Инсайдеры разбушевались

Компания InfoWatch опубликовала обзор действий инсайдеров и прочих инцидентов внутренней информбезопасности за апрель нынешнего года. Выводы экспертов достаточно тревожны: на протяжении уже двух лет каждый последующий месяц приносит больше утечек конфиденциальных данных, чем предыдущий. Одновременно растет активность инсайдеров. При этом, кроме того, что постепенно увеличиваются общие убытки вследствие утечек информации, также растут и максимальные размеры отдельных утечек. Утечки с ущербом в несколько десятков миллионов долларов уже перестали быть чем-то из ряда вон выходящим.

В одних только США за апрель 2007-го было зарегистрировано больше двух десятков крупных утечек информации; число пострадавших приближается к 3,5 млн. человек. Но еще больше шокируют цифры коммерческого ущерба. Например, компания NCsoft из-за инсайдерских действий ряда программистов потеряла разом миллиард долларов! А компания Affiliated Computer Services (ACS), утратившая важные приватные данные из-за собственного разгильдяйства, сама себя наказала на сумму свыше 500 млн. USD. И эти два случая заслуживают того, чтобы их рассмотреть подробно.

Фатальной для разработчика NСsoft стала утечка программного кода новой игры Lineage III. Собственно, проблемы с инсайдерами там начались еще осенью 2006 года, когда были выявлены первые утечки служебной информации "на сторону". Тогда владельцы компании действовали радикально: уволили руководителя проекта и внесли коренные изменения во внутренний распорядок. Но уволенный руководитель пользовался у программистов NСsoft большим авторитетом, и в результате вслед за лидером команды компанию покинуло немало разработчиков. А в апреле семеро программистов перед увольнением попросту скопировали код новой игры, после чего связались с конкурирующей японской фирмой и продали ей исходники. Теперь руководство NCsoft оценивает убыток в сумму более миллиарда долларов, что сопоставимо с продажами двух предыдущих версий игры.

В свою очередь, компания Affiliated Computer Services окончательно угробила свою репутацию. Дело в том, что ACS в прошлые годы уже "отличилась" рядом громких утечек. Пренебрежение нормами информационной безопасности привело к тому, что в 2004 году компания даже потеряла выгодный контракт с правительством США. Однако впоследствии сотрудничество продолжилось - до нынешнего апреля, когда сотрудники ACS умудрились отправить по почте незащищенный диск с приватными данными жителей штата Джорджия. Почта этот диск благополучно потеряла, и кто-то теперь владеет личной информацией почти что трех миллионов жителей штата. На данный момент ущерб оценен в 510 млн. USD.

Конечно, от действий инсайдеров не застрахована ни одна организация. Однако далеко не все утечки конфиденциальных данных - результат целенаправленных действий внутренних злоумышленников. Часто срабатывает простейший "человеческий фактор" - сотрудники теряют носители информации (чаще всего CD или DVD) или ноутбуки (последние еще часто крадут). Скандал разгорается обычно в случае, когда хранившиеся на носителе ценные файлы не были зашифрованы.

На третьем месте по распространенности, по оценке специалистов InfoWatch, находятся утечки данных через WWW. Как правило, хакеров провоцируют обнаруженные ими на сайтах уязвимости, которые позволяют получить доступ к данным. Но еще чаще, как отмечают исследователи, конфиденциальная информация попросту оказывается в свободном пользовании. Бывает, что администраторы сайтов выкладывают ценные данные в открытый доступ по ошибке, а бывает, что приватные данные размещают временно, но потом забывают убрать. Выходит так, что поисковые машины оперативно индексируют содержимое доступных страниц и сохраняют данные в своем кэше. В результате информация оказывается доступна пользователям интернета даже после того, как оригинальную страницу убрали с сервера.

Ну и, наконец, последний серьезный канал утечки - неправильная утилизация документов с конфиденциальной информацией. Причем эта проблема в равной степени относится и к электронным носителям, и к бумагам.

Топ-10 инцидентов внутренней безопасности по версии InfoWatch, апрель, 2007
Инцидент Дата занесения в базу Число пострадавших Ущерб (USD)
1 Программисты-инсайдеры из NCsoft продали конкурентам программный код онлайновой игры Lineage III 25 апреля Нет данных 1 млрд.
2 Компания Affiliated Computer Services пересылала незащищенный диск с приватными данными жителей штата Джорджия. До адресата диск не дошел 9 апреля 2,9 млн. человек 510 млн.
3 У субподрядчика корпорации Neiman Marcus Group Inc. украли ноутбук с номерами социального страхования работников компании 27 апреля 160 тыс. человек 29 млн.
4 Bank of America потерял ноутбук с персональными данными работников 20 апреля 40 тыс. человек 13 млн.
5 В мусорном отстойнике колледжа на юго-западе Атланты обнаружены свыше 30 коробок с регистрационными формами избирателей 16 апреля 75 тыс. человек 10 млн.
6 На американском правительственном сайте в течение 10 лет размещались номера социального страхования большого количества фермеров 16 апреля 63 тыс. человек 8,8 млн.
7 Компания Caterpillar потеряла лэптоп с персональными данными работников 26 апреля 35 тыс. человек 6,1 млн.
8 Университет Калифорнии в Сан-Франциско допустил утечку из базы данных приватных сведений студентов 3 апреля 46 тыс. человек 5,5 млн.
9 Инсайдеры из чикагского Управления средними школами украли два ноутбука с данными о преподавателях 11 апреля 40 тыс. человек 5,3 млн.
10 Из базы данных университета Огайо просочились персональные данные о бывших и нынешних работниках ВУЗа 19 апреля 14 тыс. человек 2 млн.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

21 за 2007 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!