Отчеты об утечках

Утечки за 9 месяцев 2008 года

Исследование аналитического центра компании InfoWatch по утечкам конфиденциальной информации за 9 месяцев 2008 г.

Введение

Аналитический центр InfoWatch представляет очередное глобальное исследование инцидентов внутренней информационной безопасности. Целью проекта было проанализировать все утечки конфиденциальной информации (в том числе, персональных данных), упоминавшиеся в СМИ. Анализировались инциденты во всех странах мира и во всех отраслях.

Всего за отчётный период зафиксировано 249 инцидентов, то есть, более чем по одному инциденту в день. Если просуммировать общее число записей персональных данных (почти всегда сообщается о том, сколько человек затрагивает утечка), то получится 106 996 883 записей или 390 500 записей в день (строго говоря, прямое суммирование не совсем корректно, поскольку два разных инцидента могут касаться одного и того же лица, но вероятность этого совпадения мала). То есть, можно сказать, что утечки затронули интересы более 100 миллионов человек.

Как утекает информация

Все причины утечки поделены нами на умышленные и неумышленные (случайные). Достаточно распространены кражи компьютерной техники; в таком случае утечка считается случайной, если есть достаточные основания полагать, что целью вора была материальная часть похищенной техники, а не информация на ней.

 

Таблица 1. Причины утечки информации (9мес. 2008)

Причина утечки Количество
инцидентов
Доля от общего
количества
Намеренные 92 36,9%
Случайные 124 49,8%
Не установлено 33 13,3%

Как и в прошлые периоды, количество случайных утечек существенно больше. Но их процент несколько снизился. Снижение это мы склонны относить на изменение политики учёта. Мы стали более критически относиться к сообщениям прессы, в которых излагаются обстоятельства инцидентов. Часто невозможно чётко установить, была ли утечка действительно случайная (обусловленная небрежностью, беспечностью, неблагоприятным стечением обстоятельств), или такое заявление призвано покрыть злой умысел. Если раньше подобные сомнительные случаи учитывались в разделе «случайные утечки», то ныне они помечаются как «причина не установлена».

Несмотря на изменение статистики, по-прежнему можно уверенно утверждать, что приоритетной задачей является борьба с ненамеренными утечками информации. Поскольку противодействовать таким утечкам проще, дешевле, а в результате покрывается бо́льшая часть инцидентов.
Борьба с намеренными утечками – задача более сложная. Эффективность такой борьбы будет заведомо ниже, поскольку предстоит столкнуться с противодействием злонамеренных инсайдеров. А доля соответствующих утечек сильно меньше половины.

Откуда утекает информация

Источники утечек, разделены на три категории: государственные, коммерческие и прочие. В последнюю категорию включены все учебные заведения. Хотя формально школы и вузы могут числиться «коммерческими» или государственными. Традиционно учебные заведения довольно сильно отличаются по принятым в них порядкам как от производственных предприятий, так и от государственных органов.


 

Таблица 2. Распределение утечек по типу организации (9мес. 2008)

Тип организации Количество
инцидентов
Доля
Коммерческие 120 48%
Государственные 50 20%
Образовательные и общественные 78 31%
Не установлено 1 1%

Таблица 3. Распределение по типу организации для умышленных утечек (9мес. 2008)

Тип организации Количество
инцидентов
Доля
Коммерческие 45 49%
Государственные 17 18%
Образовательные и общественные 30 33%


 

Таблица 4. Распределение по типу организации для случайных утечек (9мес. 2008)

Тип организации Количество
инцидентов
Доля
Коммерческие 61 49%
Государственные 23 19%
Образовательные и общественные 39 31%
Не установлено 1 1%

Распределение мало изменилось по сравнению с первым полугодием 2008 и даже по сравнению с 2007 годом.

Меры по предотвращению утечек конфиденциальной информации предпринимаются как в государственных, так и в коммерческих информационных системах. В вузах эти меры также вводятся, правда, за неимением денег там упор делается не на технические средства, а на организационные. Как видим (сравнивая данные 2007 года и первого полугодия 2008), доля образовательных учреждений растёт, но медленно. Это означает, что с утечками можно бороться при различном уровне финансирования.
Следующая таблица иллюстрирует латентность утечек персональных данных.

Таблица 5. латентность утечек персональных данных (9мес. 2008)

Страна Число утечек Доля Утечек на млн.
населения
AU 1 0,40% 0,050
CA 5 2,01% 0,154
CL 1 0,40% 0,064
CN 3 1,20% 0,002
DE 2 0,80% 0,024
FR 1 0,40% 0,017
GB 23 9,24% 0,382
IE 3 1,20% 0,500
IN 1 0,40% 0,001
IT 2 0,80% 0,034
KR 3 1,20% 0,062
RU 4 1,61% 0,028
US 192 77,11% 0,655
Другие 7 2,81%  

Последний показатель – число утечек в расчёте на 1 миллион населения – для стран, где учёт поставлен нормально, изменился мало. По-прежнему можно сказать, что приблизительно происходит 1 утечка в год на каждый миллион.

Естественно, в этой цифре учтены лишь те утечки, которые стали достоянием гласности. По нашим оценкам, латентных утечек происходит примерно ещё столько же. А в тех странах, где учёт поставлен не так строго, как можно заключить из сравнения показателей, латентность значительно выше. Там большинство утечек конфиденциальной информации скрывается от публики.

Какая информация утекает

Ниже представлено распределение утечек по типу разглашённой информации. Наверное, следует ещё раз подчеркнуть, что все факты собираются из сообщений прессы, которая пишет в основном о персональных данных. Поэтому существенной статистики по иным видам конфиденциальной информации ожидать не приходится.


 

Таблица 6. Распределение инцидентов по типу конфиденциальной информации (9 мес. 2008).

Тип данных Количество
инцидентов
Доля
Персональные данные 239 96%
Коммерческая тайна, ноу-хау 4 2%
Государственная, военная тайна 2 1%
Не установлено 4 2%

Факт утечки государственной тайны сам вполне может являться государственной тайной. Аналогично и с тайной коммерческой. Зато утечка персональных данных обычно оглашается при первой возможности. Для СМИ это удачная тема, поскольку каждый читатель/зритель без малейшего труда ассоциирует себя с жертвой такой утечки. Следовательно, читает/смотрит материал заинтересованно.

Каналы утечек

Ниже показано распределение утечек по носителю. То есть, при помощи какого носителя (канала) конфиденциальная информация пересекла охраняемый периметр. Ниже, после общего распределения показано то же распределение по носителям отдельно для умышленных и для случайных утечек.


 

Таблица 7. Распределение утечек по носителям (9 мес. 2008)

Носители Количество
инцидентов
Доля
Мобильные носители информации 63 0,40%
Стационарный компьютер или диск 31 2,01%
Сеть (в т.ч. Интернет) 72 0,40%
Электронная почта, факс 9 1,20%
Бумажный документ 22 0,80%
Архивная копия 8 0,40%
Другое 9 9,24%
Не установлено 35 1,20%

Больше всего данных утекло через сеть (чего и следовало ожидать), а на втором месте – переносные компьютеры. Их теряют и крадут. Крадут и теряют. Постоянно возрастающими темпами. В этот раз мы решили, что логично будет объединить переносные компьютеры с отчуждаемыми носителями (CD, DVD, флэшки) и назвать это «мобильные носители информации». Данная категория почти сравнялась с утечками через сеть (25 против 29%). Для случайных утечек «мобильные носители» не только догоняют, но и уверенно опережают утечки через сеть (15 против 12%).

О чём это говорит? Где дешевеет, там и течёт – вот о чём. Трафик в частности и услуги связи в целом за последнее время подешевели, но не сильно. Зато мобильные носители информации – очень сильно. Гигабайтные флэшки продаются в газетных киосках как карандаши. В метро читающих книги стало меньше, чем читающих наладонники. Именно удешевление портативных компьютеров и иных носителей информации привело к росту доли «мобильных» утечек.


 

Таблица 8. Распределение по носителям для умышленных утечек (9 мес. 2008)

Носители Количество
инцидентов
Доля
Мобильные носители информации 14 15%
Стационарный компьютер или диск 13 14%
Сеть (в т.ч. Интернет) 38 41%
Paper document 2 2%
Другое 6 7%
Не установлено 19 21%


 

Таблица 9. Распределение по носителям для случайных утечек (9 мес. 2008)

Носители Количество
инцидентов
Доля
Мобильные носители информации 37 30%
Стационарный компьютер или диск 16 13%
Сеть (в т.ч. Интернет) 30 24%
Электронная почта, факс 9 7%
Бумажный документ 16 13%
Резервная копия 5 4%
Другое 3 2%
Не установлено 8 6%

На что хотелось бы обратить внимание в этих двух диаграммах? На те категории, которые особо сильно различаются. Наибольшая разница между умышленными и случайными утечками наблюдается (помимо мобильных носителей, что обсуждалось выше) для электронной почты и бумажных документов. Умышленных краж конфиденциальной информации с использованием электронной почты не зафиксировано вообще.
В предыдущем отчёте мы упоминали, что отправить электронное сообщение (да ещё и с приложением «тяжёлого» документа) не тому адресату – довольно затруднительно. Но, оказывается, возможно. Особенно учитывая современную моду, введённую известной софтверной корпорацией, не показывать пользователю адрес электронной почты, когда в поле «To:» или «From:» видно только имя.

Оказалось, что ни один из злоумышленников этого года (во всяком случае, ни один из выявленных злоумышленников) не пожелал воспользоваться таким способом, как электронная почта. Таким, казалось бы, простейшим, очевидным, напрашивающимся способом. Инсайдеры предпочитали иные каналы: HTTP, флэшки, переносные диски, даже бумагу. Но только не электронную почту. Отчего? Нетрудно догадаться. Легче переслать – легче и проконтролировать. Когда служба безопасности замышляет учинить перлюстрацию трафика предприятия, начинают, как правило, именно с электронной почты. Зачастую ей и заканчивают.

Вывод, который напрашивается из показанной статистики. Время утечек через e-mail прошло. Если ваша система защиты от утечек проверяет только электронную почту, она почти бесполезна (эффективность 3,5%). Настоящая DLP-система должна контролировать HTTP, ICQ, запись на флэшки, на CD/DVD, распечатку на принтере. Но и этого недостаточно. Чтобы закрыть самые распространённые бреши, надо ещё зашифровать данные на дисках мобильных компьютеров.

Выводы

В первую очередь следует бороться с ненамеренными утечками конфиденциальной информации.
Вследствие падения цен на мобильные компьютеры и мобильные носители информации медленно растёт доля утечек, связанных с ними.

Латентность утечек по-прежнему велика. Ниже всего она в США.

Утечки за 9 месяцев 2008 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике