Отчеты об утечках

Глобальное исследование утечек 2006

Аналитический центр InfoWatch подводит итоги ушедшего года и представляет первое глобальное исследование инцидентов внутренней информационной безопасности (ИБ). Целью проекта было проанализировать все утечки конфиденциальных или персональных данных, случаи саботажа или халатности служащих, а также другие инциденты внутренней ИБ, хотя бы раз в течение 2006 года упоминавшихся в СМИ. Глобальный характер исследования проявляется в том, что анализу подверглись внутренние нарушения вне зависимости от географической привязки компаний или госструктур, ставших жертвами инсайдеров. Таким образом, выявленные закономерности и тенденции одинаково применимы для компаний всех отраслей и стран.

Отметим, что это первый глобальный проект, направленный на исследование инцидентов внутренней ИБ. В 2004 году аналитический центр InfoWatch компании приступил к формированию базы инцидентов. На сегодняшний день база содержит около 500 записей, из которых 145 было добавлено в течение 2006 года. Именно этот массив инцидентов послужил исходными данными для исследования.

Полученные результаты призваны органично дополнить масштабное исследование «Внутренние ИТ-угрозы в России 2006», в рамках которого компания InfoWatch и ее партнеры опросили более 1450 российских компаний. Однако в отличие от только что указанного проекта, «Глобальное исследование утечек 2006» позволяет выявить объективные тенденции развития внутренних угроз ИБ и обстоятельства такого рода нарушений.

Ключевые выводы

  • Именно бизнес больше всего страдает от утечек конфиденциальной информации. По результатам исследования, 66% внутренних инцидентов пришлось на частные предприятия. Более того, бизнес несет и основное бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит от ее репутации, а именно по ней утечка наносит удар в первую очередь.
  • В 2006 году от утечек информации пострадало просто огромное число граждан. Всего полторы сотни инцидентов поставили под угрозу кражи личности более 80 млн. человек. Многие из них теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю.
  • Каждая утечка персональных данных оборачивается миллионными убытками (в долларах). Помимо финансового ущерба, непоправимо ухудшается репутация компании, под угрозой кражи личности оказываются сотни тысяч людей. В среднем, от каждой утечки приватной информации в 2006 пострадало 785 тыс. человек.
  • Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска. Использование именно мобильных устройств в половине всех инцидентов (50%) привело к утечке информации в то время, как Интернет использовался в качестве канала утечки всего в 12% случаев.
  • Наибольшую опасность для бизнеса представляют безалаберные сотрудники. По причине халатности в 2006 году произошло подавляющее большинство (77%) всех утечек. Таким образом, инсайдеры могут найтись в любом коллективе.

Откуда утекает информация

Исследование 145 инцидентов внутренней ИБ показало, что утечки носят глобальный характер. Невозможно выделить ни сферу деятельности, ни географический регион, где бы компании не пострадали от инсайдеров вообще или страдали не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения — все эти организации зафиксировали массу утечек в 2006 году. Инсайдеры поставили под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы. Все те же мобильные устройства, все тот же Интернет. В результате информация под грифом «секретно» неоднократно оказывалась в свободном доступе в Интернете, у журналистов или иностранных государств.

На рис. 1 представлено распределение инцидентов внутренней IT-безопасности по государственному и коммерческому секторам. Легко видеть, что на долю частных предприятий приходится в 2 раза больше утечек, случаев саботажа и др. инцидентов, чем на госструктуры. Это можно объяснить несколькими обстоятельствами. Во-первых, количество частных организаций значительно превышает число государственных. Во-вторых, госструктурам легче скрыть факт утечки. Ведь нередко именно регулирующий орган допускает внутренний инцидент ИБ. Таким образом, возникает проблема отсутствия контроля над контролером (регулятором). Вместе с тем, о фактах кражи информации из госструктур иногда становится известно. Это происходит либо когда инцидент просто невозможно утаить, либо когда требуется провести показательное дело с наказанием виновных. К примеру, в течение многих лет правительство США умалчивало о случаях нарушениях внутренней ИБ. А теперь одна за другой появляются новости об утечках и дырах системах безопасности. Одним из последних в ноябре 2006 Налоговое управление США сообщило о пропаже почти 500 ноутбуков за последние 4 года.

Положение коммерческих предприятий ухудшает не только большое число утечек, но еще и повышенный ущерб от каждой из них. Если рассмотреть потери вследствие утечек, то основные убытки фирмы несут из-за ухудшения репутации или снижения привлекательности торговой марки. Для госструктур подобная проблема не столь актуальна. На конкурентном рынке представлено много игроков, и клиенты могут легко сменить запятнавшего себя поставщика, но альтернативы собственной стране и ее министерствам просто нет. К примеру, налоговая служба допустила утечку большого количества данных предприятий или частных лиц. Население будет крайне недовольно случившимся. Но от услуг государства отказаться не сможет в принципе.

Природа утечек

Инсайдеры крадут любую конфиденциальную информацию. Однако, как выявило исследование (см. рис. 2), персональные данные становятся объектом утечки в несколько раз чаще любой другой информации. Хотя интеллектуальная собственность, коммерческие и промышленные секреты представляют собой несомненную ценность, именно приватные данные чаще всего становятся добычей инсайдеров.

Между тем, оба типа утечек, когда крадут персональные данные клиентов или секреты фирмы, очень опасны для бизнеса. Исследование однозначно показывает, что в результате хищения приватных данных, страдает несравнимо большее количество людей. На рис. 3 сравниваются суммарное количество пострадавших от утечек за весь 2006 год и среднее число жертв в каждой утечке персональных данных. Как оказалось, каждый инцидент ИБ, где раскрывается частная информация граждан, угрожает кражей личности в среднем 785 тыс. граждан.

На рис. 4 представлены доли утечек, приходящиеся на различное число пострадавших. Как оказалось наибольшее число инцидентов затронуло относительно малочисленные группы. Например, 33% утечек нанесли вред только до 5 тыс. граждан, 28% от 5 тыс. до 50 тыс. Однако, как уже известно, среднее число пострадавших равно 785 тыс., что намного больше указанных выше цифр. Дело в том, что огромное влияние на этот усредненный показатель оказали сверхкрупные утечки персональных данных, произошедшие в 2006 году. Прежде всего, на память приходит майская утечка из Министерства по делам ветеранов в США.

Пути утечек

Наиболее важный вопрос — как именно информация утекает чаще всего. Чтобы бороться с утечками, необходимо, прежде всего, идентифицировать каналы утечки. Причем, если специалистам по ИБ нужно для этого время, то инсайдеры чаще всего уже знают, как именно можно украсть документ. Так что эффективная система защиты должна перекрыть все возможные лазейки. Обратимся к результатам исследования на этот счет (см. рис. 5).

Наибольшее количество утечек (50%) произошло через мобильные устройства (ноутбуки, КПК, USB-флэшки, CD и DVD-диски и др.). Компактность мобильных устройств, помимо всех очевидных преимуществ, имеет и менее заметный недостаток в отношении защиты информации. Будь то ноутбук, КПК или флэш-карта, это устройство очень легко потерять или спрятать. Вследствие непреднамеренной потери носителя конфиденциальные данные попадают к неизвестным людям, которые распоряжаются ими по своему усмотрению. В то же время внутренние нарушители легко спрячут маленький носитель и вынесут данные с рабочего места.

Второй по распространенности канал утечек — это Интернет (12%). Интернет не так популярен, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину. Кроме того, 5% инцидентов произошло через неправильно утилизированные или утерянные резервные носители. По 3% пришлись на электронные послания и факсы, а также на почту. 17% инцидентов внутренней ИБ произошли по другим каналам, например, утечка вследствие аутсорсинга неблагонадежному партнеру. В 10% случаях не удалось выяснить, каким образом была украдена информация.

Корыстные инсайдеры — лишь одна из категорий недобросовестных работников. Данное исследование показывает (см. рис. 6), что по вине безалаберных сотрудников происходит значительно больше утечек (77%). Главная причина инцидентов внутренней ИБ — невыполнение должностных инструкций, либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами и поставляют конфиденциальную информацию недоброжелателям, которые манипулируют ими с помощью методов социальной инженерии. Эти результаты лишний раз подчеркивают, что инсайдеры могут быть в любом коллективе.

Крупнейшие утечки года

В подтверждение тезиса о крупнейших за всю историю утечках, приведем ниже пятерку самых громких утечек прошедшего года (см. табл. 1). Количество пострадавших от пяти перечисленных инцидентов составило без малого 50 млн. человек.

Инцидент Дата инцидента Количество пострадавших Дополнительная информация
1. Фирма Gratis Internet собрала через Интернет персональные данные 7 млн. американцев, а впоследствии перепродала сведения третьим фирмам. Март 2006 7 млн человек Подробнее
2. Утечка персональных данных ветеранов и военнослужащих вооруженных сил США. Май 2006 28,7 млн человек Подробнее
3. Одна из фирм-подрядчиков Texas Guaranteed потеряла лэптоп с персональными данными клиентов TG. Май 2006 1,3 млн человек Подробнее
4. Похищен ноутбук сотрудника Nationwide Building Society. На компьютере находились частные сведения 11 млн. членов общества. Август 2006 11 млн человек Подробнее
5. Из офиса Affiliated Computer Services (ACS) украден мобильный компьютер с персональными данными клиентов компании. Октябрь 2006 1,4 млн человек Подробнее

Таблица 1. Топ-5 крупнейших утечек информации в 2006 году.

Например, в США 3 мая 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск. В результате в руках недоброжелателей оказались персональные данные 26,5 млн. ветеранов и 2,2 млн. нынешних военнослужащих.

Крупнейшая утечка в Британии произошла в августе 2006 года. Неизвестные проникли в дом одного из сотрудников Nationwide Building Society и украли ноутбук с незашифрованной информацией о клиентах компании. Под угрозу кражи личности попали 11 млн. человек. Компания Nationwide сразу известила полицию, но оперативные розыскные мероприятия ничего не дали. Спустя 3 месяца компания начала рассылать уведомления потерпевшим.

Остальные утечки, хотя и не такие крупные, нанесли ущерб миллионам людей. Обращает на себя внимание факт, что в 4 из 5 самых крупных инцидентов информация пропала с мобильных компьютеров. В тех же самых случаях причиной является небрежное отношение работников к закрытым данным. Например, в случае с американскими ветеранами, сотрудник не должен был хранить украденной секретной информации дома. Еще более грубым нарушением норм ИБ является то, что всякий раз файлы на мобильных носителях пребывали незашифрованными.

Заключение

2006 превзошел все предыдущие года и по количеству инцидентов внутренней ИБ и по масштабу убытков. Произошло сразу несколько крупнейших за всю историю утечек. В их числе пропажа персональных данных о 28,7 млн. военнослужащих и ветеранов вооруженных сил из министерства по делам ветеранов США, а также утечка приватной информации об 11 млн. членов британской Nationwide Building Society. Все это дает основания назвать ушедший год «годом утечек».

Сами по себе цифры в десятки миллионов пострадавших людей и миллиарды долларов экономического ущерба выглядят устрашающе. Одновременно печальные примеры беспечных организаций должны послужить стимулирующим фактором для организаций. В то же самое время, несмотря на все плохие новости, в отрасли отмечаются положительные сдвиги. Руководители компаний уже начинают осознавать всю серьезность проблемы утечек. В немалой степени этому способствует популярность и широкое внедрение различных иностранных и международных стандартов и законодательных актов. Приятно отметить, что и в России, наконец, приняли федеральный закон «О персональных данных». Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными.

Таковы итоги 2006 года. Хочется надеяться, что наступивший 2007 станет переломным этапом в отношении внутренних угроз. В данный момент большинство компаний уже обратили внимание на бреши в системах защиты, которые позволяют конфиденциальным сведениям легко покидать периметр организации. Остается лишь найти лучшее решение и внедрить необходимые комплексы.

Глобальное исследование утечек 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике