Поделиться
Инсайд 2008: Самые громкие и самые глупые утечки
Не секрет, что тема защиты конфиденциальных данных приобретает сегодня особенную остроту. Несмотря на все более совершенные системы ИБ, информация продолжает "утекать". Преимущественно это происходит по вине злоумышленников, однако нередко сведения становятся общедоступными благодаря обычной халатности или невнимательности. Сегодня мы расскажем о самых громких, масштабных и глупых утечках за 1 квартал 2008 года.Аналитический центр Perimetrix провел исследования утечек информации, произошедших за первый квартал 2008 года. Согласно его данным, 84% утечек имеют одну из четырех наиболее популярных причин: кража носителя, инсайд, хакерская атака или веб-утечка. За первый квартал 2008 года от утечек пострадали как минимум 9 млн 197 тыс. человек. Довольно значительная, хотя и далеко не рекордная цифра – численность пострадавших в результате крупнейшей утечки в истории (TJX) была практически в 10 раз больше. Тут, правда, необходимо учитывать тот факт, что утечки-миллионники происходят сравнительно редко и их распределение по временам года может оказаться очень неравномерным.
Самые "громкие" инциденты приватности
По-настоящему восточная утечка. Полиция Южной Кореи арестовала бывшего сотрудника LG Electronics, обвиняемого в передаче китайцам секретных данных о заводе по производству плазменных дисплеев. Согласно подсчетам LG, инцидент может привести к потерям в размере 1,4 млрд долл. Обвиняемому вместе с его соучастниками грозит до 7 лет лишения свободы.
Читайте также:
Обвиняемый по фамилии Джанг (Jung) передавал описание конструкции и другие данные о строительстве завода по производству плазменных панелей компании COC, находящейся в китайской провинции Сычуань. В LG Electronics Джанг проработал до 2005 г., а в 2007 г. был принят в роли технического консультанта в COC, где работал до настоящего времени.
Утечка масштаба государства. Инсайдер Хайнрих Кибер (Heinrich Kieber) подставил своими действиями целое государство. В феврале стало известно, что Кибер, сотрудник банка LGT из Лихтенштейна, продал базу данных банка вначале немецким, а потом и английским спецслужбам, выручив от сделки в общей сложности 6,5 млн долл. Вскоре выяснилось, что банк был настоящим раем уклонистов от налогов – спустя неделю после начала соответствующей компании, Германия сумела пополнить свою казну на 41,4 млн долл.
Эксперты предполагают, что данный случай будет иметь серьезные финансовые, а также этические последствия. Экономика Лихтенштейна почти полностью базируется на финансовых сервисах, и этот удар будет для нее очень тяжелым. Действия немецкого правительства также вызывают нарекания – бороться за сбор всех налогов можно, но использовать для этого такие методы, по меньшей мере, некрасиво.
Параметры исследования
Информация собиралась посредством ежедневного мониторинга публикаций в различных СМИ. В качестве исходной базы анализа рассматривались отчеты прессы о примерно 100 различных утечках информации, зафиксированных с февраля по апрель 2008 года включительно. Большинство рассматриваемых инцидентов происходили за пределами России, на территории Англии и США. К сожалению, в нашей стране крайне редко разглашается информация об инцидентах, и проводить сравнительный анализ, взяв за основу крупицы доступных данных, не представляется возможным.
"Президентский" скандал в США. В конце марта стало известно, что от утечки информации страдают не только обычные люди, но и особо важные деятели. Вечером 20 марта было объявлено о том, что двух сотрудников консульского отдела госдепа США уволили, а на одного наложили дисциплинарное взыскание за интерес, проявленный к сведениям о кандидате от демократов Бараке Обаме. 21 марта представители сперва Хиллари Клинтон, а затем и республиканца Джона Маккейна заявили, что в личные данные этих кандидатов тоже заглядывали без соответствующего разрешения.
По мнению аналитиков Perimetrix, этот инцидент объясняется простым любопытством сотрудников и вряд ли приведет к каким-то прямым последствиям. Однако шуму он наделал будь здоров.
Radarix: информационный апокалипсис. Сайт Radarix.com появился в конце нынешнего марта и сразу же взбаламутил всю российскую общественность. На главной странице ресурса утверждалось, что он содержит огромное количество информации о жителях России и стран СНГ. В начале, правда, никто не видел этой информации, поскольку сайт требовал регистрации, однако не высылал письма для ее подтверждения.
По-видимому, это был тактической ход создателей сайта – через пару недель шум стал гораздо тише, а письма таки пришли на адреса тех, кто их запрашивал. Оказалось, что Radarix действительно содержит море персональных сведений, однако не слишком новых – до 2006 года. В любом случае, ресурс является нарушением всех мыслимых норм приватности, также как и российского законодательства.
Глупейшие утечки информации
Секретный диск вернулся в МВД Британии после продажи с аукциона. Министерство внутренних дел (The Home Office) Великобритании начало расследование громкого инцидента. Сотрудники безопасности учреждения были очень удивлены, когда из компьютерной мастерской им принесли компакт-диск с наклейкой "Home Office — highly confidential".
История компакт-диска оказалась весьма интересной. Все началось с того, что житель городка Уэстхаутон (Westhoughton) купил на аукционе eBay подержанный ноутбук. К сожалению нового владельца, вскоре в лэптопе обнаружились неполадки, и он отдал компьютер в ремонтную мастерскую. Когда ремонтники раскрыли корпус, то обнаружили втиснутый под клавиатуру компакт-диск.
Находку сначала сочли чьей-то шуткой, однако после проверки накопителя Home Office был конфискован и сам ноутбук. Представители подтвердили, на диске действительно находились важные данные, однако они были зашифрованы, а потому можно не сомневаться в их сохранности. От подробных комментариев в британском МВД отказались. Да и вряд ли они знали что-то еще. Сейчас необходимо провести расследование и определить, как же все-таки компьютер оказался на аукционе, а также кто и зачем засунул в него диск с государственными секретами. Возможно, таким образом инсайдер решил вынести конфиденциальную информацию за пределы Home Office. Но почему он потом продал машину вместе с диском? Не смог расшифровать сведения и решил избавиться от улик?
Самый простой способ избавиться от секретных сведений. Какой самый простой способ освободиться от ненужных конфиденциальных бумаг можно предложить? Засунуть в шредер? Сжечь? Порвать руками? Работники обанкротившейся американской компании Union Mortgage Services знают способ еще проще — выбросить в мусорную корзину.
Финансовая фирма Union Mortgage Services предоставляла услуги жителям города Кливленд (Cleveland), но разорилась в результате ипотечного кризиса в США. В архивах фирмы осталось множество документов, содержавших финансовые сведения о бывших клиентах. Вместо того, чтобы уничтожить их по всем правилам, неудачливые финансисты выкинули бумаги в мусорные баки около ближайшей пиццерии.
Из-за этой халатности под угрозой компрометации данных оказалось множество законопослушных людей. На найденных в мусорке бланках находилась информация, которая предоставляется в заявке на получение кредита, а именно: выписки из банковских счетов, кредитная отчетность, налоговые отчисления и другие строго конфиденциальные сведения.
Поделиться
Короткая ссылка
