Хроника крупнейших утечек. Август 2008
С каждым месяцем проблема утечек персональных данных становится все более актуальной. Несмотря на то, что август традиционно считается сезоном отпусков и падения бизнес-активности, за этот период было зафиксировано 39 публичных утечек информации – то есть более одного инцидента в день.На инциденты, связанные с промышленным шпионажем и инсайдом, пришлось почти 13% всех зафиксированных утечек. С одной стороны, эту долю нельзя назвать критически большой, с другой – именно инсайдерские инциденты, как правило, оказываются наиболее масштабными. Так, в нынешнем августе случилось сразу две инсайдерских утечки-миллионика: в американской ипотечной фирме Countrywide и крупном немецком операторе Deutsche Telekom.
Оставшиеся типы утечек – хакерские вторжения, а также почтовые и бумажные утечки – значительно менее опасны. Первая угроза (хакеры) труднореализуема на практике и перегрета в прессе, а почтовые и бумажные утечки предполагают компрометацию информации на бумажных носителях. Понятно, что количество сведений, которые могут быть скомпрометированы таким образом, не может быть слишком большим.
Распределение утечек по отраслям, август 2008
Источник: Perimetrix, 2008
Отраслевое распределение утечек наглядно показывает масштаб проблемы и основные вертикальные группы риска. Особое внимание утечкам должны уделять госструктуры и финансовые организации, а также предприятия телекоммуникационной сферы. Последние допускают утечки не очень часто, однако практически каждый инцидент такого рода приводит к весьма плачевным последствиям.
Отдельно хочется сказать о категории "другая отрасль", на которую пришлась пятая часть всех случившихся инцидентов. Среди предприятий, попавших в эту категорию, присутствовали авиакомпании, нефтедобытчики и даже производственные конгломераты. В общей сложности только за август утечки допустили фирмы 11 отраслей, а значит – от них не застрахована практически ни одна организация.
Крупнейшие утечки августа
Организация | Пострадавшие | Скомпрометированные | Описание утечки |
Английские банки и платежные системы (American Express, NatWest и Royal Bank of Scotland) | Клиенты банков и платежных систем "несколько миллионов" человек | Имена, адреса, номера телефонов и банковских счетов, номера кредитных карт и даже подлинные подписи | ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman) купил на аукционе eBay компьютер, содержавший конфиденциальные банковские записи более 1 млн. клиентов American Express, NatWest и Royal Bank of Scotland. Несмотря на то, что такая база данных стоит на черном рынке миллионы долларов, компьютер был продан по цене в ?35. |
Deutsche Telekom, крупнейший немецкий оператор | 30 млн клиентов Deutsche Telekom | "Персональные сведения" клиентов Deutsche Telekom | Deutsche Telekom намерен обратиться в прокуратуру Бонна с иском в отношении одного из собственных call-центров, который нелегально воспользовался базами данных концерна |
Нефтяная компания Лукойл | Все миноритарные акционеры "Лукойл" | Контактная информация акционеров, а также размеры их пакетов | "Лукойл" ведет расследование утечки информации о своих акционерах. Об утечке стало известно после почтовой рассылки, которую провела некая кемеровская компания "Интеллект-Капитал" |
Ирландское министерство семьи и социальных проблем | Участники программ социального обеспечения (социально незащищенные граждане), 380 тыс. человек | Имя, персональный сервисный номер (ирландский аналог номера социального страхования) и другие данные | Информация участников социальных программ хранилась на ноутбуке министерства, который был украден в результате вторжения в офис генерального аудитора Ирландии |
Countrywide Financial Corporation, крупная американская ипотечная компания | Клиенты и соискатели ипотечных кредитов, в общей сложности 2 млн человек | Имена, адреса, номера социального страхования и другая персональная информация | Старший финансовый аналитик Countrywide копировал персональную информацию на свою личную флешку с целью дальнейшей перепродажи. В настоящее время он задержан вместе с подельником |
Источник: Perimetrix, 2008
Еще один инцидент, обнаруженный в августе, стоит особняком. У компании "Гротек" украли не совсем обычные "персональные данные". А именно программу конференции "Персональные данные", намеченной на 24 сентября. Конференции-клоны, организованные компаниями из смежных отраслей, едва ли будут популярными среди специалистов по информационной безопасности, однако сам факт копирования идей по данной теме говорит о том, что операторов персональных данных волнуют одни и те же проблемы.
Это подтверждает и программный директор конференции "Персональные данные" Мария Калугина. "Несмотря на очевидный плагиат, мы были рады увидеть свою программу, задекларированную другими компаниями", - рассуждает Мария. - "Это указывает на то, что подняты очень правильные и актуальные вопросы. Как трактовать закон, как выполнять, какая должна возлагаться ответственность за его невыполнение".
Сам ФЗ "О персональных данных" был создан и принят в ответ на растущую проблему утечек и неправомерного использования конфиденциальных сведений для того, чтобы защитить владельцев персональных данных - обычных граждан. Однако до сих пор он дает больше вопросов, нежели ответов.