Інсайд 2008: Найгучніші і найдурніші витоку, Безпека ПЗ, Security & Hack, статті

Не секрет, що тема захисту конфіденційних даних набуває сьогодні особливої ​​гостроти. Незважаючи на все більш досконалі системи ІБ, інформація продовжує “витікати”. Переважно це відбувається по вини зловмисників, проте нерідко відомості стають загальнодоступними завдяки звичайної халатності або неуважності. Сьогодні ми розповімо про найгучніші, масштабних і дурних витоках за 1 квартал 2008 року.


Аналітичний центр Perimetrix провів дослідження витоків інформації, що відбулися за перший квартал 2008 року. Згідно з його даними, 84% витоків мають одну з чотирьох найбільш популярних причин: крадіжка носія, інсайд, хакерська атака або веб-витік. За перший квартал 2008 року від витоків постраждали як мінімум 9 млн 197 тис. чоловік. Досить значна, хоча й далеко не рекордна цифра – чисельність постраждалих в результаті найбільшої витоку в історії (TJX) була практично в 10 разів більше. Тут, щоправда, необхідно враховувати той факт, що витоку-мільйонники відбуваються порівняно рідко і їх розподіл за часами року може виявитися дуже нерівномірним.


Самі “гучні” інциденти приватності


По-справжньому східна витік. Поліція Південної Кореї заарештувала колишнього співробітника LG Electronics, обвинуваченого в передачі китайцям секретних даних про завод з виробництва плазмових дисплеїв. Згідно з підрахунками LG, інцидент може призвести до втрат у розмірі 1,4 млрд дол Обвинуваченому разом з його співучасниками загрожує до 7 років позбавлення волі.


Обвинувачений на прізвище Джанг (Jung) передавав опис конструкції та інші дані про будівництво заводу з виробництва плазмових панелей компанії COC, що знаходиться в китайській провінції Сичуань. В LG Electronics Джанг пропрацював до 2005 р., а в 2007 р. був прийнятий в ролі технічного консультанта в COC, де працював до теперішнього часу.


Витік масштабу держави. Інсайдер Хайнріх Кібер (Heinrich Kieber) підставив своїми діями цілу державу. У лютому стало відомо, що Кібер, співробітник банку LGT з Ліхтенштейну, продав базу даних банку спочатку німецькою, а потім і англійським спецслужбам, виручивши від угоди в цілому 6500000 дол Незабаром з’ясувалося, що банк був справжнім раєм ухильників від податків – через тиждень після початку відповідної компанії, Німеччина зуміла поповнити свою казну на 41,4 млн дол


Експерти припускають, що даний випадок буде мати серйозні фінансові, а також етичні наслідки. Економіка Ліхтенштейну майже повністю базується на фінансових сервісах, і цей удар буде для неї дуже важким. Дії німецького уряду також викликають нарікання – боротися за збір всіх податків можна, але використовувати для цього такі методи, по меншій мірі, некрасиво.


Параметри дослідження

Інформація збиралася за допомогою щоденного моніторингу публікацій в різних ЗМІ. В якості вихідної бази аналізу розглядалися звіти преси про приблизно 100 різних витоках інформації, зафіксованих з лютого по квітень 2008 року включно. Більшість розглянутих інцидентів відбувалися за межами Росії, на території Англії та США. На жаль, у нашій країні вкрай рідко розголошується інформація про інциденти, і проводити порівняльний аналіз, взявши за основу крупиці доступних даних, не представляється можливим.


“Президентський” скандал в США. Наприкінці березня стало відомо, що від витоку інформації страждають не тільки звичайні люди, але й особливо важливі діячі. Увечері 20 березня було оголошено про те, що двох співробітників консульського відділу держдепу США звільнили, а на одного наклали дисциплінарне стягнення за інтерес, проявлений до відомостей про кандидата від демократів Барака Обаму. 21 березня представники спершу Хілларі Клінтон, а потім і республіканця Джона Маккейна заявили, що в особисті дані цих кандидатів теж заглядали без відповідного дозволу.


На думку аналітиків Perimetrix, цей інцидент пояснюється простим цікавістю співробітників і навряд чи приведе до якихось прямим наслідків. Проте шуму він наробив будь здоров.


Radarix: інформаційний апокаліпсис. Сайт Radarix.com з’явився наприкінці нинішнього березня і відразу ж збаламутив всю російську громадськість. На головній сторінці ресурсу стверджувалося, що він містить величезну кількість інформації про жителів Росії та країн СНД. На початку, правда, ніхто не бачив цієї інформації, оскільки сайт вимагав реєстрації, однак не висилав листи для її підтвердження.


Мабуть, це був тактичний хід творців сайту – через пару тижнів шум став набагато тихіше, а листи таки прийшли на адреси тих, хто їх запрошував. Виявилося, що Radarix дійсно містить море персональних відомостей, проте не надто нових – до 2006 року. У кожному разі, ресурс є порушенням всіх мислимих норм приватності, також як і російського законодавства.


Найдурніші витоку інформації


Секретний диск повернувся в МВС Британії після продажу з аукціону. Міністерство внутрішніх справ (The Home Office) Великобританії почало розслідування гучного інциденту. Співробітники безпеки установи були дуже здивовані, коли з комп’ютерної майстерні їм принесли компакт-диск з наклейкою “Home Office – highly confidential”.


Історія компакт-диска виявилася досить цікавою. Все почалося з того, що житель містечка Уестхаутон (Westhoughton) купив на аукціоні eBay старий ноутбук. На жаль нового власника, незабаром в лептопі виявилися неполадки, і він віддав комп’ютер в ремонтну майстерню. Коли ремонтники розкрили корпус, то виявили втиснутий під клавіатуру компакт-диск.


Знахідку спочатку визнали чиєїсь жартом, однак після перевірки накопичувача Home Office був конфіскований і сам ноутбук. Представники підтвердили, на диску дійсно знаходилися важливі дані, проте вони були зашифровані, а тому можна не сумніватися в їх збереження. Від докладніших коментарів в британському МВС відмовилися. Та й навряд чи вони знали щось ще. Зараз необхідно провести розслідування і визначити, як же все-таки комп’ютер виявився на аукціоні, а також хто і навіщо засунув в нього диск з державними секретами. Можливо, таким чином інсайдер вирішив винести конфіденційну інформацію за межі Home Office. Але чому він потім продав машину разом з диском? Не зміг розшифрувати відомості і вирішив позбутися доказів?


Найпростіший спосіб позбутися від секретних відомостей. Який найпростіший спосіб звільнитися від непотрібних конфіденційних паперів можна запропонувати? Засунути в шредер? Спалити? Порвати руками? Працівники збанкрутілої американської компанії Union Mortgage Services знають спосіб ще простіше – викинути в кошик для сміття.


Фінансова фірма Union Mortgage Services надавала послуги жителям міста Клівленд (Cleveland), але розорилася в результаті іпотечної кризи в США. В архівах фірми залишилося безліч документів, що містили фінансові відомості про колишніх клієнтів. Замість того, щоб знищити їх за всіма правилами, невдачливі фінансисти викинули папери в сміттєві баки біля найближчої піцерії.


Через цю недбалість під загрозою компрометації даних виявилося безліч законослухняних людей. На знайдених в смітнику бланках перебувала інформація, яка надається в заявці на отримання кредиту, а саме: виписки з банківських рахунків, кредитна звітність, податкові відрахування і інші строго конфіденційні відомості.


Тепер же абсолютно незрозуміло, хто буде відповідати за витік даних. Зазвичай в таких випадках застосовуються певні санкції до організацій. Однак Union Mortgage закрилася, а намагатися вимагати чогось від компанії-банкрута безглуздо. Заручниками цієї по-справжньому патової ситуації стали ні в чому не винні люди. Вважається, що подібні випадки повинні регламентуватися внутрішніми процедурами. Ще правильніше – ввести відповідальність за недбалість приватних осіб по відношенню до конфіденційних даних. Сьогодні таких законів немає, а тому колишні клієнти розорилися компаній знаходяться в групі особливого ризику.


Секретар округу Оклахома виклала секретні документи на свій сайт. Унікальна витік інформації стався днями в американському окрузі Оклахома. На офіційному сайті секретаря округу Керолін Коуділл (Carolynn Caudill) були виявлені мільйони документів, що містили конфіденційну інформацію. На думку експертів аналітичного центру компанії Perimetrix, одним з наслідків даного інциденту приватності може стати відставка Коуділл з займаного нею посту.


За словами представника адміністрації округу Марка Мішо (Mark Mishoe), в мережу потрапили іпотечні документи, боргові зобов’язання і навіть права власності на земельні ділянки, найстаріші з яких були створені в 1889 р. Частина документів містила суворо приватну інформацію, таку, як номери соціального страхування. Деякі документи пролежали в інтернеті вже кілька років.


Цікаво, що серед постраждалих в результаті інциденту присутні відомі діячі округу – провідні телевізійних новин, члени адміністрації, а також найбільші бізнесмени Оклахоми. Номери соціального страхування цих людей також були скомпрометовані.


Фахівці з безпеки ініціювали витік. Чергова серйозний витік інформації торкнулася співробітників компанії Agilent Technologies, виробника вимірювального обладнання. У результаті крадіжки незашифрованого ноутбука під загрозою компрометації виявилися дані близько 51 тис. чоловік. За відомостями аналітиків, на зниклому комп’ютері містилися номери соціального страхування і інформація про опціони і акції співробітників компанії.


Цей витік має цікаву передісторію. Нещодавно Agilent Technologies уклала контракт на управління акціями співробітників з компанією Fidelity Investments. До цього контракту акціями управляла інша фірма – Smith Barney, яка повинна була передати бази даних новому керуючому. Парадоксально, але конфіденційний комп’ютер допустила компанія Stock & Options Solutions, яку найняли для контролю над перенесенням інформації.


Експерт з ризик-менеджменту викинув конфіденційні документи у сміття. Пітер Робертс (Peter Roberts), один з керівників канадської асоціації присяжних бухгалтерів Canadian Institute of Chartered Accountant “s, CICA), викинув у сміття пакет з сотнями конфіденційних документів. У результаті витоку можуть постраждати сотні клієнтів Робертса.


Унікальність даної витоку полягає в тому, що пан Робертс є експертом з ризик-менеджменту і входить до складу правління відповідного департаменту CICA. Збиток бухгалтера від витоку може обчислюватися десятками тисяч доларів штрафу, і це не рахуючи репутаційних втрат. А адже вартість звичайного шредера обчислюється сотнями доларів максимум. Поганий приклад ризик-менеджменту, чи не так?


Загальна статистика


За даними дослідження, дві третини (65%) витоків мають від 1 тис. до 100 тис. жертв. Це зовсім не дивно, оскільки більша кількість приватних даних має обмежена кількість організацій, а менш значимі інциденти часто просто ігноруються. Разом з тим, за оцінками експертів Perimetrix, збиток в результаті навіть невеликої витоку (до 1 тис. записів) вимірюється в сотнях тисяч доларів і зіставимо з вартістю комплексної системи захисту класу DLP (Data Loss Prevention). Підкреслимо, що в даному випадку йде мова тільки про витік персональних даних – виміряти збиток від витоку інтелектуальної власності в більшості випадків не представляється можливим.

Наймасштабніші витоку даних

















































































  Організація  Сфера діяльності  Причина витоку  Кількість постраждалих  Збиток, млн дол 
1 Delhaize Group (Hannaford, Sweetbay) Роздрібна мережа Хакерська атака 4 200 000 400
2 University of Miami Освіта Крадіжка магнітних стрічок 2 100 000 70
3 Central Collection Bureau Фінанси Крадіжка сервера 700 000 50
4 Horizon Фінанси Крадіжка ноутбука 300 000 40
5 Lifeblood Медицина Крадіжка ноутбука 320 000 40
6 HSBC Фінанси Втрата носія 370 000 40
7 Davidson Фінанси Хакерська атака 226 000 35
8 WellPoint Медицина Веб-витік 126 000 25
9 Health Net Federal Services Медицина Веб-витік 103 000 15
10 Advance Auto Parts Роздрібна мережа Хакерська атака 56 000 15

Джерело: Perimetrix, 2008


Приблизний збиток від усіх розглянутих витоків склав, за оцінками Perimetrix, 868 млн дол або 94 дол за одну приватну запис.


Отриманий результат істотно нижче останньої оцінки Ponemon Institute (197 дол за запис), яка датується кінцем минулого року. Досить велика різниця може викликати певне здивування, оскільки аналітичні центри Perimetrix і Ponemon Institute використовують схожі методології підрахунку збитку Мабуть, основна причина розбіжностей полягає в більш ретельному аналізі великих витоків (більше 100 тис. постраждалих), які, за даними Perimetrix, мають більш низьку питому шкоду, ніж дрібні інциденти. А оскільки на великі витоку припадає значна частка збитку, саме вони відіграють визначальну роль.


Втім, в даному випадку важливі не абсолютні значення (вони за визначенням є дуже зразковими), а їх порядок. Сьогодні можна з упевненістю стверджувати, що витік середнього ступеня тяжкості (1 тис. – 10 тис. записів) матиме питома збиток від 100 доларів за запис. Таким чином, сукупний збиток навряд чи виявиться меншим 100 тис. доларів – а це дуже солідна цифра для більшості сучасних організацій. Додамо, що при підрахунку збитків враховувалися не тільки прямі збитки (витрати на повідомлення, кредитний моніторинг, call-центр), а й непрямі втрати (перш за все, репутаційні), які, в більшості випадків, становлять найбільш істотну частину загального збитку.

Розподіл витоків за кількістю постраждалих


Джерело: Perimetrix, 2008


Відзначимо, що дослідження не виявило неочевидних кореляцій між причиною витоку, кількістю жертв і збитком. Були й масштабні хакерські інциденти (витік в мережі Hannaford), і крадіжки обладнання (витік в Університеті Маямі), і інсайд (Societe Generale), і веб-витоку (WellCare, WellPoint). У кожному з означених випадків збиток вимірювався в десятках мільйонів доларів. Таким чином, всі перераховані можливості небезпечні, і їх необхідно контролювати.


Разом з тим, пару очевидних кореляцій все ж має сенс позначити. Так, паперові витоку не можуть мати більше 10 тис. постраждалих. Причина очевидна. У свою чергу, крадіжка магнітних стрічок, як правило, має великий збиток. Пов’язано це з тим, що стрічки використовуються для резервного копіювання і містять великі обсяги інформації. Таким чином, процес шифрування необхідно починати саме з стрічок – це значно простіше, ніж шифрувати всі наявні ноутбуки.


Галузева специфіка витоків


Ні для кого не секрет, що різні галузі відчувають витоку інформації з різною періодичністю. Очевидно, що, наприклад, цінність інформації у фінансовій галузі вище аналогічних показників у харчовій промисловості. Крім того, захищеність організацій різного типу також істотно відрізняється. Було б надто наївно припускати, що безпека якогось університету порівнянна з безпекою крупного стільникового оператора.


Дослідження показало, що найбільше число витоків спостерігається в трьох основних сферах: фінанси, медицині та освіті. Часті інциденти в банківській галузі пов’язані з величезною цінністю оброблюваної інформації, такої як номери банківських рахунків. А велика кількість витоків у медицині та освіті пояснюється ще простіше – традиційно ці галузі не надто активно впроваджують ІТ.

Галузева специфіка витоків


Джерело: Perimetrix, 2008


Серед решти категорій окремо відзначимо роздрібні мережі, на які припало 5% витоків. У даній сфері було зареєстровано не надто багато інцидентів, проте всі вони мали далекосяжні наслідки. Справа в тому, що роздрібні мережі, як правило, обробляють велику кількість транзакцій по банківських картах і часто (але далеко не завжди виправдано) зберігають строго конфіденційну інформацію з цих транзакцій. Як наслідок, хакерської вторгнення або крадіжка резервного носія з базою транзакцій роздрібної мережі зазвичай призводить до величезних втрат.


“Індекс небезпеки”

Даний параметр визначався за формулою: IND (галузь) = AVG ([LOG10 (число постраждалих в результаті витоку)] +1), де AVG – середнє значення по всіх інцидентів, а [] – оператор цілої частини. Говорячи простою мовою, індекс небезпеки рівний 4 показує, що кількість постраждалих від витоку в даній галузі, швидше за все, буде вимірюватися в числі, що складається з чотирьох десяткових знаків (1 тис. – 10 тис. осіб).


Щоб чисельно оцінити небезпеку витоків для основних перерахованих галузей, в процесі дослідження був введений спеціальний параметр – “індекс небезпеки”. Використовувати для оцінки середня кількість постраждалих не представляється можливим, оскільки навіть одна “мільйонна” витік призведе в такому випадку до величезної похибки.


Спираючись на цей параметр, виходить, що в групу ризику входять насамперед роздрібні мережі, фінансові та медичні організації. Освітні заклади дещо відстають, проте саме в цій сфері спостерігається максимальна кількість витоків. Дані дослідження показують, що проблема витоків стає все більш і більш актуальною. Велика кількість і різноманітність трапилися інцидентів наочно демонструє комплексний характер загроз і необхідність суттєвих інвестицій для їх мінімізації.

Індекс небезпеки для різних галузей


Джерело: Perimetrix, 2008


Разом з тим переносити отримані результати на російський грунт можна далеко не завжди. У нашій країні як і раніше відсутня практика розкриття інформації про трапилися інциденти, яка діє в більшості західних держав. Як наслідок, втрати вітчизняних компаній від витоків персональних відомостей незрівнянно нижче – просто тому, що про ці витоках практично нічого не повідомляється. На сьогоднішній день в Росії значно актуальніше інший тип витоків, пов’язаний з втратою інтелектуальної власності, корпоративних планів або фінансової звітності.


У цьому сенсі отримані результати (особливо в частині загроз) переносяться на Росію і переносяться дуже добре. З концептуальної точки зору абсолютно не важливо, які саме відомості зберігалися, скажімо, на зниклому ноутбуці – головне, що вони “витекли”. Таким чином, результати даного дослідження відображають профіль загроз витоку і в російських компаніях в тому числі.


Втім, не все так просто і з персональними даними. На думку аналітиків Perimetrix, загальносвітова заклопотаність питаннями приватності укупі з низкою російських скандалів (зокрема, появою сайту Radarix.com) призведе до посилення державного регулювання у даній сфері. Можна з упевненістю стверджувати, що контроль за безпекою персональної інформації буде тільки посилюватися і через кілька років російська ситуація буде аналогічна положенню речей в сучасних західних країнах. Це означає, що замислюватися про безпеку необхідно вже зараз, оскільки захисні системи мають досить тривалий цикл впровадження.


До того ж, багато російських підприємства повинні відповідати різним актам і стандартам (Стандарт ЦБ РФ, SOX, Basel II, “Базовий рівень операторів зв’язку” і т.д.), кожен з яких прямо або побічно вимагає боротися з витоками даних.


Володимир Ульянов

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*