Проделки инсайдеров: что замалчивают компании
Первый месяц осени оказался сравнительно бедным на утечки данных. В общей сложности было зафиксировано 19 общеизвестных инцидентов. По сравнению с августом, их количество сократилось более чем в полтора раза, однако общая сумма ущерба, напротив, существенно выросла. От сентябрьских утечек пострадали около 9 млн человек, а долгосрочные издержки на их ликвидацию приближаются к отметке в 2 млрд долларов. Еще одной тенденцией является замалчивание компаниями информации об утечках.В прошедшем месяце обозначился ряд тенденций, первые признаки которых можно было наблюдать и раньше. Прежде всего, продолжилась волна компьютерных краж – в сентябре стабильно пропадали ноутбуки, стационарные компьютеры и другие носители информации. Более половины (11 из 19) инцидентов произошли вследствие краж, а также потерь различного оборудования. В десятке наиболее масштабных утечек нашлось место для семи таких инцидентов.
Вторая тенденция менее очевидна. Во второй раз подряд на первом месте рейтинга оказалась компания, потерявшая свою клиентскую базу в результате действий злоумышленников. И эта компания снова долго отвергала факт утечки. И если лидер августа – рекрутинговый сервис Monster.com – осознал плачевность ситуации сравнительно быстро, то брокерская фирма TD Ameritrade тянула с признанием утечки практически календарный год.
Брокерская фирма TD Ameritrade тянула с признанием утечки
практически календарный год
"Дыра" в защите TD Ameritrade обнаружилась в результате внутреннего расследования. Это расследование было инициировано благодаря клиентам компании, которые прочитали в своей почте спам с "биржевым" содержанием. Интересно, что этот спам рассылался в течение длительного периода - еще с октября прошлого года. Другими словами, взлом сети и проникновение в базу данных могло произойти более года назад. Долгое время TD Ameritrade не прислушивалась к запросам возмущенных клиентов, пока один из них, известный адвокат Скотт Камбер (Scott Kamber), не подал на брокерскую компанию в суд. Это событие произошло в мае нынешнего года, а об утечке стало широко известно только в середине сентября. Такое развитие событий наводит на мысль о том, что TD Ameritrade скрывала факт утечки, до тех пор, пока ее не прижал к стенке суд.
Очевидно, что непродуманные действия компании по замалчиванию факта утечки приведут к еще большим репутационным потерям. А репутация, как известно, является одним из основных активов любой финансовой организации.
По итогам сентября в группу особого риска попали медицинские компании (5 инцидентов), государственные учреждения (4 инцидента) и учебные заведения (5 инцидентов). Однако наиболее масштабные утечки обычно происходят с розничными сетями или финансовыми организациями с серьезной клиентской базой. Впрочем, и государственные структуры часто теряют базы данных с огромным количеством записей. "Студенческие" и "медицинские" утечки пока не настолько масштабны.
Топ-10 утечек корпоративных данных, сентябрь, 2007
№ | Инцидент | Дата занесения в базу | Количество пострадавших | Ущерб |
1 | Неизвестные взломали корпоративную сеть компании TD Ameritade и похитили приватную информацию о 6,3 млн клиентах | 14 сентября | 6,3 млн человек | 1,2 млрд долл. |
2 | Кадровое агентство, оказывавшее услуги компании GAP, потеряло ноутбук с приватными данными соискателей | 28 сентября | 800 тыс человек | 260 млн долл. |
3 | Работник администрации г. Колумбус, штат Огайо, потерял резервные ленты с персональными данными госслужащих | 13 июня* | 1,3 млн человек | 239 млн долл |
4 | Министерство соцобеспечения Пенсильвании (Pennsylvania Public Welfare Department) не уследило за двумя настольными компьютерами, которые хранились в собственном офисе | 11 сентября | 375 тыс человек | 35 млн долл. |
5 | Ноутбук с приватными данными, принадлежащий компании Gander Mountain, был украден у одного из ее сотрудников | 11 сентября | 112 тыс человек | 23 млн долл. |
6 | Курьерская служба потеряла компакт-диск, содержащий базу медицинской программы Tenncare | 12 сентября | 67 тыс человек | 10 млн долл. |
7 | Инсайдер из компании Pfizer скопировал конфиденциальную базу данных на собственный ноутбук. Таким образом, концерн допустил третью утечку за три месяца | 4 сентября | 34 тыс человек | 9 млн долл. |
8 | Приватные данные "ипотечных" клиентов банка ABN Amro обнаружились в P2P-сети Gnutella | 21 сентября | 5 тыс человек | 900 тыс долл. |
9 | В учебном госпитале им. Джона Хопкинса (John Hopkins Hospital) пропал настольный компьютер с приватными данными | 1 сентября | 6 тыс человек | 560 тыс долл. |
10 | Неизвестные грабители украли ноутбук инструктора калифорнийского колледжа Де Анца (De Anza College). На компьютере находились приватные данные студентов ВУЗа | 6 сентября | 4,5 тыс человек | 330 тыс дол. |
* - предварительная информация об инциденте была известна еще в июне, однако окончательные данные о количестве пострадавших появились только в сентябре
В сентябре в очередной раз "отличилась" компания Pfizer, допустившая уже третью утечку за последние три месяца. Она же оказалась и самой масштабной – в результате халатности сотрудника Pfizer пострадали 34 тыс человек. Этот сотрудник скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году, не согласовав своих действий с руководством. Что происходило с данными на ноутбуке до сих пор точно неизвестно.