|
|
Утечки данных носят глобальный характер
Аналитический центр InfoWatch подводит итоги ушедшего года и представляет первое глобальное исследование инцидентов внутренней информационной безопасности (ИБ). Целью проекта было проанализировать все утечки конфиденциальных или персональных данных, случаи саботажа или халатности служащих, а также другие инциденты внутренней ИБ, хотя бы раз в течение 2006 года упоминавшихся в СМИ. Глобальный характер исследования проявляется в том, что анализу подверглись внутренние нарушения вне зависимости от географической привязки компаний или госструктур, ставших жертвами инсайдеров. Таким образом, выявленные закономерности и тенденции одинаково применимы для компаний всех отраслей и стран. Необходимо отметить, что это первый глобальный проект, направленный на исследование инцидентов внутренней ИБ. В 2004 году аналитический центр компании InfoWatch приступил к формированию базы инцидентов. На сегодняшний день база содержит около 500 записей, из которых 145 было добавлено в течение 2006 года. Именно этот массив инцидентов послужил исходными данными для исследования. Полученные результаты были призваны органично дополнить исследование «Внутренние Во-первых, именно бизнес больше всего страдает от утечек конфиденциальной информации. По результатам исследования, 66 % внутренних инцидентов пришлось на частные предприятия. Более того, бизнес несет и основное бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит от ее репутации, а именно по ней утечка наносит удар в первую очередь. И, наконец, наибольшую опасность для бизнеса представляют безалаберные сотрудники. По причине халатности в 2006 году произошло подавляющее большинство (77 %) всех утечек. Таким образом, инсайдеры могут найтись в любом коллективе. Откуда утекает информация Исследование 145 инцидентов внутренней ИБ показало, что утечки носят глобальный характер. Невозможно выделить ни сферу деятельности, ни географический регион, где бы компании не пострадали от инсайдеров вообще или страдали не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения — все эти организации зафиксировали массу утечек в 2006 году. Инсайдеры поставили под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы. Все те же мобильные устройства, все тот же интернет. В результате информация под грифом «секретно» неоднократно оказывалась в свободном доступе в интернете, у журналистов или иностранных государств. Утечки в государственном и частном секторе
На долю частных предприятий приходится в 2 раза больше утечек, случаев саботажа и др. инцидентов, чем на госструктуры. Это можно объяснить несколькими обстоятельствами. Положение коммерческих предприятий ухудшает не только большое число утечек, но еще и повышенный ущерб от каждой из них. Если рассмотреть потери вследствие утечек, то основные убытки фирмы несут Природа утечек Инсайдеры крадут любую конфиденциальную информацию. Однако, как выявило исследование, персональные данные становятся объектом утечки в несколько раз чаще любой другой информации. Хотя интеллектуальная собственность, коммерческие и промышленные секреты представляют собой несомненную ценность, именно приватные данные чаще всего становятся добычей инсайдеров. Объекты утечек
Между тем, оба типа утечек, когда крадут персональные данные клиентов или секреты фирмы, очень опасны для бизнеса. Исследование однозначно показывает, что в результате хищения приватных данных, страдает несравнимо большее количество людей. Как оказалось, каждый инцидент ИБ, где раскрывается частная информация граждан, угрожает кражей личности в среднем 785 тыс. граждан. Пострадавшие от утечки персональных данных и коммерческих секретов (чел.)
Наибольшее число инцидентов затронуло относительно малочисленные группы. Например, 33 % утечек нанесли вред до 5 тыс. граждан, 28 % от 5 тыс. до 50 тыс. Однако, как уже известно, среднее число пострадавших равно 785 тыс., что намного больше указанных выше цифр. Дело в том, что огромное влияние на этот усредненный показатель оказали сверхкрупные утечки персональных данных, произошедшие в 2006 году. Прежде всего, на память приходит майская утечка из Министерства по делам ветеранов в США. Структура утечек по числу пострадавших
Пути утечек Наиболее важный вопрос — как именно информация утекает чаще всего. Чтобы бороться с утечками, необходимо, прежде всего, идентифицировать каналы утечки. Причем, если специалистам по ИБ нужно для этого время, то инсайдеры чаще всего уже знают, как именно можно украсть документ. Так что эффективная система защиты должна перекрыть все возможные лазейки. Каналы утечек конфиденциальных данных
Наибольшее количество утечек (50 %) произошло через мобильные устройства (ноутбуки, КПК, Второй по распространенности канал утечек — это интернет (12 %). Глобальная сеть не так популярна, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину. Кроме того, 5 % инцидентов произошло через неправильно утилизированные или утерянные резервные носители. По 3 % пришлись на электронные послания и факсы, а также на почту. 17 % инцидентов внутренней ИБ произошли по другим каналам, например, утечка вследствие аутсорсинга неблагонадежному партнеру. В 10 % случаях не удалось выяснить, каким образом была украдена информация. Причина утечки
Корыстные инсайдеры — лишь одна из категорий недобросовестных работников. Данное исследование показывает, что по вине безалаберных сотрудников происходит значительно больше утечек (77 %). Главная причина инцидентов внутренней ИБ — невыполнение должностных инструкций, либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами и поставляют конфиденциальную информацию недоброжелателям, которые манипулируют ими с помощью методов социальной инженерии. Эти результаты лишний раз подчеркивают, что инсайдеры могут быть в любом коллективе. Крупнейшие утечки года В подтверждение тезиса о крупнейших за всю историю утечках, приведем ниже пятерку самых громких утечек прошедшего года. Количество пострадавших от пяти перечисленных инцидентов составило без малого 50 млн человек. Например, в США 3 мая 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск. В результате в руках недоброжелателей оказались персональные данные 26,5 млн ветеранов и 2,2 млн нынешних военнослужащих. Tоп 5 крупнейших утечек информации в 2006 году
Крупнейшая утечка в Британии произошла в августе 2006 года. Неизвестные проникли в дом одного из сотрудников Nationwide Building Society и украли ноутбук с незашифрованной информацией о клиентах компании. Под угрозу кражи личности попали 11 млн человек. Компания Nationwide сразу известила полицию, но оперативные розыскные мероприятия ничего не дали. Спустя 3 месяца компания начала рассылать уведомления потерпевшим. Остальные утечки, хотя и не такие крупные, нанесли ущерб миллионам людей. Обращает на себя внимание факт, что в 4 из 5 самых крупных инцидентов информация пропала с мобильных компьютеров. В тех же самых случаях причиной является небрежное отношение работников к закрытым данным. Например, в случае с американскими ветеранами, сотрудник не должен был хранить украденной секретной информации дома. Еще более грубым нарушением норм ИБ является то, что всякий раз файлы на мобильных носителях пребывали незашифрованными. *** 2006 превзошел все предыдущие года и по количеству инцидентов внутренней ИБ и по масштабу убытков. Произошло сразу несколько крупнейших за всю историю утечек. В их числе пропажа персональных данных о 28,7 млн военнослужащих и ветеранов вооруженных сил из министерства по делам ветеранов США, а также утечка приватной информации об 11 млн членов британской Nationwide Building Society. Все это дает основания назвать ушедший год «годом утечек». Сами по себе цифры в десятки миллионов пострадавших людей и миллиарды долларов экономического ущерба выглядят устрашающе. Одновременно печальные примеры беспечных организаций должны послужить стимулирующим фактором для организаций. В то же самое время, несмотря на все плохие новости, в отрасли отмечаются положительные сдвиги. Руководители компаний уже начинают осознавать всю серьезность проблемы утечек. В немалой степени этому способствует популярность и широкое внедрение различных иностранных и международных стандартов и законодательных актов. Приятно отметить, что и в России, наконец, приняли федеральный закон «О персональных данных». Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными. Хочется надеяться, что наступивший 2007 станет переломным этапом в отношении внутренних угроз. В данный момент большинство компаний уже обратили внимание на бреши в системах защиты, которые позволяют конфиденциальным сведениям легко покидать периметр организации. Остается лишь найти лучшее решение и внедрить необходимые комплексы. Алексей Доля |
От утечек данных продолжают страдать как частные лица, так и предприятия. Инциденты ставят под угрозу кражи личности. Компании несут миллионные убытки и серьезно рискуют своей репутацией. Невозможно выделить ни сферу деятельности, ни географический регион, где предприятия не пострадали бы от инсайдеров или страдали бы не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения — все эти организации зафиксировали массу утечек в 2006 году.
