Глобальне дослідження витоків конфіденційних даних. Перше півріччя 2009, Криптографія, Security & Hack, статті

Компанія InfoWatch пропонує увазі фахівців чергове глобальне дослідження статистики по інцидентів, пов’язаних з витоками конфіденційної інформації. Основою для даного звіту є база даних витоків, яку веде аналітичний центр компанії InfoWatch. База інцидентів ведеться з 2004 року, і в неї включаються всі інциденти в усіх країнах світу, інформація про які була опублікована в ЗМІ, а також блогах, веб-форумах та інших мережевих ресурсах.


Якісна характеристика


Кількість зафіксованих у розрахунку на 1 день витоків продовжує постійно збільшуватися. Важко сказати, чи відображає це реальне збільшення числа інцидентів, чи справа у тому, що наша компанія інтенсифікувала роботу по збору інформації. Швидше, те й інше одночасно. За 1-е півріччя 2009 року була опублікована інформація про 413 витоках (2,3 витоку в добу). Для порівняння: у другому півріччі 2008 було зафіксовано 273 витоку. Таким чином, зростання склало 51%.


Тема витоків конфіденційної інформації (особливо персональних даних) продовжує залишатися актуальною в ЗМІ. Навіть інциденти в маловідомих організаціях з десятком постраждалих осіб привертають інтерес публіки та висвітлюються місцевою пресою. Коли ж багато потенційних потерпілих, замішана велика корпорація, відома особистість, то повідомлення про витік швидко розходиться по світовим інформагентствам, перекладається, передруковується і обговорюється в Інтернеті.


Досить часто стали з’являтися повідомлення про витік в Росії. Їх за звітне півріччя зафіксовано 23 (для порівняння: за минуле півріччя їх було всього 2). Це є прямим наслідком актуалізації теми персональних даних. Новий російський закон “Про персональні дані” (152-ФЗ) став активно застосовуватися державними органами: набирають обертів перевірки Роскомнадзора, компанії серйозно перейнялися приведенням у відповідність своїх інформаційних систем. Всі ці факти породили черговий сплеск інтересу ЗМІ до теми персональних даних та їх витоків.


В інших країнах такого радикального сплеску інтересу до теми не спостерігається. Але спаду інтересу також немає, тема продовжує залишатися актуальною і цікавою для широкого кола читачів, не кажучи вже про експертів в області інформаційної безпеки.


Умисел чи випадковість?


У 1-му півріччі 2009 року помітно зросла частка навмисних інцидентів. У попередні періоди їх частка також поступово збільшувалася, але в межах статистичної похибки. Тепер же експерти InfoWatch впевнено констатують, що умисних витоків стало більше.


Діаграма 1: Частки навмисних і випадкових витоків


Різні види персональних даних мають різну ціну для зловмисників (багато видів їм взагалі не потрібні). Так, в США і Великобританії (звідки “родом” більшість фіксованих витоків) прагматично захищають не будь-які персональні дані, а лише ті, які зловмисники можуть швидко конвертувати в гроші. Саме за такими даними полюють зловмисники. Перш за все, це дані банківських карт і номери соціального страхування (SSN – Social Security Numbers). Збут і подальше використання такої інформації налагоджені. І чим далі, тим більше можливостей з’являється у людей, які бажають незаконним чином заробити на продажу ПД, тим ширше масштаби цього кримінального ринку.


Як видно з діаграми 1, при неухильному зростанні числа як випадкових, так і навмисних витоків, кількість останніх зросла набагато більше. Найближчим часом ця тенденція збережеться. Це пов’язано, в першу чергу, з тим, що сучасні засоби протидії витокам (у тому числі, DLP-системи) досить ефективно запобігають лише випадкові витоку по різним каналам. Для протидії ж навмисним витокам даних потрібен повний контроль всіх інформаційних каналів і грамотні фахівці, здатні належним чином налаштувати систему захисту від витоків і вміють правильно її використовувати.


Таким чином, є підстави вважати, що більш широке впровадження технічних методів боротьби з витоками, яке ми відзначаємо майже у всіх країнах, призведе до виявлення та припинення витоків обох видів. Але ці методи будуть менш ефективні у випадку з навмисними витоками. Отже, частка навмисних витоків найближчим часом буде неухильно зростати.


Звідки витікають конфіденційні дані?


Всі підприємства і організації, в яких відбулися витоку, що стали публічними, експерти InfoWatch поділяють на три категорії: державні установи, комерційні підприємства, а також навчальні заклади і громадські, некомерційні структури. Навчальні заклади, безумовно, бувають як некомерційними, так і комерційними, тобто орієнтованими на отримання прибутку, тим не менш, експерти InfoWatch виділяють їх в особливу категорію, оскільки умови обробки персональних даних студентів не схожі на аналогічні умови в банках, клініках, магазинах та інших “традиційно комерційних” підприємствах.


Діаграма 2: Розподіл джерел витоків за видами організацій


Як видно з таблиці і діаграми, в 1-му півріччі 2009 року частка витоків конфіденційних даних в освітніх установах помітно знизилася за рахунок збільшення відповідного числа на комерційних підприємствах. Однозначне пояснення такому зниженню дати складно, проте аналітики InfoWatch припускають, що це може бути пов’язано зі світовою фінансовою кризою. В цей період в комерційному секторі загострюється конкуренція, і відбуваються масові звільнення персоналу. Те й інше сприяє збільшенню числа витоків даних. На навчальні заклади криза в цьому сенсі не впливає. Персональні дані студентів не є інструментом недобросовісної конкуренції, тому якщо їх і крадуть, то не більш інтенсивно, ніж до кризи.


Є цьому й інше пояснення. Ще зовсім недавно ситуація в системах інформаційної безпеки вузів була настільки гнітючою, що наведення в ній елементарного порядку (хоча б установка паролів на доступ до мережі, заборони загального доступу до даних на дисках робочих станцій і т.п.) було достатньо для того, щоб значно скоротити ризик витоків ПД студентів.


Якщо проаналізувати статистику навмисних і випадкових витоків відбулися в кожному із трьох згаданих типів організацій окремо, то суттєвої різниці виявлено не буде. Цей результат відрізняється від того, що був у минулі роки, коли умисних витоків було дещо більше в комерційних організаціях, а випадкових – в навчальних закладах. На сьогоднішній день часткові розподілу для випадкових і навмисних витоків майже не розрізняються. Це можна пояснити удосконаленням методів захисту та профілактики інцидентів. Після того, як питання про важливість захисту персональних даних протягом багатьох років обговорювалося в ЗМІ провідних світових держав, сьогодні в цих країнах існує чітке усвідомлення необхідності забезпечення інформаційної безпеки у всіх типах організацій, включаючи школи. Скрізь присутня хоч якась організаційна та технічна захист від витоків даних. Отже, принципової різниці між навмисними і випадковими інцидентами для різних типів організацій не буде.


Які дані витікають?


Якщо в минулому році предметом витоків практично завжди були персональні дані (98,5%), то в цьому році ситуація значно змінилася. У першому півріччі 2009 року частка витоків персональних даних трохи зменшилася і сьогодні становить лише 87,2%. Це відбулося, через зростання кількості витоків інших типів інформації, і перш за все, тієї інформації, що становить комерційну таємницю організації (Див. таблицю 3).


Діаграма 3: Розподіл витоків за типами
конфіденційних даних в 1-м півріччі 2009 року


Але такі зміни все ж не можна визнати принциповими. Преса і раніше приділяє найбільшу увагу саме витокам персональних даних. Інші ж види конфіденційної інформації витікають значно рідше і викликають менший інтерес публіки (оскільки персональні дані кожен мимоволі приміряє на себе: “а що, якби це була інформація про мене”). Крім того, приховувати інциденти з комерційною таємницею незрівнянно простіше – в їх відношенні або відсутні нормативні акти про обов’язкове повідомлення, або повідомляється вузьке коло осіб. Витік державної або військової таємниці сховати ще простіше.


За яких каналах витікають дані?


Наведене нижче розподіл – найцікавіше із практичної точки зору. Носієм або каналом витоку вважається той носій, перебуваючи на якому дані перетнули охороняється інформаційний периметр або стали доступними неавторизованого особі.


Орієнтуючись на тип носія, можна вибирати засоби захисту від витоків і прогнозувати відповідне зниження ризиків.


Діаграма 4: Основні канали витоку даних


Як видно з діаграми вище, істотно знизилося число інцидентів з мобільними комп’ютерами, а частки витоків через паперові та архівні носії, навпаки, збільшилися.


Перше було передбачувано, і експерти InfoWatch прогнозували це ще в минулому році. Велика кількість публікацій про втрату та крадіжку ноутбуків з конфіденційними даними повинно було привести до того, що користувачі, нарешті, затурбуються їх захистом. Тим більше що це досить просто технічно – треба зашифрувати жорсткий диск, розділ диска або хоча б деякі файли. Програм для такого шифрування на ринку є предостатньо, в тому числі, безкоштовних. Але для того, щоб справа зрушила з мертвої точки, потрібно чимало часу.


Експерти InfoWatch очікують, що в майбутньому частка мобільних носіїв і мобільних комп’ютерів ще більше скоротиться, оскільки цей канал витоків успішно закривається технічними засобами, такими як контроль портів або шифрування.


Невелике зменшення частки мережевих витоків пояснюється аналогічно. Цей вид витоків дуже часто висвітлюється в пресі і обговорюється фахівцями, а засоби захисту від них (сучасні DLP-системи) добре відомі і багатьма вже випробувані на практиці.


А ось паперовим і архівних носіїв (бекапа), мабуть, не приділялося належної уваги. В результаті їх частка в числі коштів, які є каналом витоків, зросла, а для паперових – особливо сильно. Паперові документи з конфіденційними даними найчастіше просто викидають на смітник, де їх знаходять пильні громадяни та повідомляють у ЗМІ. Причому друге мало набагато більше значення, ніж перше. Якщо раніше сміттєві контейнери перевіряли рідко, то тепер мисливці за славою, начитавшись про подібні випадки в пресі, ретельно перевіряють сміттєві баки і дуже часто знаходять там конфіденційні дані. Щоб виявити витік через веб-сайт компанії, досліднику потрібна кваліфікація (як мінімум, уміння складати запити для пошукової системи), в той час як копатися в смітті можна і без спеціальних знань.


У наявності недолік уваги служб інформаційної безпеки до паперових документів. Деякі з працівників ІБ вважають, що коли лист покинув принтер, все, що на ньому надруковано, більше не їхня турбота. Подібний підхід і призводить до зростання “паперових” інцидентів. Захист інформації не вичерпується захистом комп’ютерної інформації – про це в наш кібернетичний століття легко забути.


Далі розглянемо те, як розподілені за видами носіїв навмисні і випадкові витоку окремо. Нижче наведено діаграми для відповідних типів інцидентів.


Діаграма 5: Основні канали навмисних і випадкових витоків


Методи боротьби з випадковими і навмисними витоками – різні. З першими впоратися легше і дешевше. У разі злого умислу протистояти доводиться не сліпий випадковості, ліні або невігласи, а розумному і зацікавленому противнику. Тут інтелект грає проти інтелекту, хитрість – проти хитрості.


Експерти InfoWatch практично виключають можливість випадкових витоків через певний інформаційний канал, якщо він контролюється за допомогою сучасної DLP-системи. У теж час умисні інциденти цьому правилу не підкоряються: в разі перекриття одного каналу, інсайдер буде шукати інший, менш захищений.


На підтвердження цього колонка “випадкові витоку” в таблиці 5 говорить нам, з яких каналів потрібно починати впроваджувати DLP-систему. Колонка “умисні витоку” не може розцінюватися по такому ж принципу: захист потрібно ставити на всі канали одночасно, інакше зловмисник просто обійде заслін, скористається тим каналом, який недостатньо контролюється або зовсім відкрито.


Вище вже говорилося про значне збільшення частки “паперових” витоків. Однак, як видно з таблиці 5, дане твердження справедливе лише для випадкових витоків. Серед інсайдерів паперові носії не так популярні, як інші канали крадіжки інформації.


Розподіл витоків по країнах


Ще раз нагадаємо, що в базі даних витоків InfoWatch враховуються інциденти, про які було повідомлено в ЗМІ (звичайно, включаючи блоги, веб-форуми тощо). Надбанням гласності стають далеко не всі витоку навіть в тих країнах, де закон наказує операторам повідомляти про них. Тим не менш, зіставляючи дані різних країн, експерти InfoWatch можуть оцінити ступінь латентності інцидентів, тобто сказати, скільки приблизно випадків крадіжки конфіденційних даних було приховано від громадськості.


Нижче наводиться таблиця інцидентів з розбивкою по країнах. В останній колонці вказано питомий число витоків у розрахунку на один мільйон населення.


Таблиця 6: Розподіл витоків по країнах












































































































Країна Число витоків % Витоків на 1 млн.
населення
Австралія 6 1,45% 0,301
Канада 14 3,39% 0,431
Китай 1 0,24% 0,001
Куба 1 0,24% 0,087
Чехія 2 0,48% 0,191
Німеччина 3 0,73% 0,036
Британія 69 16,71% 1,145
Ірландія 2 0,48% 0,333
Ізраїль 1 0,24% 0,164
Індію 1 0,24% 0,001
Японія 7 1,69% 0,055
Нідерланди 1 0,24% 0,061
Нова Зеландія 5 1,21% 1,161
Росія 23 5,56% 0,16
Швеція 1 0,24% 0,108
Сингапур 1 0,24% 0,207
Словаччина 1 0,24% 0,186
США 266 64,41% 0,908
Світовий масштаб 4 0,97% 0,001
Не встановлено 6 1,45%  

Саме остання колонка – питома кількість інцидентів – характеризує ситуацію з витоками та їх оприлюдненням в конкретній країні. За звітний період (1-е півріччя 2009 року) до традиційної парі лідерів (США і Великобританії) приєдналася Нова Зеландія. Експерти InfoWatch не виключають, що вона опинилася в цьому списку тимчасово через невеликий абсолютної кількості інцидентів. Але перші дві країни вже давно мають найбільший показник виявлених на мільйон населення витоків. Це пояснюється діючими законами і традиціями, які зобов’язують підприємства сповіщати суб’єктів персональних даних про інцидентах. Таке повідомлення рідко залишається приватним і найчастіше потрапляє в пресу.


Росія за цим показником питомій сильно просунулася за останні півроку, обігнавши Швецію. Китай же, як і раніше залишається інформаційно закритою країною, в те, що там так мало витоків віриться насилу. Не у всіх випадках повідомлення про витік може бути визнано корисним, тому питання про доцільність подібного інформування залишається відкритим. Однак точка зору про необхідність даної процедури взяла гору в США (в 46 штатах), де були прийняті відповідні закони. По стопах США пішла Великобританія. Деякі інші країни зараз обмірковують, чи вводити таку ж обов’язок. Якщо це станеться, їх показник в даній таблиці неодмінно підвищиться і, швидше за все, зупиниться на рівні США.


Можна стверджувати, що в розвинених країнах відбувається порядку однієї витоку на рік на кожний мільйон населення. Там, де прийнято повідомляти громадян або держоргани про інциденти, більшість з них стає надбанням гласності, в інших країнах – ховається від публіки.


Також слід звернути увагу на зростання числа російських витоків. У першому півріччі 2009 їх зафіксовано 23, у той час як за попереднє півріччя всього 2 (за весь 2008 рік – п’ять). Основною причиною для такого зростання кількості оприлюднених витоків став закон “Про персональні дані”, який як раз вводиться в дію де-факто (формально він вступив в силу ще в 2007, але на перших порах не дотримувався). Багато підприємств турбувалися приведенням у відповідність своїх інформаційних систем. ЗМІ активно відгукнулися на актуальну тему і досить докладно висвітлюють все, що пов’язане із захистом персональних даних. Хоча російські витоку ПД і не завдають громадянам матеріальної шкоди, як в США, ця свіжа тема продовжує залишатися привабливою для преси.


Найбільші витоку


Звітне півріччя не принесло дуже великих витоків, таких як, наприклад, з Deutsche Telekom або мережі TJX. Найбільші інциденти останніх місяців відносно скромні.























Число записів Країна Короткий опис інциденту
7 500 000 Німеччина Знайдена уразливість в соціальній мережі StayFriends GmbH (www.stayfriends.de), яка дозволяла отримати доступ до персональних даних всіх учасників
2 500 000 Британія Зловмисникам вдалося отримати доступ до БД національної медичної служби (NHS), де зберігаються дані на пацієнтів
1 500 000 Японія Службовець несанкціоновано скачав зі службової БД і забрав дані клієнтів; частина з них він встиг продати.
807 000 США Втрачена архівна стрічка містила дані про підозрюваних осіб за 12 років, включаючи номери соцстрахування

Відсутність багатомільйонних витоків у цьому півріччі пояснюється збігом обставин. Ймовірність великої або дуже великої витоку не сильно відрізняється від імовірності дрібної. Серйозність захисних заходів залежить більше від цінності інформації для оператора, ніж від її розміру. Великі мережі мають більше компонентів і, отже, більше вразливостей. Дрібний інцидент простіше приховати. Ці фактори і визначають відносно велике число великих витоків в порівнянні з дрібними.


Прогнози


У наступному півріччі і в наступному році очікується посилення боротьби з витоками. Наслідком цього навряд чи стане скорочення кількості зафіксованих інцидентів, оскільки таке посилення неможливо без більш ретельного моніторингу інцидентів, що, в свою чергу, збільшує кількість виявлених. Крім того, очікується вступ в силу нормативних актів про обов’язкове повідомлення про витік персональних даних, що також означає зростання статистики.


Оскільки запобігти випадкові витоку простіше, дешевше і швидше, ніж навмисні, посилення боротьби, перш за все, призведе до скорочення випадків випадкових витоків. Тобто, їх частка повинна ще трохи зменшитися.


Висновки


Аналіз підказує, що ризики стати жертвою витоку конфіденційних даних слабо залежать від типу оператора, обробного ці дані, будь то державний орган, комерційне підприємство, навчальний заклад і т.п. На рівні концепції захисту окремі рішення для кожного типу навряд чи доцільні.


У Росії тема захисту персональних даних і тема їх витоків стає все більш актуальною і обговорюваної на всіх рівнях: як на рівні керівників підприємств, так і на державному рівні.

Експерти InfoWatch рекомендують російським підприємствам найближчим часом звернути особливу увагу на захист конфіденційної інформації на паперових носіях та контролю друкованих пристроїв. Збільшення ролі комп’ютерної техніки призвело до того, що випущений з уваги цей дуже небезпечний канал витоків. Число інцидентів з паперовими документами сильно зросла.

Важливо пам’ятати, що інтернет і мобільні пристрої, як і раніше є найбільш небезпечними каналами витоку даних. Вміст носіїв рекомендується шифрувати, а мережеві канали контролювати за допомогою DLP-систем.


Загальне зафіксоване кількість витоків у світі збільшується. Відносна ж кількість витоків (на мільйон населення) аналітики InfoWatch схильні вважати стабільним показником для розвинених країн. Тобто зростання йде в основному за рахунок виявлення та оприлюднення. Число виявлених та опублікованих витоків швидко зростає в тих країнах, де приймаються нормативні акти про обов’язкове повідомлення зацікавлених осіб при компрометації конфіденційної інформації.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*