Спецпроекты

Безопасность Госрегулирование

Япония не может наказать инсайдера

В марте было зарегистрировано внушительное количество инцидентов: произошла крупнейшая утечка за всю историю Японии, причем по закону инсайдер виновен только в краже винчестера. Также произошло немало других случаев, каждый из которых причинил ущерб в миллионы долларов. Сезонное обострение особенно заметно по сравнению с относительно спокойным (хотя и не последним по ущербу) февралем.

Прежде всего, март запомнится на японских островах. Крупнейшая утечка за всю историю страны восходящего солнца поставила под угрозу кражи тайну личности почти 9 млн граждан. Виновником происшествия является инсайдер-одиночка из компании Dai Nippon Printing, специализирующейся на выпуске полиграфической продукции и ИТ-решениях. Работник украл мобильный винчестер с персональными данными клиентов фирмы и открыл торговлю приватными сведениями по порциям от 100 тыс записей. Благодаря стабильному доходу, инсайдер даже покинул постоянное место работы. Самым же удивительным в инциденте является то, что пойманный с поличным преступник не может получить достойное наказание. Выяснилось, что пробелы в японском законодательстве не позволяют судить инсайдера за его деятельность. Все, что смогли предъявить японцу правоохранительные органы – это кража винчестера за 200 долларов.

Топ-10 утечек информации в мире по сумме ущерба, март 2007

Инцидент Дата занесения в базу Число пострадавших Ущерб
1 Инсайдер из Dai Nippon Printing украл винчестер с приватными сведениями о клиентах компании 21 марта 8,64 млн человек 1,2 млрд долл.
2 Служба социальной помощи детям в Лос-Анджелесе допустила утечку персональных данных о детях, их родителях и опекунах 28 марта 243 тыс человек 31,8 млн долл.
3 Работник Ассоциации Голубого креста и Голубого щита снял защиту с диска с персональными данными. Чуть позже диск бесследно исчез 13 марта 75 тыс человек 15,7 млн долл.
4 Торговая фирма RadioShack выбросила в мусорные баки 20 коробок с персональными данными покупателей 26 марта 30 тыс человек 5,5 млн долл.
5 Из Group Health Cooperative Health Care System в течение 10 дней пропали 2 ноутбука с чувствительными данными работников и клиентов 20 марта 31 тыс человек 5,3 млн чел.
6 Из автомобиля сотрудника банка Halifax вытащили документы с финансовой и прочей чувствительной информацией о клиентах 27 марта 13 тыс человек 2,5 млн долл.
7 Компания Johnny's Selected Seeds допустила утечку номеров кредитных карт своих клиентов через официальный сайт 1 марта 11,5 тыс человек 2,1 млн долл.
8 Ноутбук с приватной информацией о гражданских служащих украден из форта Монро в Виржинии 26 марта 16 тыс человек 2 млн чел.
9 Из медицинского центра Gulf Coast в Теннеси пропали 2 ноутбука с номерами социального страхования и прочей информацией о пациентах 1 марта 10 тыс человек 1,6 млн долл.
10 Из больницы Ноттингемшира украден лэптоп с данными о детях в возрасте до 8 лет 27 марта 11,5 тыс человек 1,4 млн долл.

Источник: InfoWatch, 2007

Прошлый месяц в очередной раз выявил очевидную проблему с защитой информации в американских вооруженных силах. Армия и флот США допустили сразу 3 значительные утечки. Все инциденты однотипны, информация пропадала вместе с мобильными устройствами. Шлейф таких утечек тянется за американскими военными уже давно. Но никаких изменений не происходит, американцы будто специально сливают секретные сведения. Чего только не выкладывало в интернете военное ведомство США в прошлом году. От чертежей президентского Боинга до дислокации войск в Ираке и схемы создания атомной бомбы.

Несмотря на то, что сегодняшние утечки потенциально не столь опасны, проблема очевидна. Сейчас, как и год, и два назад, свои ноутбуки американские военные защищают всего лишь ненадежным паролем. Существуют десятки различных способов защиты, сотни программ, которые полностью зашифруют разделы винчестера. Но вооруженные силы на удивление консервативны. Нет никаких сомнений, что подобное отношение к государственной тайне негативно отразится на делах государства. Даже текущие инциденты значительно снизят популярность службы в армии и флоте США. Значит, у американцев возникнет проблема с набором рекрутов. Придется довольствоваться менее квалифицированным персоналом. Очевидная неудача. И все из-за элементарного пренебрежения внутренними угрозами.

Из полутора десятков прочих инцидентов отметим утечки из Службы социальной помощи детям Лос-Анджелеса и Ассоциации Голубого креста и Голубого щита (Empire Blue Cross and Blue Shield). В сумме в этих двух случаях пострадало более 300 тыс американцев, в том числе большое число детей. Характерен случай в Ассоциации Голубого креста и Голубого щита. Компания, как и положено по стандартам, шифровала данные на мобильных носителях. Однако с одного из дисков защиту сняли и отправили субподрядчику. Вскоре диск бесследно исчез. Очевидно, защиту снял ловкий инсайдер. А украсть болванку было уже делом техники.

Сравним с февральской спячкой

Крупнейшей февральской утечкой по праву можно назвать инцидент в TJX Companies. В середине месяца стало известно о настоящих масштабах этой утечки. Если сначала могло показаться, что инцидент заденет только жителей США, то уже сегодня огромное количество пострадавших граждан нашлось в Канаде, Англии, Ирландии и Южной Корее.

Короткая ссылка