Поделиться
Инсайд 2008: Самые громкие и самые глупые утечки
Не секрет, что тема защиты конфиденциальных данных приобретает сегодня особенную остроту. Несмотря на все более совершенные системы ИБ, информация продолжает "утекать". Преимущественно это происходит по вине злоумышленников, однако нередко сведения становятся общедоступными благодаря обычной халатности или невнимательности. Сегодня мы расскажем о самых громких, масштабных и глупых утечках за 1 квартал 2008 года.Теперь же совершенно непонятно, кто будет отвечать за утечку данных. Обычно в таких случаях применяются определенные санкции к организациям. Однако Union Mortgage закрылась, а пытаться требовать чего-либо от компании-банкрота бессмысленно. Заложниками этой по-настоящему патовой ситуации стали ни в чем не повинные люди. Считается, что подобные случаи должны регламентироваться внутренними процедурами. Еще правильнее — ввести ответственность за халатность частных лиц по отношению к конфиденциальным данным. Сегодня таких законов нет, а потому бывшие клиенты разорившихся компаний находятся в группе особого риска.
Секретарь округа Оклахома выложила секретные документы на свой сайт. Уникальная утечка информации произошла на днях в американском округе Оклахома. На официальном сайте секретаря округа Кэролинн Коудилл (Carolynn Caudill) были обнаружены миллионы документов, содержавших конфиденциальную информацию. По мнению экспертов аналитического центра компании Perimetrix, одним из следствий данного инцидента приватности может стать отставка Коудилл с занимаемого ею поста.
По словам представителя администрации округа Марка Мишо (Mark Mishoe), в сеть попали ипотечные документы, долговые обязательства и даже права собственности на земельные участки, самые старые из которых были созданы в 1889 г. Часть документов содержала строго приватную информацию, такую, как номера социального страхования. Некоторые документы пролежали в интернете уже несколько лет.
Любопытно, что среди пострадавших в результате инцидента присутствуют известные деятели округа - ведущие телевизионных новостей, члены администрации, а также крупнейшие бизнесмены Оклахомы. Номера социального страхования этих людей также были скомпрометированы.
Специалисты по безопасности инициировали утечку. Очередная серьезная утечка информации коснулась сотрудников компании Agilent Technologies, производителя измерительного оборудования. В результате кражи незашифрованного ноутбука под угрозой компрометации оказались данные около 51 тыс. человек. По сведениям аналитиков, на пропавшем компьютере содержались номера социального страхования и информация об опционах и акциях сотрудников компании.
Эта утечка имеет интересную предысторию. Недавно Agilent Technologies заключила контракт на управление акциями сотрудников с компанией Fidelity Investments. До этого контракта акциями управляла другая фирма - Smith Barney, которая должна была передать базы данных новому управляющему. Парадоксально, но конфиденциальный компьютер допустила компания Stock&Options Solutions, которую наняли для контроля над переносом информации.
Эксперт по риск-менеджменту выбросил конфиденциальные документы в мусор. Питер Робертс (Peter Roberts), один из руководителей канадской ассоциации присяжных бухгалтеров Canadian Institute of Chartered Accountant's, CICA), выбросил в мусор пакет с сотнями конфиденциальных документов. В результате утечки могут пострадать сотни клиентов Робертса.
Уникальность данной утечки состоит в том, что г-н Робертс является экспертом по риск-менеджменту и входит в состав правления соответствующего департамента CICA. Ущерб бухгалтера от утечки может исчисляться десятками тысяч долларов штрафа, и это не считая репутационных потерь. А ведь стоимость обычного шредера исчисляется сотнями долларов максимум. Плохой пример риск-менеджмента, не правда ли?
Общая статистика
По данным исследования, две трети (65%) утечек имеют от 1 тыс. до 100 тыс. жертв. Это совершенно неудивительно, поскольку большее количество приватных данных имеет ограниченное число организаций, а менее значимые инциденты зачастую просто игнорируются. Вместе с тем, по оценкам экспертов Perimetrix, ущерб в результате даже небольшой утечки (до 1 тыс. записей) измеряется в сотнях тысяч долларов и сопоставим со стоимостью комплексной системы защиты класса DLP (Data Loss Prevention). Подчеркнем, что в данном случае идет речь только об утечках персональных данных – измерить ущерб от утечки интеллектуальной собственности в большинстве случаев не представляется возможным.
Самые масштабные утечки данных
| № | Организация | Сфера деятельности | Причина утечки | Количество пострадавших | Ущерб, млн долл. |
| 1 | Delhaize Group (Hannaford, Sweetbay) | Розничная сеть | Хакерская атака | 4 200 000 | 400 |
| 2 | University of Miami | Образование | Кража магнитных лент | 2 100 000 | 70 |
| 3 | Central Collection Bureau | Финансы | Кража сервера | 700 000 | 50 |
| 4 | Horizon | Финансы | Кража ноутбука | 300 000 | 40 |
| 5 | Lifeblood | Медицина | Кража ноутбука | 320 000 | 40 |
| 6 | HSBC | Финансы | Потеря носителя | 370 000 | 40 |
| 7 | Davidson | Финансы | Хакерская атака | 226 000 | 35 |
| 8 | WellPoint | Медицина | Веб-утечка | 126 000 | 25 |
| 9 | Health Net Federal Services | Медицина | Веб-утечка | 103 000 | 15 |
| 10 | Advance Auto Parts | Розничная сеть | Хакерская атака | 56 000 | 15 |
Источник: Perimetrix, 2008
Примерный ущерб от всех рассмотренных утечек составил, по оценкам Perimetrix, 868 млн долл. или 94 долл. за одну приватную запись.
Поделиться
Короткая ссылка
