Спецпроекты

"Мобильные" утечки: легкомыслие юзеров стоит миллиарды

Безопасность Стратегия безопасности Пользователю
Бурное развитие мобильных технологий обостряет проблему утери конфиденциаль­ных данных. Исследования аналитиков ИБ говорят о высоком уровне безалаберности людей при защите своих мобильных устройств. Именно этот тип утечек приводит к серьезным убыткам как пользователей гаджетов, так и работодателей.

Благодаря высоким коммуникационным возможностям современные мобильные устройства получают все большее распространение.

Функции почты, управление контактами, интернет, создание документации делает современные портативные устройства незаменимыми помощниками, наличие bluetooth, IrDA, Wi-Fi - все это идеально подходит для персонального использования. Воистину, наступает эпоха "повышенной мобильности" общества. При этом к корпоративной сети компаний подключается множество мобильной техники.

Вследствие резкого роста "мобильного потенциала" общества существенно повышается риск утечки информации. Подавляющее большинство (более 70%) пользователей хранят на мобильном устройстве конфиденциальные данные, причем как свои, так и своего работодателя. И при этом 17% пользователей хотя бы раз теряли мобильный телефон, КПК, смартфон, а то и ноутбук. Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска.

Масштаб проблемы

Около 90% компаний сегодня не в состоянии предотвратить неавторизованное подключение мобильных накопителей к корпоративной сети, при этом только половина компаний осознает существующий риск утечек. Инциденты по утечке корпоративной информации случаются все чаще и чаще, носят глобальный характер. От потери данных страдают банки, сотовые операторы, хостинг-провайдеры, малый бизнес и большие корпорации, коммерческие фирмы и государственные учреждения - все эти организации зафиксировали массу утечек в 2006 году. Многие из этих компаний теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю.

Из года в год убытки от утечек конфиденциальной информации растут на 20-25%, по оценкам специалистов по ИБ в 2006 году только США потеряли более 60-65 млрд. долларов вследствие утечек приватных сведений. По прогнозам, совокупные потери мировой экономики из-за кражи коммерческих секретов достигнут в 2008 году 1 трлн. долларов.

Каналы утечек конфиденциальных данных, 2007

Источник: InfoWatch, 2007

По данным экспертов по информационной безопасности, наибольшее количество утечек конфиденциальной информации (50%) происходит благодаря мобильным устройствам (ноутбуки, КПК, USB-флэши, CD и DVD-диски и др.). Из-за компактности мобильные устройства очень легко потерять или спрятать, вследствие чего данные попадают к посторонним лицам. Второй по распространенности канал утечек, интернет (12%), в несколько раз менее популярен, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину.

Аналитики компании Gartner сообщают, что более 600 тыс ноутбуков уже были украдены у их владельцев. Gartner подсчитала, что шансы кражи мобильного компьютера составляют 10%. А вероятность того, что пользователь сам забудет ноутбук где-нибудь, - 20%.

"Технология" "мобильных" утечек

Большая часть (около 80%) пользователей записывают на портативные устройства, в адресную книгу и в контакты свои собственные персональные данные или приватную информацию своих друзей и коллег. Еще примерно столько же граждан хранят на мобильных устройствах личную и деловую переписку, а также реквизиты для доступа к почтовым ящикам. Если пользователь со­вершает в интернете покупки, то утечка может при­вести к прямым финансовым потерям, поскольку браузер мог сохранить номер кредитной карты, имя и пароль пользователя в электронном магазине, или еще какие-нибудь реквизиты. Информа­ция из ежедневника также является конфиденциальной, ее кража или потеря может нанести ущерб не только самому пользователю, но и его работодателю. В конечном счете, утечки могут привести не только к разглашению сугубо приватных сведений, но и к шантажу, краже личности, промышленному шпионажу и т.д.

Мобильные устройства представляют серьезную угрозу для коммерческих секретов любой компании. Служащие постоянно теряют своих мобильных помощников, подставляя работодателя по удар. Наибольшую опасность для бизнеса представляют именно безалаберные сотрудники. По причине халатности в 2006 году произошло подавляющее большинство (около 80%) всех утечек коммерческой информации.

Топ-10 утечек, произошедших через мобильную технику, в мире, 2006-2007

Место в рейтинге Инцидент Дата инцидента Число пострадавших Потенциальный
ущерб
1 Утечка персональных данных ветеранов и военнослужащих вооруженных сил США Май
2006
28,7 млн
человек
45 млрд. долл.
2 Похищен ноутбук сотрудника Nationwide Building Society Август
2006
11 млн
человек
1,5 млрд. долл.
3 Инсайдер из Dai Nippon Printing украл винчестер с приватными сведениями клиентов компании Июль
2006
8,64 млн
человек
1,2 млрд. долл.
4 Из медицинского центра ветеранов вооруженных сил США в Бирмингеме украден ноутбук с персональными данными врачей и ветеранов Январь
2007
1,8 млн
человек
367 млн долл.
5 Из офиса Affiliated Computer Services (ACS) украден мобильный компьютер с персональными данными клиентов компании Октябрь
2006
1,4 млн
человек
320 млн долл.
6 Одна из фирм-подрядчиков Texas Guaranteed потеряла лэптоп с персональными данными клиентов TG Май
2006
1,3 млн
человек
237 млн долл.
7 Украден лэптоп из автомобиля сотрудника Боинга Ноябрь
2006
382 тыс
человек
147 млн долл.
8 Из офиса страховой компании CS Stars украли ноутбук с именами, адресами и номерами социального страхования рабочих Нью-Йорка Июль
2006
540 тыс
человек
84 млн долл.
9 У сотрудника бухгалтерской фирмы Hancock Askew украли ноутбук с персональными данными клиентов Октябрь
2006
401 тыс
человек
73 млн долл.
10 Расследование в медицинском центре Vassar Brothers выявило пропажу лэптопа и резервного диска с данными о пациентах Январь
2007
257,8 тыс человек 47 млн долл.

Источник: InfoWatch, 2007

Главная причина этих инцидентов – невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Есть информация, что в 90 % случаев продаж уже использовавшихся мобильных устройств последние содержат приватные данные бывшего владельца или его работодателя, причем незашифрованные.

В США в мае 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск с персональными данными 28,7 млн военнослужащих, хотя сотрудник не должен был хранить украденной секретной информации дома.

Технология месяца

Важная тенденция — бум использования «хайповых» технологий в реальных проектах

Елена Лукутина

партнер, директор по операционной деятельности и технологическому развитию «Неофлекс»

партнер «Неофлекс»
Взгляд месяца

На хайпе часто можно построить только фейк

Сергей Мацоцкий

основатель и член совета директоров IBS