Обозрение подготовлено

версия для печати
77% утечек происходят из-за халатности сотрудников

77% утечек происходят из-за халатности сотрудников

66% внутренних инцидентов приходится, по данным исследования InfoWatch, на частные предприятия. Бизнес несет и основное бремя ущерба вследствие утечек — конкурентоспособность компании зависит от репутации, а именно по ней утечка наносит удар в первую очередь. Наибольшую опасность для бизнеса представляют безалаберные сотрудники. Подавляющее большинство утечек (77%) происходят по причине халатности.

Целью глобального исследования инцидентов внутренней информационной безопасности аналитического центра InfoWatch было проанализировать все утечки конфиденциальных или персональных данных, случаи саботажа или халатности служащих, а также другие инциденты внутренней ИБ, хотя бы раз в течение 2006 года упоминавшихся в СМИ. Глобальный характер исследования проявляется в том, что анализу подверглись внутренние нарушения вне зависимости от географической привязки компаний или госструктур, ставших жертвами инсайдеров. Таким образом, выявленные закономерности и тенденции одинаково применимы для компаний всех отраслей и стран.

Именно бизнес больше всего страдает от утечек конфиденциальной информации — по результатам исследования, 66% внутренних инцидентов пришлось на частные предприятия. Более того, бизнес несет и основное бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит от ее репутации, а именно по ней утечка наносит удар в первую очередь.

В 2006 году от утечек информации пострадало просто огромное число граждан. Всего полторы сотни инцидентов поставили под угрозу кражи личности более 80 млн человек. Многие из них теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю. В среднем от каждой утечки приватной информации в 2006 пострадало 785 тыс. человек.

Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска. Использование именно мобильных устройств в половине всех инцидентов (50%) привело к утечке информации, в то время как интернет использовался в качестве канала утечки всего в 12% случаев. Наибольшую опасность для бизнеса представляют безалаберные сотрудники. По причине халатности в 2006 году произошло подавляющее большинство (77%) всех утечек. Таким образом, инсайдеры могут найтись в любом коллективе.

Откуда утекает информация

Исследование 145 инцидентов внутренней ИБ показало, что утечки носят глобальный характер. Невозможно выделить ни сферу деятельности, ни географический регион, где бы компании не пострадали от инсайдеров вообще или страдали не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения — все эти организации зафиксировали массу утечек в 2006 году. Инсайдеры поставили под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы. Все те же мобильные устройства, все тот же интернет. В результате информация под грифом «секретно» неоднократно оказывалась в свободном доступе в интернете, у журналистов или представителей иностранных государств.

Утечки в государственном и частном секторе

Утечки в государственном и частном секторе

Источник: InfoWatch, 2007

На долю частных предприятий приходится, по данным InfoWatch, в 2 раза больше утечек, случаев саботажа и др. инцидентов, чем на госструктуры. Это можно объяснить несколькими обстоятельствами. Во-первых, количество частных организаций значительно превышает число государственных. Во-вторых, госструктурам легче скрыть факт утечки. Ведь нередко именно регулирующий орган допускает внутренний инцидент ИБ. Таким образом, возникает проблема отсутствия контроля над контролером (регулятором). Вместе с тем, о фактах кражи информации из госструктур иногда становится известно. Это происходит либо когда инцидент просто  невозможно утаить, либо когда требуется провести показательное дело с наказанием виновных. К примеру, в течение многих лет правительство США умалчивало о случаях нарушениях внутренней ИБ. А теперь одна за другой появляются новости об утечках и дырах системах безопасности. Одним из последних в ноябре 2006 Налоговое управление США сообщило о пропаже почти 500 ноутбуков за последние 4 года.

Положение коммерческих предприятий ухудшает не только большое число утечек, но еще и повышенный ущерб от каждой из них. Если рассмотреть потери вследствие утечек, то основные убытки фирмы несут из-за ухудшения репутации или снижения привлекательности торговой марки. Для госструктур подобная проблема не столь актуальна. На конкурентном рынке представлено много игроков, и клиенты могут легко сменить запятнавшего себя поставщика, но альтернативы собственной стране и ее министерствам просто нет. К примеру, налоговая служба допустила утечку большого количества данных предприятий или частных лиц. Население будет крайне недовольно случившимся, но от услуг государства отказаться не сможет в принципе.

Природа утечек

Инсайдеры крадут любую конфиденциальную информацию. Однако, как выявило исследование, персональные данные становятся объектом утечки в несколько раз чаще любой другой информации. Хотя интеллектуальная собственность, коммерческие и промышленные секреты представляют собой несомненную ценность.

Объекты утечек

Объекты утечек

Источник: InfoWatch, 2007

Между тем, для бизнеса опасны оба типа утечек, когда крадут персональные данные клиентов или секреты фирмы. Исследование однозначно показывает, что в результате хищения приватных данных страдает несравнимо большее количество людей. Как оказалось, каждый инцидент ИБ, где раскрывается частная информация граждан, угрожает кражей личности в среднем 785 тыс. граждан.

Пострадавшие от утечки персональных данных и коммерческих секретов (чел.)

Пострадавшие от утечки персональных данных и коммерческих секретов (чел.)

Источник: InfoWatch, 2007

Наибольшее число инцидентов затронуло относительно малочисленные группы. Например, 33% утечек нанесли вред до 5 тыс. граждан, 28% — от 5 тыс. до 50 тыс. Однако, как уже известно, среднее число пострадавших равно 785 тыс., что намного больше указанных выше цифр. Дело в том, что огромное влияние на этот усредненный показатель оказали сверхкрупные утечки персональных данных, произошедшие в 2006 году. Прежде всего, на память приходит майская утечка из Министерства по делам ветеранов США.

Структура утечек по числу пострадавших

Структура утечек по числу пострадавших

Источник: InfoWatch, 2007

Пути утечек

Чтобы бороться с проблемой, необходимо, прежде всего, идентифицировать каналы утечки. Причем, если специалистам по ИБ нужно для этого время, то инсайдеры чаще всего уже знают, как именно можно украсть документ. Так что эффективная система защиты должна перекрыть все возможные лазейки.

Каналы утечек конфиденциальных данных

Каналы утечек конфиденциальных данных

Источник: InfoWatch, 2007

Наибольшее количество утечек (50%) произошло через мобильные устройства (ноутбуки, КПК, USB-флэшки, CD и DVD-диски и др.). Компактность мобильных устройств, помимо всех очевидных преимуществ, имеет и менее заметный недостаток в отношении защиты информации. Будь то ноутбук, КПК или флэш-карта, эти устройства легко потерять или спрятать. Вследствие непреднамеренной потери носителя конфиденциальные данные попадают к неизвестным людям, которые распоряжаются ими по своему усмотрению.  В то же время внутренние нарушители легко спрячут маленький носитель и вынесут данные с рабочего места.

Второй по распространенности канал утечек — это интернет (12%), который не так популярен, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину. Кроме того, 5% инцидентов произошло через неправильно утилизированные или утерянные резервные носители. По 3% пришлись на электронные послания и факсы, а также на почту. 17% инцидентов внутренней ИБ произошли по другим каналам — например, утечка вследствие аутсорсинга неблагонадежному партнеру. В 10% случаях не удалось выяснить, каким образом была украдена информация.

Причина утечки

Причина утечк

Источник: InfoWatch, 2007

Корыстные инсайдеры — лишь одна из категорий недобросовестных работников. Данное исследование показывает, что по вине безалаберных сотрудников происходит значительно больше утечек (77%). Главная причина инцидентов внутренней ИБ — невыполнение должностных инструкций, либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами и поставляют конфиденциальную информацию недоброжелателям, которые манипулируют ими с помощью методов социальной инженерии.

Крупнейшие утечки года

В подтверждение тезиса о крупнейших за всю историю утечках, приведем ниже пятерку самых громких утечек прошедшего года. Количество пострадавших от пяти перечисленных инцидентов составило без малого 50 млн человек.

TOP5 крупнейших утечек информации в 2006 году

Инцидент Дата инцидента Количество пострадавших
1. Фирма Gratis Internet собрала через Интернет персональные данные 7 млн. американцев, а впоследствии перепродала сведения третьим фирмам. Март 2006 г. 7 млн. человек
2. Утечка персональных данных ветеранов и военнослужащих вооруженных сил США. Май 2006 г. 28,7 млн. человек
3. Одна из фирм-подрядчиков Texas Guaranteed потеряла лэптоп с персональными данными клиентов TG. Май 2006 г. 1,3 млн. человек
4. Похищен ноутбук сотрудника Nationwide Building Society. На компьютере находились частные сведения 11 млн. членов общества. Август 2006 г. 11 млн. человек
5. Из офиса Affiliated Computer Services (ACS) украден мобильный компьютер с персональными данными клиентов компании. Октябрь 2006 г. 1,4 млн. человек

Источник: InfoWatch, 2007

Например, в США 3 мая 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск. В результате в руках недоброжелателей оказались персональные данные 26,5 млн ветеранов и 2,2 млн нынешних военнослужащих. Крупнейшая утечка в Британии произошла в августе 2006 года. Неизвестные проникли в дом одного из сотрудников Nationwide Building Society и украли ноутбук с незашифрованной информацией о клиентах компании. Под угрозу кражи личности попали 11 млн человек. Компания Nationwide сразу известила полицию, но оперативные розыскные мероприятия ничего не дали. Спустя 3 месяца компания начала рассылать уведомления потерпевшим.

Остальные утечки, хотя и не такие крупные, также нанесли ущерб миллионам людей. Обращает на себя внимание факт, что в 4 из 5 самых крупных инцидентов информация пропала с мобильных компьютеров. В тех же самых случаях причиной является небрежное отношение работников к закрытым данным. Например, в случае с американскими ветеранами, сотрудник не должен был хранить украденной секретной информации дома. Еще более грубым нарушением норм ИБ является то,  что всякий раз файлы на мобильных носителях пребывали незашифрованными.

2006 г. превзошел все предыдущие года и по количеству инцидентов внутренней ИБ, и по масштабу убытков. Произошло сразу несколько крупнейших за всю историю утечек. В их числе пропажа персональных данных о 28,7 млн. военнослужащих и ветеранов вооруженных сил из министерства по делам ветеранов США, а также утечка приватной информации об 11 млн членов британской Nationwide Building Society. Все это дает основания назвать ушедший год «годом утечек».

Сами по себе цифры в десятки миллионов пострадавших людей и миллиарды долларов экономического ущерба выглядят устрашающе. Одновременно печальные примеры беспечных организаций должны послужить стимулирующим фактором для организаций. В то же самое время,
несмотря на все плохие новости, в отрасли отмечаются положительные сдвиги. Руководители компаний уже начинают осознавать всю серьезность проблемы утечек. В немалой степени этому способствует популярность и широкое внедрение различных иностранных и международных стандартов и законодательных актов. Приятно отметить, что и в России, наконец, приняли федеральный закон «О персональных данных». Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными.

Алексей Доля

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS