Витівки інсайдерів: що замовчують компанії, Безпека ПЗ, Security & Hack, статті

В минулому місяці намітився ряд тенденцій, перші ознаки яких можна було спостерігати і раніше. Перш за все, продовжилася хвиля комп’ютерних крадіжок – у вересні стабільно пропадали ноутбуки, стаціонарні комп’ютери і інші носії інформації. Більше половини (11 з 19) інцидентів сталися внаслідок крадіжок, а також втрат різного устаткування. У десятці найбільш масштабних витоків знайшлося місце для семи таких інцидентів.


Друга тенденція менш очевидна. Вдруге поспіль на першому місці рейтингу опинилася компанія, що втратила свою клієнтську базу в результаті дій зловмисників. І ця компанія знову довго відкидала факт витоку. І якщо лідер серпня – рекрутинговий сервіс Monster.com – усвідомив жалюгідність ситуації порівняно швидко, то брокерська фірма TD Ameritrade тягнула з визнанням витоку практично календарний рік.


Брокерська фірма TD Ameritrade тягнула з визнанням витоку практично календарний рік


“Діра” у захисті TD Ameritrade виявилася в результаті внутрішнього розслідування. Це розслідування було ініційовано завдяки клієнтам компанії, які прочитали в своїй пошті спам з “біржовим” змістом. Цікаво, що цей спам розсилався протягом тривалого періоду – ще з жовтня минулого року. Іншими словами, злом мережі і проникнення в базу даних могло статися більше року тому. Довгий час TD Ameritrade не прислухалася до запитів обурених клієнтів, поки один з них, відомий адвокат Скотт Камбера (Scott Kamber), не подав на брокерську компанію до суду. Ця подія відбулася в травні нинішнього року, а про витік стало широко відомо лише в середині вересня. Такий розвиток подій наводить на думку про те, що TD Ameritrade приховувала факт витоку, до тих пір, поки її не притиснув до стінки суд.


Очевидно, що непродумані дії компанії по замовчування факту витоку призведуть до ще більших репутаційним втрат. А репутація, як відомо, є одним з основних активів будь-якої фінансової організації.


За підсумками вересня до групи особливого ризику потрапили медичні компанії (5 інцидентів), державні установи (4 інциденту) і навчальні заклади (5 інцидентів). Однак найбільш масштабні витоку зазвичай відбуваються з роздрібними мережами або фінансовими організаціями із серйозною клієнтською базою. Втім, і державні структури часто втрачають бази даних з величезною кількістю записів. “Студентські” і “Медичні” витоку поки не настільки масштабні.

Топ-10 витоків корпоративних даних, вересень, 2007






































































  Інцидент  Дата занесення в базу  Кількість постраждалих  Збиток 
1 Невідомі зламали корпоративну мережу компанії TD Ameritade і викрали приватну інформацію про 6300000 клієнтів 14 вересня 6300000 чоловік 1,2 млрд дол
2 Кадрове агентство, що надає послуги компанії GAP, втратило ноутбук з приватними даними шукачів 28 вересня 800 тис людей 260 млн дол
3 Працівник адміністрації м. Колумбус, штат Огайо, втратив резервні стрічки з персональними даними держслужбовців 13 червня * 1300000 чоловік 239 млн дол
4 Міністерство соцзабезпечення Пенсільванії (Pennsylvania Public Welfare Department) не встежили за двома настільними комп’ютерами, які зберігалися у власному офісі 11 вересня 375 тис людей 35 млн дол
5 Ноутбук з приватними даними, що належить компанії Gander Mountain, був вкрадений у одного з її співробітників 11 вересня 112 тис людей 23 млн дол
6 Кур’єрська служба втратила компакт-диск, що містить базу медичної програми Tenncare 12 вересня 67 тис осіб 10 млн дол
7 Інсайдер з компанії Pfizer скопіював конфіденційну базу даних на власний ноутбук. Таким чином, концерн допустити треті витік за три місяці 4 вересня 34 тис осіб 9 млн дол
8 Приватні дані “іпотечних” клієнтів банку ABN Amro знайшлися в P2P-мережі Gnutella 21 вересня 5 тис осіб 900 тис дол
9 У навчальному госпіталі ім. Джона Хопкінса (John Hopkins Hospital) пропав настільний комп’ютер з приватними даними 1 вересня 6 тис осіб 560 тис дол
10 Невідомі грабіжники вкрали ноутбук інструктора каліфорнійського коледжу Де АНЦА (De Anza College). На комп’ютері знаходилися приватні дані студентів ВНЗ 6 вересня 4,5 тис осіб 330 тис дол.

Джерело: InfoWatch, 2007


* – Попередня інформація про інцидент була відома ще в червні, однак остаточні дані про кількість постраждалих з’явилися тільки у вересні


У вересні у черговий раз “відзначилася” компанія Pfizer, яка допустила вже третю витік за останні три місяці. Вона ж виявилася і наймасштабнішою – в результаті недбалості співробітника Pfizer постраждали 34 тис людей. Цей співробітник скопіював корпоративну базу даних на власний ноутбук ще в минулому році, не погодивши своїх дій з керівництвом. Що відбувалося з даними на ноутбуці до сих пір точно невідомо.


В Америці продовжують ловити інсайдерів і кардерів, багато з яких є вихідцями з країн колишнього Радянського Союзу. На початку місяця американські правоохоронці зловили якогось Грегорі Копилоффа (Або Григорія Копилова?), Який крав приватну інформацію через P2P-мережу. А в кінці місяця інший виходець з Росії Роман Карелов зізнався у використанні конфіденційних даних для оформлення дорогих покупок в Інтернет-магазинах. Загальна сума збитку, яку завдав Карелов знаходиться в інтервалі від 200 до 400 тис доларів.


Як підраховувати збитки?


Збиток від витоків визначається по-своєму в кожному конкретному випадку. Тим не менш, існує загальна методика, за допомогою якої можна порахувати орієнтовні збитки. В основі схеми лежить загальне число постраждалих людей або скомпрометованих документів, і характер витоку. Далі оцінюється попередній збиток.


У вересні в черговий раз “відзначилася” компанія Pfizer, яка допустила вже третю витік за останні три місяці


Це можна зробити, базуючись на актуальному для США законі, який вимагає повідомляти громадян, чиї персональні виявилися розкриті. Повідомлення про інцидент розсилає організація, яка допустила витік. В деяких випадках одні тільки поштові витрати важким тягарем лягають на бюджет компаній. Середні витрати на повідомлення кожного потерпілого можна взяти з різних досліджень. Далі визначається число громадян, які стануть жертвою шахраїв через конкретної витоку. Число жертв розрізняється для кожної країни та сфери діяльності організації. Зазвичай, це значення становить від декількох десятих відсотків до декількох відсотків від загального числа людей, чия інформація скомпрометована. Якщо якісь із показників не можуть бути визначені однозначно, беруться усереднені величини на основі чисельної або емпіричної оцінки. Коли пораховано і цей збиток, враховуються додаткові обставини кожного випадку. Наприклад, для комерційної компанії збитки внаслідок втрати іміджу будуть значно вище, ніж для державного університету. Не останню роль відіграє і думка місцевих експертів щодо перспектив справи.


Розглянемо для ясності приклад з витоком з компанії GAP. Нагадаємо, що ноутбук цієї компанії з приватними даними був вкрадений невідомими зловмисниками, і в результаті крадіжки постраждали 800 тис громадян США, Пуерто-Ріко і Канади, які намагалися влаштуватися на роботу GAP. Після виявлення витоку, GAP зробила комплекс заходів для її ліквідації. По-перше, був створений спеціальний сайт, покликаний допомогти постраждалим громадянам. По-друге, всім жертвам інциденту пропонується послуга Triple Advantage від компанії ConsumerInfo.com, яка включає в себе кредитний моніторинг, а також страхування ризику компрометації даних протягом одного року. По-третє, постраждалим вже висилаються повідомлення і надається безкоштовна телефонна лінія для консультацій.


Згідно з даними сайту ConsumerInfo.Com, вартість одного місяця кредитного моніторингу становить 11,95 дол, року – 143,4 дол Таким чином, загальні витрати GAP на безкоштовне надання подібних послуг складуть приблизно 114 млн дол Для підрахунку інших прямих витрат звернемося до дослідження “2006 Annual Study – Cost of a Data Breach”. Згідно з розрахунками Ponemon Institute, середні витрати на виявлення і дослідження інциденту, а також повідомлення постраждалих складають 11,27 і 25,19 дол на одну обліковий запис. Таким чином, в масштабах витоку виходить сума в 29 млн дол


Далі слід врахувати збиток від втрати привабливості бренду і подальші заходи щодо ліквідації витоку. За даними Ponemon Institute, середні витрати від зниження привабливості бренду і подальших заходів з ліквідації складають 98,32 і 47,29 дол на кожного потерпілого відповідно. Для конкретної витоку – 116 млн дол


Разом маємо 29 млн дол – попередні витрати, 114 млн дол – витрати на кредитний моніторинг, 116 млн дол – подальші заходи по ліквідації та репутаційні втрати. В результаті, виходить сума приблизно в 260 млн дол


Звичайно, наведені цифри не обов’язково збігаються з реальними збитками в кожному конкретному випадку. Однак ці значення дають уявлення про масштаби збитку і в цілому відповідають справжньому стану справ.

Олексій Доля

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*