16 Сентября 2003 14:09 | 16 Сен 2003 14:09 | |

Поделиться

Клиентская база известного банка на еBay: сбой в ИТ?

Невероятный инцидент с данными о клиентах Банка Монреаля вновь заставил общественность задуматься о том, как финансовые институты избавляются от старого компьютерного оборудования, и напомнил истории годичной давности о пропажах десятков ноутбуков и настольных компьютеров из государственных учреждений США, в том числе – ФБР, Службы судебных приставов, нескольких лабораторий ядерных исследований.

Банк Монреаля продал серверы с данными о сотнях клиентов

В одном из компьютеров упомянутого банка хранилась файлы с именами, адресами и телефонными номерами нескольких сотен клиентов банка, наряду с информацией о состоянии их банковских счетов, а в некоторых случаях и о кредитной истории, кредитных карточках, страховках. Как сообщает Toronto Star, информация охватывала промежуток времени с 2000 по 2002 год. Компьютеры, судя по всему, были изначально установлены в головном офисе банка на улице St. Jacques в Монреале, но именно в них находилась информация о клиентах, в том числе банковских сотрудниках, живших в разных регионах страны.

Если бы эта информация попала в недобросовестные руки, она могла быть использована мошенниками для – «преступной подмены личности» (identity theft) - нового вида компьютерного преступления, которое становится все более распространенным. Ожидается, что ущерб от «преступной подмены личности» в Канаде в этом году удвоится. А в США, согласно данным Федеральной Торговой комиссии, жертвами аналогичных компьютерных преступлений в прошлом году стали 10 млн. человек.

Главный специалист банка по информационной безопасности Дина Палоцци, всего через сутки после получения сведений о происшествии смог вернуть жесткие диски назад в банк. В субботу вечером, то есть сразу после удачного обретения носителей с конфиденциальной информацией, Дина Палоцци заверил общественность: «Приоритетом номер один в нашей организации является защита информации о клиентах… Мы крайне серьезно относимся к этому происшествию».

Сознательный студент снял серверы с аукциона

На прошлой неделе 26-летний студент из Нью-Йорка Джефф Эллис купил эти компьютеры у фирмы из канадского города Миссиссога Ecosys Canada Inc., которая занимается поставками компьютерного оборудования для банков. Он заплатил по $400 за два подержанных сервера марки IBM Netfinity, которые, будучи новыми, стоят около $5 тыс. По информации Toronto Star, Эллис занимается тем, что покупает на онлайн-аукционе старые компьютеры и перепродает их после ремонта. Он уже выставил эти два компьютера на повторную продажу, когда вдруг заметил, что операционная система одного из них позволяет ему получить без всякой авторизации доступ к конфиденциальной банковской информации. После этого Джефф Эллис сразу же снял компьютеры с аукциона.

«Поначалу я был просто в шоке, - сказал он сотруднику газеты Toronto Star, в которую обратился сразу после того, как осознал всю щекотливость подобной ситуации. - Ни при каких условиях сервер не может покинуть банк, если с него не удалена конфиденциальная информация и программы доступа к ней».

Джефф Эллис посчитал необходимым обратиться к представителям упомянутой газеты, поскольку не был уверен в том, как руководство Банка Монреаля отреагирует на его сообщение, и хотел заручиться поддержкой третьей стороны. Он связался с банком в пятницу днем, а в субботу к нему домой была отправлена группа компьютерной безопасности, с целью конфисковать жесткие диски.

Еще два компьютера IBM, принадлежащие Эллису, так же находятся на карантине. Представители банка заявили, что группа специалистов занимается анализом содержания винчестеров и позднее выпустит детальный отчет о происшествии.

«Ошибка складского хранения»

Новость об утечке из банка конфиденциальных данных быстро достигла представителей его высшего руководства, в том числе председателя правления. Ситуация осложнялась тем, что компьютеры так же содержали базы данных, которые могли бы дать хакеру доступ к тысячам клиентских файлов. Пока остается неясным, какие именно базы данных там находились.

«На данном этапе мы можем считать это человеческой ошибкой», - заявил вице-президент банка и главный специалист по защите информации банка Роберт Гариг. Он отметил, что не спал ни минуты с того момента, как узнал о потерянных жестких дисках. Согласно обычной процедуре, перед тем, как компьютеры покинут банк, в частности для перепродажи, с них должна быть «стерта» вся информация», - добавил он.

Представитель банка отметил, что согласно контракту, удалением информации должна была заниматься фирма Rider Computer Services Ltd., которая оснащает компьютерами Банк Монреаля и многие другие финансовые институты Канады.

Поиск виновных и возмещение ущерба

Вице-президент Rider Колин Тэйвис заявил, что обязанность уничтожать данные была возложена на фирму Ecosys, которая работала с Банком Монреаля по субконтракту. «Это - несомненно, технологический срыв, - сказал он, объясняя, что компьютеры были помещены не на тот склад и затем отправлены на перепродажу, как если бы они уже прошли положенную процедуру удаления данных. - Это, прежде всего ошибка складского хранения». Колин Тэйвис заметил, что его фирма поставила более миллиона компьютерных компонентов, и ничего подобного ранее не случалось. По его мнению, реакция на это событие была адекватной.

С Тэйвисом согласен вице-президент Ecosys Брюс Хэйтли: «Это - технологическая ошибка, и мы устранили ее в кратчайшее время». Главный специалист по защите информации банка Роберт Гариг заявил, что руководство банка и специалисты по информационной безопасности проведут совещание с представителями компании Rider для того, чтобы в дальнейшем избежать подобных ошибок. «Это для нас урок, - сказал он. - Хотя и весьма болезненный».

Руководители банка поблагодарили Эллиса за его поступок и преподнесли ему в подарок новые винчестеры. Они отметили, что благодаря оперативным действиям, информация не попала в руки злоумышленников. «Мы очень рады тому, что Эллис поступил правильно, – сказал Палоции. - Хотя он и приобрел эти компьютеры, он понимал, что информация ему не принадлежит».

Бремя компьютерной преступности

В сентябре специалистам Банка Монреаля уже пришлось серьезно бороться с мошенниками, которые при помощи электронных писем заманивали клиентов на фальшивый сайт банка и пытались, таким образом, собрать информацию об их счетах. Представитель банка отметил, что его служба безопасности справилась с задачей и смогла прикрыть поддельный сайт в течение двух часов.

Этот случай напомнил некоторые инциденты из американской истории годичной давности. Тогда в ходе летней проверки 2002 г. было выявлено, что в ФБР утеряны 317 ноутбуков из более чем 15 тыс. портативных компьютеров, находящихся в распоряжении агентства. В Службе судебных приставов пропало 56 из 1450 компьютеров, в Управлении тюрем утеряны 27 ноутбуков. Тогда же, правительственная проверка обнаружила недостачу 400 компьютеров в Министерстве юстиции США, большинство из них находились на балансе ФБР, а также службы иммиграции и натурализации, причем часть этих машин содержала секретную информацию. Известны и другие случаи пропажи лэптопов и настольных ПК с особо секретными данными.

CNews.ru

Поделиться

Короткая ссылка