Поделиться
Инсайд 2008: Самые громкие и самые глупые утечки
Не секрет, что тема защиты конфиденциальных данных приобретает сегодня особенную остроту. Несмотря на все более совершенные системы ИБ, информация продолжает "утекать". Преимущественно это происходит по вине злоумышленников, однако нередко сведения становятся общедоступными благодаря обычной халатности или невнимательности. Сегодня мы расскажем о самых громких, масштабных и глупых утечках за 1 квартал 2008 года.Полученный результат существенно ниже последней оценки Ponemon Institute (197 долл. за запись), которая датируется концом прошлого года. Довольно большая разница может вызвать определенное удивление, поскольку аналитические центры Perimetrix и Ponemon Institute используют схожие методологии подсчета ущерба По-видимому, основная причина расхождений заключается в более тщательном анализе крупных утечек (более 100 тыс. пострадавших), которые, по данным Perimetrix, имеют более низкий удельный ущерб, чем мелкие инциденты. А поскольку на крупные утечки приходится значительная доля ущерба, именно они играют определяющую роль.
Впрочем, в данном случае важны не абсолютные значения (они по определению являются очень примерными), а их порядок. Сегодня можно с уверенностью утверждать, что утечка средней степени тяжести (1 тыс. – 10 тыс. записей) будет иметь удельный ущерб от 100 долларов за запись. Таким образом, совокупный убыток вряд ли окажется меньшим 100 тыс. долларов – а это очень солидная цифра для большинства современных организаций. Добавим, что при подсчете ущерба учитывались не только прямые убытки (расходы на оповещение, кредитный мониторинг, call-центр), но и косвенные потери (прежде всего, репутационные), которые, в большинстве случаев, составляют наиболее существенную часть общего ущерба.
Распределение утечек по количеству пострадавших
Источник: Perimetrix, 2008
Отметим, что исследование не выявило неочевидных корреляций между причиной утечки, количеством жертв и ущербом. Были и масштабные хакерские инциденты (утечка в сети Hannaford), и кражи оборудования (утечка в Университете Майами), и инсайд (Societe Generale), и веб-утечки (WellCare, WellPoint). В каждом из обозначенных случаев ущерб измерялся в десятках миллионов долларов. Таким образом, все перечисленные возможности опасны, и их необходимо контролировать.
Вместе с тем, пару очевидных корреляций все же имеет смысл обозначить. Так, бумажные утечки не могут иметь более 10 тыс. пострадавших. Причина очевидна. В свою очередь, кража магнитных лент, как правило, имеет большой ущерб. Связано это с тем, что ленты используются для резервного копирования и содержат большие объемы информации. Таким образом, процесс шифрования необходимо начинать именно с лент – это значительно проще, чем шифровать все имеющиеся ноутбуки.
Отраслевая специфика утечек
Ни для кого не секрет, что различные отрасли испытывают утечки информации с различной периодичностью. Очевидно, что, например, ценность информации в финансовой отрасли выше аналогичных показателей в пищевой промышленности. Кроме того, защищенность организаций различного типа также существенно отличается. Было бы слишком наивно предполагать, что безопасность какого-нибудь университета сопоставима с безопасностью крупного сотового оператора.
Исследование показало, что наибольшее число утечек наблюдается в трех основных сферах: финансах, медицине и образовании. Частые инциденты в банковской отрасли связаны с огромной ценностью обрабатываемой информации, такой как номера банковских счетов. А обилие утечек в медицине и образовании объясняется еще проще – традиционно данные отрасли не слишком активно внедряют ИТ.
Отраслевая специфика утечек
Источник: Perimetrix, 2008
Среди оставшихся категорий отдельно отметим розничные сети, на которые пришлось 5% утечек. В данной сфере было зарегистрировано не слишком много инцидентов, однако все они имели далеко идущие последствия. Дело в том, что розничные сети, как правило, обрабатывают большое количество транзакций по банковским картам и часто (но далеко не всегда оправданно) хранят строго конфиденциальную информацию по этим транзакциям. Как следствие, хакерское вторжение или кража резервного носителя с базой транзакций розничной сети обычно приводит к огромным потерям.
"Индекс опасности"
Данный параметр определялся по формуле: IND (отрасль) = AVG ( [LOG10 (число пострадавших в результате утечки) ] +1), где AVG – среднее значение по всем инцидентам, а [] – оператор целой части. Говоря простым языком, индекс опасности равный 4 показывает, что количество пострадавших от утечки в данной отрасли, скорее всего, будет измеряться в числе, состоящем из четырех десятичных знаков (1 тыс. – 10 тыс. человек).
Чтобы численно оценить опасность утечек для основных перечисленных отраслей, в процессе исследования был введен специальный параметр – "индекс опасности". Использовать для оценки среднее количество пострадавших не представляется возможным, поскольку даже одна "милионная" утечка приведет в таком случае к огромной погрешности.
Опираясь на этот параметр, получается, что в группу риска входят прежде всего розничные сети, финансовые и медицинские организации. Образовательные заведения несколько отстают, однако именно в этой сфере наблюдается максимальное количество утечек. Данные исследования показывают, что проблема утечек становится все более и более актуальной. Обилие и разнообразие случившихся инцидентов наглядно демонстрирует комплексный характер угроз и необходимость существенных инвестиций для их минимизации.
Индекс опасности для различных отраслей
Источник: Perimetrix, 2008
Вместе с тем переносить полученные результаты на российскую почву можно далеко не всегда. В нашей стране по-прежнему отсутствует практика раскрытия информации о случившихся инцидентах, которая действует в большинстве западных государств. Как следствие, потери отечественных компаний от утечек персональных сведений несопоставимо ниже – просто потому, что об этих утечках практически ничего не сообщается. На сегодняшний день в России значительно актуальнее другой тип утечек, связанный с потерей интеллектуальной собственности, корпоративных планов или финансовой отчетности.
В этом смысле полученные результаты (особенно в части угроз) переносятся на Россию и переносятся весьма хорошо. С концептуальной точки зрения совершенно не важно, какие именно сведения хранились, скажем, на пропавшем ноутбуке – главное, что они "утекли". Таким образом, результаты данного исследования отражают профиль угроз утечки и в российских компаниях в том числе.
Впрочем, не все так просто и с персональными данными. По мнению аналитиков Perimetrix, общемировая озабоченность вопросами приватности вкупе с рядом российских скандалов (в частности, появлением сайта Radarix.com) приведет к ужесточению государственного регулирования в данной сфере. Можно с уверенностью утверждать, что контроль за безопасностью персональной информации будет только усиливаться и через несколько лет российская ситуация будет аналогична положению вещей в современных западных странах. Это означает, что задумываться о безопасности необходимо уже сейчас, поскольку защитные системы имеют довольно длительный цикл внедрения.
К тому же, многие российские предприятия должны соответствовать различным актам и стандартам (Стандарт ЦБ РФ, SOX, Basel II, "Базовый уровень операторов связи" и т.д.), каждый из которых прямо или косвенно требует бороться с утечками данных.
Поделиться
Короткая ссылка
