С каждым месяцем проблема утечек персональных данных становится все более актуальной. Несмотря на то, что август традиционно считается сезоном отпусков и падения бизнес-активности, за этот период было зафиксировано 39 публичных утечек информации – то есть более одного инцидента в день.
Количество утечек личной информации неуклонно растет. Так, за предыдущий месяц компанией Perimetrix было зафиксировано 39 таких инцидентов. Для сравнения: за весь 2005 год американских центр исследования преступлений в области кражи персональных данных (Identity theft resource center, ITRC) сообщил о 158 утечках (в среднем это 13 в месяц).
По данным исследования, самой популярной причиной утечки информации является кража или потеря компьютерного оборудования – на нее приходится 36% всех зарегистрированных инцидентов. Большинство утечек из этой категории – это банальные кражи ноутбуков у сотрудников различных компаний. На компьютерах часто присутствует секретная информация, которая в случае кражи часто попадает в руки злоумышленников. Единственный способ защиты от такого рода инцидентов – шифрование – до сих пор применяется сравнительно редко.
Очень часто причиной потери оборудования становится разгильдяйство логистических компаний, теряющих посылки с конфиденциальными носителями. Такие инциденты могут обернуться очень масштабными последствиями, особенно если перевозилась лента с корпоративными архивами.
Причины утечек информации, август 2008
Источник: Perimetrix, 2008
Второй по популярности категорией стали так называемые "веб-утечки" (15,38%) - публикация приватных сведений в общедоступных источниках (интернете или интранете). Удивительно, но эта угроза опередила такие "раскрученные" проблемы, как спланированный инсайд и внешние вторжения. По мнению специалистов компании Perimetrix, угроза веб-утечек серьезно недооценивается, и потому такие инциденты случаются достаточно часто.
На инциденты, связанные с промышленным шпионажем и инсайдом, пришлось почти 13% всех зафиксированных утечек. С одной стороны, эту долю нельзя назвать критически большой, с другой – именно инсайдерские инциденты, как правило, оказываются наиболее масштабными. Так, в нынешнем августе случилось сразу две инсайдерских утечки-миллионика: в американской ипотечной фирме Countrywide и крупном немецком операторе Deutsche Telekom.
Оставшиеся типы утечек – хакерские вторжения, а также почтовые и бумажные утечки – значительно менее опасны. Первая угроза (хакеры) труднореализуема на практике и перегрета в прессе, а почтовые и бумажные утечки предполагают компрометацию информации на бумажных носителях. Понятно, что количество сведений, которые могут быть скомпрометированы таким образом, не может быть слишком большим.
Распределение утечек по отраслям, август 2008
Отраслевое распределение утечек наглядно показывает масштаб проблемы и основные вертикальные группы риска. Особое внимание утечкам должны уделять госструктуры и финансовые организации, а также предприятия телекоммуникационной сферы. Последние допускают утечки не очень часто, однако практически каждый инцидент такого рода приводит к весьма плачевным последствиям.
Отдельно хочется сказать о категории "другая отрасль", на которую пришлась пятая часть всех случившихся инцидентов. Среди предприятий, попавших в эту категорию, присутствовали авиакомпании, нефтедобытчики и даже производственные конгломераты. В общей сложности только за август утечки допустили фирмы 11 отраслей, а значит – от них не застрахована практически ни одна организация.
Крупнейшие утечки августа
| Организация | Пострадавшие | Скомпрометированные | Описание утечки |
| Английские банки и платежные системы (American Express, NatWest и Royal Bank of Scotland) | Клиенты банков и платежных систем "несколько миллионов" человек | Имена, адреса, номера телефонов и банковских счетов, номера кредитных карт и даже подлинные подписи | ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman) купил на аукционе eBay компьютер, содержавший конфиденциальные банковские записи более 1 млн. клиентов American Express, NatWest и Royal Bank of Scotland. Несмотря на то, что такая база данных стоит на черном рынке миллионы долларов, компьютер был продан по цене в ?35. |
| Deutsche Telekom, крупнейший немецкий оператор | 30 млн клиентов Deutsche Telekom | "Персональные сведения" клиентов Deutsche Telekom | Deutsche Telekom намерен обратиться в прокуратуру Бонна с иском в отношении одного из собственных call-центров, который нелегально воспользовался базами данных концерна |
| Нефтяная компания Лукойл | Все миноритарные акционеры "Лукойл" | Контактная информация акционеров, а также размеры их пакетов | "Лукойл" ведет расследование утечки информации о своих акционерах. Об утечке стало известно после почтовой рассылки, которую провела некая кемеровская компания "Интеллект-Капитал" |
| Ирландское министерство семьи и социальных проблем | Участники программ социального обеспечения (социально незащищенные граждане), 380 тыс. человек | Имя, персональный сервисный номер (ирландский аналог номера социального страхования) и другие данные | Информация участников социальных программ хранилась на ноутбуке министерства, который был украден в результате вторжения в офис генерального аудитора Ирландии |
| Countrywide Financial Corporation, крупная американская ипотечная компания | Клиенты и соискатели ипотечных кредитов, в общей сложности 2 млн человек | Имена, адреса, номера социального страхования и другая персональная информация | Старший финансовый аналитик Countrywide копировал персональную информацию на свою личную флешку с целью дальнейшей перепродажи. В настоящее время он задержан вместе с подельником |
Источник: Perimetrix, 2008
Еще один инцидент, обнаруженный в августе, стоит особняком. У компании "Гротек" украли не совсем обычные "персональные данные". А именно программу конференции "Персональные данные", намеченной на 24 сентября. Конференции-клоны, организованные компаниями из смежных отраслей, едва ли будут популярными среди специалистов по информационной безопасности, однако сам факт копирования идей по данной теме говорит о том, что операторов персональных данных волнуют одни и те же проблемы.
Это подтверждает и программный директор конференции "Персональные данные" Мария Калугина. "Несмотря на очевидный плагиат, мы были рады увидеть свою программу, задекларированную другими компаниями", - рассуждает Мария. - "Это указывает на то, что подняты очень правильные и актуальные вопросы. Как трактовать закон, как выполнять, какая должна возлагаться ответственность за его невыполнение".
Сам ФЗ "О персональных данных" был создан и принят в ответ на растущую проблему утечек и неправомерного использования конфиденциальных сведений для того, чтобы защитить владельцев персональных данных - обычных граждан. Однако до сих пор он дает больше вопросов, нежели ответов.
Автор: Владимир Ульянов
