Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

10 самых громких инсайдерских инцидентов 2006

10 самых громких инсайдерских инцидентов 2006Наиболее наглядной иллюстрацией серьезности инсайдерских угроз являются реальные инциденты, в результате каждого из которых бизнес или правительство потеряли десятки или сотни миллионов долларов. Ниже будет рассмотрена десятка самых громких инсайдерских инцидентов, произошедших в мире за последний год.

Инсайдерские инциденты происходят ежедневно, хотя сами компании стараются не афишировать свои внутренние проблемы. Организация CERT (2005 E-Crime Watch Survey), опросившая более 800 компаний, установила, что каждая вторая компания хотя бы раз в течение года пострадала от утечки чувствительных сведений. Вдобавок, по сведениям PricewaterhouseCoopers и CXO Media (Global State of Information Security 2005), опросивших более 13 тыс. компаний в 63 странах мира (в том числе и России), более половины (60%) всех инцидентов ИТ-безопасности за прошедший год были вызваны именно инсайдерами.

usergate

Аналитики подсчитали, что 33% и 20% инцидентов вызваны нынешними и бывшими сотрудниками соответственно, 11% приходятся на долю клиентов компании, 8% происходят по вине партнеров и, наконец, 7% вызваны временными служащими (контрактниками, консультантами и т.д.). Даже если не учитывать клиентов и партнеров, то за 60% всех инцидентов несут ответственность нынешние, бывшие и временные сотрудники компании, что с учетом среднего ущерба каждой организации поднимает проблему утечек конфиденциальной информации на первое место в списке приоритетов руководства компании.

Между тем, это лишь обезличенная статистика. Обратимся теперь к реальным инцидентам — тем, которые произошли на практике, стоили пострадавшей организации десятки и сотни миллионов долларов, привели к огласке и удару по репутации. Далее будет рассмотрена десятка самых громких инсайдерских инцидентов, произошедших за последний год. Где это возможно, приведена финансовая оценка негативных последствий инцидента. Ознакомиться с хронологией российских инсайдерских инцидентов за 1996-2005 гг., составленной CNews Analytics, можно здесь.

Tор-10

Перечень самых громких инсайдерских инцидентов составлен на основе базы инцидентов InfoWatch, содержащей описания около 500 инцидентов такого рода за период с конца 2004 года по сегодняшний день.

Самые громкие утечки информации 2006

Дата Организация Описание
Апрель,
2006
Lockheed Martin Три инсайдера из Lockheed Martin украли результаты проекта по разработке тренировочной системы для пилотов ВВС США и план действий компании в борьбе за контракт Пентагона стоимостью 1 млрд. долларов. Все эти сведения были переданы конкуренту — подразделению Link Simulation and Training компании L-3 Communications. Судя по всему, интеллектуальная собственность утекла из Lockheed Martin через банальные USB-флэшки и пишущие CD/DVD-приводы.
Май,
2006  
Министерство по делам ветеранов, США Инсайдер из Министерства по делам ветеранов США унес домой ноутбук с персональными данными 26,5 млн. бывших военных. Этот компьютер был вынесен из его дома в результате ограбления. Ветераны США оказались под угрозой «кражи личности», так как приватные данные не были зашифрованы. Потенциальные убытки вследствие утечки оцениваются в 30 млрд долларов.
Июнь,
2006
UBS PaineWebber Системный администратор финансовой компании UBS PaineWebber запрограммировал «логическую бомбу», которая вывела из строя более двух третей корпоративной сети. На восстановление работы потребовалось более 3 млн долларов и несколько недель простоя.
Июнь,
2006
KDDI Инсайдеры из второго по величине японского оператора сотовой связи — KDDI — украли базу приватных данных клиентов (слили на CD и USB-флэшки). С помощью своих сообщников они шантажировали KDDI, угрожая раскрыть факт утечки перед собранием акционеров. Инсайдеры требовали 90 тыс. долларов, но благодаря умелым действиям токийской полиции оказались за решеткой.
Июль,
2006  
HSBC Инсайдер в индийском call-центре крупнейшего британского банка HSBC выкрал конфиденциальную информацию о счетах британских клиентов и передал ее подельникам в Соединенном Королевстве. В результате около 20 британских клиентов HSBC лишились почти 500 тыс. долларов. Убытки же самого банка составили несколько миллионов.
Август,
2006
Российские банки, занимающиеся потребительским кредитованием В середине августа в интернете прошла рассылка с предложением купить БД заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Каждая запись базы содержит ФИО заемщика, его адрес, название торговой сети, размер и срок кредита, объем просрочки и т.д. За всю базу, которая содержит более 700 тыс. записей, продавцы запросили 90 тыс. рублей. Подозрение в утечке пало на инсайдеров в нескольких российских банков, занимающихся потребительским кредитованием.
Август,
2006
Банк «Первое ОВК»
(поглощен Росбанком в 2005 г.)
На прилавках Митинского радиорынка появился диск «Банковский черный список физлиц: Москва и Московская область». За 900 руб. продавцы предлагали относительно небольшую базу данных примерно 3 тыс. неблагонадежных клиентов банка «Первое ОВК». Подозрение в утечке пало на инсайдеров — бывших сотрудников банка «Первое ОВК», которые «слили» информацию в процессе поглощения компании Росбанком.
Сентябрь, 2006 МЦС (Мобильная Цифровая Связь), владелец марки Velcom В продаже появилась база данных более 2 млн абонентов белорусского сотового оператора Velcom. Компания обвинила в утечке партнерский банк, которому база была передана для проверки правильности указанных реквизитов при оплате услуг связи. Фирма МЦС даже собралась подать на банк в суд, хотя белорусские журналисты отмечают, что приватные базы абонентов Velcom появляются в продаже регулярно.
Октябрь,
2006
Citibank
(сингапурский филиал)
Инсайдер — руководитель местного отделения Private Banking в Citibank — перешел на работу к банку-конкуренту UBS, прихватив конфиденциальные данные всех наиболее состоятельных клиентов. Естественно, через некоторое время UBS начал переманивать клиентов Citibank. Однако самое интересное в том, что утечка произошла самым банальным способом — по электронной почте.
Октябрь,
2006
Acme Tele Power Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst&Young, прямые финансовые убытки Acme составили 166 млн. долларов. Любопытно, что интеллектуальная собственность утекла самым обычным способом — по электронной почте. Теперь компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию.

Утечка интеллектуальной собственности из Lockheed Martin. В апреле 2006 года гигант военной индустрии (Lockheed Martin) обвинил своего конкурента (L-3 Communications) в промышленном шпионаже. Согласно исковому заявлению, три инсайдера из Lockheed украли интеллектуальную собственность и конфиденциальную информацию корпорации, а потом продали ее конкуренту. Теперь L-3 собирается нечестно выиграть миллиардный контракт Пентагона.

Корпорация Lockheed уверена, что инсайдеры передали всю информацию подразделению Link Simulation and Training компании L-3 Communications. Истец требует направить инспекторов в L-3 и проверить все ее компьютерные системы. Там просто обязаны найтись следы конфиденциальной информации Lockheed, которую конкурент собирается использовать в борьбе за 10-летний контракт ВВС США стоимостью 1 млрд. долларов. Предыдущий аналогичный контракт компания Lockheed выиграла в 2000 году.

«Первую скрипку» в этом скандале играют инсайдеры: Кевин Спид (Kevin Speed), Стив Флеминг (Steve Fleming) и Патрик Ромэин (Patrick Romain). Они были вовлечены в разработку тренировочной системы для пилотов ВВС, имели доступ к гигантским объемам внутренних данных, включая план действий Lockheed в борьбе за контракт. Когда инсайдеры уволились, они скопировали тысячи страниц секретных документов на мобильные носители и забрали их с собой. Еще одним ответчиком по иску выступает маленькая фирма Mediatech. Именно в нее ушли работать три инсайдера сразу после увольнения. Компания Mediatech является поставщиком L-3, так что все конфиденциальные сведения довольно быстро оказались в L-3.

В заключение заметим, что миллиардный контракт — это лакомый кусочек для обеих сторон. В прошлом году корпорация Lockheed выиграла тендеры Пентагона на 19,4 млрд. долларов, а L-3 — только на 4,7 млрд. долларов.

Утечка из Министерства по делам ветеранов США. Инсайдер, работающий аналитиком в Министерстве, взял домой корпоративный ноутбук с персональными данными 26,5 млн. бывших военнослужащих. Однако вскоре его дом ограбили, а ноутбук украли. В результате десятки миллионов американцев оказались под угрозой «кражи личности».

Когда об инциденте стало известно, министр по делам ветеранов Джим Николсон выступил с докладом перед Сенатом США и попросил выделить 500 млн долларов на устранение последствий утечки. Аналитический центр InfoWatch оценил расходы правительства США на защиту ветеранов от кражи личности в 4 млрд долларов. Распространенной практикой является предоставление всем пострадавшим вследствие утечки бесплатной услуги по мониторингу кредитной активности - ни одна американская организация, допустившая утечку за последние два года, ни разу это правило не нарушила. Между тем, если рассчитать стоимость мониторинга в течение года на все 26,6 млн ветеранов, то получится 3,5 млрд долларов.

Однако это еще далеко не все потери американских налогоплательщиков. Ведь Министерству по делам ветеранов пришлось разослать 26,6 млн. уведомлений об утечке и организовать горячую линию для пострадавших. В результате на поддержание call-центра ежедневно уходит 200 тыс. долларов, а на рассылку уведомлений пришлось единовременно потратить 14 млн. долларов. Вдобавок, все пострадавшие подали коллективный иск против федерального правительства с требованием выплатить компенсацию в размере 1 тыс. долларов на каждого. Таким образом, общая сумма иска составляет 26,5 млрд долларов, а  потенциальный ущерб от утечки превышает 30 млрд долларов.

Саботаж в UBS PaineWebber. Несмотря на то, что сам акт саботажа имел место еще в марте 2002 года, все его подробности стали известны только в июне 2006 года. Представители власти и бизнеса согласились обнародовать инцидент лишь после того, как правоохранительные органы собрали убедительные доказательства того, что бывший системный администратор написал вредоносную программу, установил ее на более чем 1 тыс. компьютеров, включая систему резервного копирования, и запрограммировал эту «логическую бомбу» на определенный день и час. Когда гигантская финансовая компания «онемела» из-за того, что абсолютно все компьютеры вышли из строя, инсайдер попытался заработать на падении биржевых котировок фирмы. За месяц до инцидента, используя почтовую систему США, бывший системный администратор купил опцион продавца родительской компании PaineWebber на сумму более 21 тыс. долларов. Такие контракты дают покупателю право продать соответствующий финансовый инструмент по оговоренной цене в течение определенного времени в обмен на уплату премии и покупаются инвесторами, которые верят в снижение цен инструментов в основе опционов. Таким образом, инсайдер собирался заработать на крахе биржевых котировок фирмы.

Саботажником оказался шестидесятитрехлетний Роджер Дюронио (Roger Duronio). Именно он создал и внедрил вредоносную программу в центральном офисе UBS PaineWebber, а также примерно в 370 филиалах. «Логическая бомба» была запрограммирована на 4 марта 2002 года. Именно в этот день паразит активизировался и начал удалять данные компании. В результате по всей Америке компьютеры PaineWebber вышли из строя. Деятельность компании замерла на несколько дней в одних филиалах и на несколько недель - в других. 3,2 млн долларов потребовалось фирме только на восстановление работы компьютеров. Убытки в результате простоя никто не подсчитывал, хотя, по мнению экспертов, корпорации UBS PaineWebber вообще повезло, что она не обанкротилась.

Кража клиентской базы японского сотового оператора KDDI. Инсайдеры требовали 90 тыс. долларов у японской корпорации KDDI, являющейся вторым по величине оператором сотовой связи в стране, под угрозой раскрытия информации о крупной утечке приватных данных в преддверии основного собрания акционеров компании. Представители KDDI обратились в полицию Токио, которая арестовала двух подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных данных 4 млн. клиентов KDDI. В ней содержались имя, пол, дата рождения, телефоны, почтовые адреса и другие персональные сведения каждого из 4 млн клиентов фирмы.

Чтобы продемонстрировать серьезность и обоснованность своих угроз, 30 мая шантажисты предъявили представителям KDDI компакт-диски и USB-флэшки с приватными данными. Эти носители были просто подброшены на проходную. При этом злоумышленники угрожали сообщить об утечке в прессу. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух неделей полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых.

Руководство телекоммуникационной компании заявило, что в утечке, безусловно, замешаны сотрудники самой корпорации, то есть, инсайдеры. Топ-менеджмент уверен, что один из служащих специально скопировал приватные сведения и вынес их за пределы компании. В целом, более 200 работников KDDI имели доступ к украденным данным.

Инсайдеры в крупнейшем британском банке HSBC. Утечка данных из оффшорного подразделения международного банка HSBC привела к тому, что целый ряд британских клиентов банка потеряли свои сбережения. Злополучное подразделение занималось обработкой данных, по сути, выполняя функции call-центра, и находилось в городе Бангалор, Индия.

24-летнему инсайдеру предъявлено обвинение в доступе к конфиденциальной информации о счетах клиентов HSBC и передаче этих сведений преступникам в Великобритании. Заметим, что инсайдер был арестован 27 июня 2006, причем к расследованию международного инцидента был привлечен Интерпол. Вычислить инсайдера удалось благодаря системе безопасности самого банка HSBC. Служащий совершил ошибку — он постоянно «сливал» сведения о тех счетах, к которым у него был формальный доступ, но работать с которыми ему не требовалось для выполнения порученных руководством задач. Такая подозрительная активность инсайдера, естественно, насторожила службу безопасности.

Как стало известно, в результате согласованных действий инсайдера и его подельников в Соединенном Королевстве пострадали около 20 британцев, а общая сумма ущерба составила 233 тыс. фунтов или 424,8 тыс. долларов. Представитель HSBC сообщил, что банк возместит всем пострадавшим потерянные деньги. Однако ухудшение имиджа никто не подсчитывал.

База данных потребительских кредитов российских банков. Довольно темный случай - либо в России произошла очередная очень громкая утечка конфиденциальной информации, либо кто-то решил подзаработать на продаже «цифровой куклы». Ясности нет, но потеря репутации всего финансового сообщества уже налицо.

15 августа 2006 года ряд бюро кредитных историй (БКИ) и банков получили по электронной почте предложение купить базу данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг — более 700 тыс. записей. Тем не менее, есть основания полагать, что эта база — всего лишь «кукла». Дело в том, что правоохранительным органам, несмотря на все попытки, купить базу полностью так и не удалось.

В руки журналистов попала выборка из базы, датированная 7 апреля 2006 года. Каждая запись базы содержит ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций. За всю базу, которая содержит более 700 тыс. записей, продавцы запросили 90 тыс. рублей, что не идет ни в какое сравнение с рыночной стоимостью кредитных историй — одна такая история в кредитном бюро стоит около $0,4. По мнению участников рынка, предлагаемая база скорее напоминает базу данных розничных бэк-офисных банковских программ. В результате главное подозрение в разглашении конфиденциальной информации могло бы пасть на банки, которых в торговых розничных сетях в России работает не так много. Таким образом, подозрение снова падает на инсайдеров

База данных неблагонадежных заемщиков банка «Первое ОВК». В конце августа стало известно об утечке базы данных неблагонадежных заемщиков банка «Первое ОВК», получавших кредиты в 2002-2003 гг. Информацию о частных клиентах, которые после слияния ОВК и «Росбанка» оплачивают кредиты в «Росбанке», можно приобрести на черном рынке за 900 рублей. Судя по всему, «Росбанк» мог стать жертвой утечки в результате недобросовестных действий уже несуществующей службы безопасности ОВК.

Репортеры приобрели диск «Банковский черный список физлиц: Москва и Московская область» в ларьке недалеко от Митинского радиорынка за 900 рублей. В отличие от базы данных, которую предлагали купить банкирам в середине августа, она относительно небольшая и содержит информацию примерно о 3 тыс. неблагонадежных клиентов банка «Первое ОВК». В новой базе указаны заемщики, получившие кредиты в течение 2002-2003 гг, номера их домашних или мобильных телефонов, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем указана причина и дата занесения в черный список. Отметим, что банковская группа ОВК, созданная Александром Смоленским, была приобретена холдинговой компанией «Интеррос» в середине 2003 года. Информация о неблагонадежных заемщиках собрана как раз в 2002-2003 гг. и имеет отметки сотрудников службы безопасности ОВК. Специалисты предполагают, что утечка произошла именно оттуда в момент интеграции банков.

Корреспонденты связались с лицами из новой базы и узнали, что они действительно брали кредиты в «Первом ОВК» в указанные сроки. Между тем, официальные представители «Росбанка» отказались от комментариев, заметив, что «необходимо сначала проанализировать базу и установить подлинность данных». В то же время источник в банке пояснил, что во время слияния бизнесов ОВК и «Росбанка» не все сотрудники были довольны процессом интеграции, и «утечка информации могла послужить своеобразной местью».

Утечка базы данных белорусского сотового оператора Velcom. Белорусские журналисты приобрели текстовый файл с информацией о 2 млн. абонентах сотового оператора Velcom. В нем содержатся номера мобильных телефонов и ФИО клиентов сотового оператора. При этом белорусская пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 года вышло как минимум 6 вариантов, причем каждый раз информация дополнялась. 

Между тем, столкнувшись с волной критики, Velcom не стал отмалчиваться и сделал ряд заявлений. Во-первых, компания сообщила, что белорусские законы не защищают персональные данные граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных клиентов (номер телефона и ФИО каждого абонента) «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». Другими словами, Velcom снова не виноват в утечке. В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре, поэтому теперь Velcom готовит банку претензию и «рассматривает возможность предъявления иска о защите деловой репутации».

Утечка из сингапурского отделения Citibank. Серьезная утечка конфиденциальной информации произошла из сингапурского отделения Citibank. Компания не стала скрывать этот инцидент от общественности и подала в суд на нескольких своих инсайдеров (по некоторым данным, от 2 до 6 человек). Оказывается, руководитель местного отделения Private Banking (обслуживающего самых богатых клиентов) перешел на работу к банку-конкуренту UBS. Вместе с собой он прихватил конфиденциальные данные всех этих состоятельных клиентов. Немудрено, что через некоторое время и клиенты перекочевали к другому банку. Роль остальных инсайдеров до конца не известна, но, судя по всему, они помогли бывшему управляющему раздобыть все конфиденциальные сведения. Заметим, что негодование Citibank по поводу происшедшего вполне понятно, ведь каждый клиент Private Banking готов передать в управление банку суммы, исчисляемые сотнями тысяч, а то и миллионов долларов. Это один из самых распространенных случаев утечки. Менеджеры высшего и среднего звена очень часто при смене работы забирают с собой конфиденциальные документы и списки клиентов бывшего работодателя. Это помогает набить себе цену в новой компании и существенно увеличить, как оклад, так и проценты.

Однако это еще не самое интересное. Ведь в исковом заявлении Citibank указал, как именно корпоративные секреты покинули интрасеть. Дело в том, что инсайдеры ни от кого не скрывались и пересылали информацию просто по электронной почте. В начале руководитель отдела собрал с подчиненных по почте приватные сведения клиентов, а потом выслал их себе домой на персональный ящик. Естественно, далее этот список перекочевал к новому работодателю.

Утечка интеллектуальной собственности из Acme Tele Power. Этот инцидент можно считать типовым. Итак, Acme Tele Power — преуспевающая индийская телекоммуникационная и технологическая компания. Бизнес строится на том, чтобы разрабатывать энергоемкие решения и продавать их телекомам, которые напрямую обслуживают потребителей. Компания добилась успеха благодаря своему отделу R&D, который постоянно выдает новые технологии, патенты и решения. Однако не все так гладко: есть конкурент — фирма Lamda Private Limited, продукты которой с недавнего времени стали очень похожи на решения Acme Tele Power.

В конце лета наиболее лояльные клиенты Acme Tele Power посоветовали компании присмотреться к своему конкуренту, продукты которого просто повторяют технологии этой фирмы. Инженеры присмотрелись и, действительно, обнаружили полное сходство. Начали исследовать журналы событий на сервере, где хранятся все результаты проектов R&D. Оказалось, что в апреле 2006 года один помощник менеджера скачал с сервера все патенты, результаты всех инновационных проектов и другую интеллектуальную собственность, а потом просто отослал всю эту информацию на свой персональный e-mail. Дальнейшее расследование показало, что в этом участвовал еще один инсайдер (один из директоров). Однако факт остается фактом — все секреты Acme Tele Power были за хорошие деньги проданы конкуренту — Lamda Private Limited.

По оценкам Ernst&Young, прямые финансовые убытки Acme составили 166 млн долларов. Любопытно, что интеллектуальная собственность утекла самым обычным способом — по электронной почте. Теперь компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию.

Не забудьте о репутации

Анализ самых громких инсайдерских инцидентов 2006 года показывает, что компании и госструктуры постоянно сталкиваются с внутренней угрозой. Каждая громкая утечка приводит к ухудшению имиджа компании, муссированию этой темы в прессе и плохому паблисити. Опыт показывает, что бизнес и чиновники недооценивают репутационные риски, вызываемые инсайдерскими инцидентами. Между тем, анализ годовых финансовых отчетов тех компаний, которые зафиксировали громкие утечки более 12 месяцев назад, показывает, что ухудшение имиджа может привести к снижению чистой прибыли на 20-30% в результате недополученного дохода, как это произошло, например, с компанией ChoicePoint, допустившей утечку в 2005 году.

Таким образом, руководству следует крайне серьезно подходить к проблеме инсайдеров и утечек. Не стоит забывать, что профилактика проблемы намного лучше ее лечения. Ну, а оказаться в подобном списке TOP-10 и врагу не пожелаешь.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS