The Home Office) Великобритании начало расследование громкого инцидента. Сотрудники безопасности учреждения были очень удивлены, когда из компьютерной мастерской им принесли жесткий диск с наклейкой «Home Office — highly confidential». История появления винчестера такова. Житель городка Уэстхаутон (Westhoughton) в графстве Большой Манчестер купил на аукционе eBay подержанный ноутбук. К сожалению нового владельца, вскоре в лэптопе обнаружились неполадки, и он отдал компьютер в ремонтную мастерскую. Когда ремонтники раскрыли корпус, то обнаружили втиснутый под клавиатуру то самый жесткий диск. Электрически накопитель не был подключен к оборудованию.
Находку сначала сочли чьей-то шуткой, однако после проверки накопителя Home Office был конфискован и сам ноутбук. Представители подтвердили, на винчестере действительно находились важные данные, однако они были зашифрованы, а потому можно не сомневаться в их сохранности. От подробных комментариев в британском МВД отказались. Да и вряд ли они знали что-то еще. Сейчас необходимо провести расследование и определить, как же все-таки компьютер оказался на аукционе, а также кто и зачем засунул в него диск с государственными секретами. В аналитическом центре компании Perimetrix полагают, что, возможно, таким образом инсайдер решил вынести конфиденциальную информацию за пределы Home Office. Но почему он потом продал машину вместе с диском? Не смог расшифровать сведения и решил избавиться от улик?
Самый простой способ избавиться от секретных сведений
Какой самый простой способ освободиться от ненужных конфиденциальных бумаг вы можете предложить? Засунуть в шредер? Сжечь? Порвать руками? Работники обанкротившейся американской компании Union Mortgage Services знают способ еще проще — выбросить в мусорную корзину.
Финансовая фирма Union Mortgage Services предоставляла услуги жителям города Кливленд (Cleveland), но разорилась в результате ипотечного кризиса в США. В архивах фирмы осталось множество документов, содержавших финансовые сведения о бывших клиентах. Вместо того, чтобы уничтожить их по всем правилам, неудачливые финансисты выкинули бумаги в мусорные баки около ближайшей пиццерии.
Из-за этой халатности под угрозой компрометации данных оказалось множество законопослушных людей. По сведениям аналитического центра компании Perimetrix, на найденных в мусорке бланках находилась информация, которая предоставляется в заявке на получение кредита, а именно: выписки из банковских счетов, кредитная отчетность, налоговые отчисления и другие строго конфиденциальные сведения.
Теперь же совершенно непонятно, кто будет отвечать за утечку данных. Обычно в таких случаях применяются определенные санкции к организациям. Однако Union Mortgage закрылась, а пытаться требовать чего-либо от компании-банкрота бессмысленно. Заложниками этой по-настоящему патовой ситуации стали ни в чем не повинные люди. В аналитическом центре Perimetrix полагают, что подобные случаи должны регламентироваться внутренними процедурами. Еще правильнее — ввести ответственность за халатность частных лиц по отношению к конфиденциальным данным. Сегодня таких законов нет, а потому бывшие клиенты разорившихся компаний находятся в группе особого риска.
Пентагону впору объявлять войну Google
Сервисы Google Earth и Google Maps нередко вызывают недовольство американских военных. А в начале марта случился инцидент, еще более охладивший отношение военных к интернетчикам. Google выложил снимки режимных объектов, не удосужившись согласовать их с Пентагоном. Реакция военных оказалось предельно жесткой: официальный представитель Северного командования американских вооруженных сил Гэри Росс (Gary Ross) публично заявил, что Google больше не будет публиковать в Сети детализированные изображения американских военных баз.
Пользователи сервисов Google могли ознакомиться с окрестностями форта Сэм Хьюстон (Fort Sam Houston), в котором располагается база пятой армии США. Причем детализация снимков была просто отменной — хорошо были видны отдельные здания, посты и объекты базы. Впрочем, как только внимание Google обратили на факт рассекречивания важных данных, компания оперативно убрала снимки и признала, что допустила досадную оплошность.
Эксперты компании Perimetrix отмечают, что поисковые системы, тот же Google, часто становятся невольными сообщниками инсадейров, помогая найти и записать скомпрометированную конфиденциальную информацию. В данном же случае Google целиком и полностью сам организовал утечку данных.
MTV здорово «попало» с персональными данными
Любителей покопаться в частной жизни звезд телеэфира существует немало. Похоже, для них наступает счастливое время. Дело в том, что неизвестный пока хакер сумел украсть базу данных с подробными персональными данными сотрудников популярного канала MTV. Хотите узнать, где живут телеведущие? Тогда надо искать в Интернете. Возможно, взломщик уже выложил сведения в открытый доступ. Стоит отметить, что в базе данных содержались не только обычные данные вроде номеров социального страхования, даты рождения и т.п., но и весьма любопытная информация о доходах.
Администрация телеканала была не на шутку встревожена инцидентом и сразу обратилась в компетентные органы. Кроме того, в MTV не поскупились и пообещали всем сотрудникам оплатить комплекс услуг по предотвращению кражи личности на ближайшие два года. Причину и природу взлома предстоит выяснить специалистам по безопасности. На основе же имеющейся информации, согласно которой хакер проник на компьютер сотрудника MTV, эксперты Perimetrix могут сделать следующий вывод. Работник, который скомпрометировал данные, вероятно, вышел в Интернет с ноутбука в публичном месте и начал передавать информацию по незащищенным каналам. В связи с этим вызывает недоумение, зачем понадобилось так поступать, почему на мобильном компьютере оказались конфиденциальные сведения? Может быть, виноват все же не виртуальный хакер, а настоящий инсайдер?
 |
|
