Инсайдеры по всему миру в поте лица трудятся над предоставлением аналитикам пищи для размышлений. Представляем первый в 2007 году обзор инцидентов внутренней ИТ-безопасности, согласно которому от утечек больше всего страдает социальная сфера, в частности ВУЗы.
Несмотря на то, что для россиян прошлый рабочий месяц оказался намного короче обычного, утечек от этого меньше не стало. Так, в январе база инцидентов пополнилась 15 новыми записями. Крупных инцидентов (свыше 100 тыс. пострадавших граждан) было всего два. Это кража компьютеров из офиса Electronic Registry Systems и утечка из TJX Companies. Однако другие случаи инсайдерства назвать малочисленными тоже язык не поворачивается.
Рейтинг утечек информации в мире по сумме ущерба, январь 2007
№ |
Инцидент |
Дата занесения в базу |
Число пострадавших |
Ущерб |
1 |
Утечка персональных данных 70 тыс. студентов, выпускников и работников Университета Айдахо в Москве |
12 января |
70 тыс. человек |
27,7 млн. долл. |
2 |
Утечка финансовой информации о покупателя крупнейшей сети розничных магазинов под управлением TJX Companies |
19 января |
250 тыс. человек |
25 млн. долл. |
3 |
Кража компьютеров из офиса фирмы Electronic Registry Systems с приватными данными клиентов 5 страховых компаний |
10 января |
120 тыс. человек |
22 млн. долл. |
4 |
Из консалтинговой фирмы Tower Perrin украли 5 ноутбуков с персональной информацией клиентов компании |
9 января |
55 тыс. человек |
10,2 млн. долл. |
5 |
Из базы данных отдела здравоохранения Гавайев инсайдер похитил приватные сведения об 11,5 тыс. малоимущих семей на островах |
23 января |
40 тыс. человек |
5,8 млн. долл. |
6 |
Компания Xerox долгое время умалчивала о пропаже ноутбука с персональными данными работников |
26 января |
15 тыс. человек |
4,5 млн. долл. |
7 |
Украден ноутбук из автомобиля сотрудника Финансового управления Северной Каролины |
16 января |
30 тыс. человек |
2,5 млн. долл. |
8 |
Из офиса по продажам строительной компании KB Home украден компьютер с информацией о клиентах фирмы |
27января |
3 тыс. человек |
550 тыс. долл. |
9 |
В Коста-Месе из офиса финансовой помощи преступники похитили компьютер с данными о доходах и другой чувствительной информацией студентов Вэнгардского Университета |
25 января |
5 тыс. человек |
420 тыс. долл. |
10 |
Злоумышленники украли 30 компьютеров с данными пациентов Лимингтонского медицинского изолятора |
18 января |
4 тыс. человек |
340 тыс. долл. |
11 |
Из административного корпуса школы магнетизма в Норт-Чарльстоне похищен лэптоп с информацией о студентах |
12 января |
500 человек |
43 тыс. долл. |
12 |
Неизвестные украли ноутбук адьюнкт-профессора Университета Ратджерса с приватной информацией студентов |
26 января |
200 человек |
18 тыс. долл. |
13 |
Утечка конфиденциальной информации о гражданах России из МВД |
14 января |
90 тыс. человек |
Неизвестно* |
14 |
Утечка базы данных клиентов "Корбины телеком" |
15 января |
40 тыс. человек** |
Неизвестно* |
15 |
Инсайдер вынес ноутбук из учебного центра Учебного авиационного корпуса |
18 января |
Неизвестно*** |
Неизвестно* |
* - данных для определения ущерба недостаточно
** - база неактуальна и дополнительного ущерба "Корбине" не нанесет
*** - в данном случае военные тщательно скрывают, что за информация находилась на компьютере и кто пострадает в случае разглашения тайны
Источник: InfoWatch, 2007
Если говорить в целом, то в январе произошло большое количество утечек персональных данных и конфиденциальной информации из учебных заведений. Подобные происшествия составили ровно треть всех инцидентов. Среди пострадавших учащиеся школы в Норт-Чарльстоне, студенты и работники университета Айдахо, Вэнгардского университета, университета Ратджерса, курсанты Учебного авиационного корпуса в Англии. Также немало утечек допустили медицинские учреждения. Обе закономерности говорят о слабости систем защиты информации в отраслях образования и здравоохранения.
Очередной утечкой отметились американские налоговые службы. Из Финансового управления Северной Каролины украли ноутбук с приватными данными о 30 тыс. граждан. Можно сделать вывод, что чаще всего "утекают" данные в социальной сфере (образование и здравоохранение) и в правительственных ведомствах. Между тем, именно в этих организациях сосредоточено большое количество информации о частных лицах.
Особняком среди собранных в таблицу инцидентов стоит утечка базы МВД. Это та самая скандальная "база проституток", новость о которой взволновала весь российский сегмент интернета. На диске действительно содержится информация о высокопоставленных посетителях борделей, их привычках и предпочтениях. Кроме того, в базе имеются данные прослушивания телефонных разговоров и другая приватная информация 90 тыс. граждан. Впрочем, эксперты имеют некоторые сомнения относительно точности информации в базе МВД. Некоторые обстоятельства вызывают истинное недоумение. Например, зачем посетителям публичных домов сообщать свои истинные имена, адреса и должности заведению? Таким образом, правдивость информации в базе следует поставить под сомнение.
Как подсчитывать убытки
Расчет убытков производится индивидуально для каждого конкретного случая, но используется общая методика. За основу берется число пострадавших и характер потерянной информации. Далее оценивается предварительный ущерб. К примеру, в некоторых штатах США принят закон, который требует оповестить всех граждан, чьи приватные данные были скомпрометированы вследствие утечки. Причем разослать извещения должна организация, которая допустила утечку. Средние расходы на извещение каждого потерпевшего гражданина известны из аналитических отчетов.
Кажется, инсайдеры есть везде. Рост числа внутренних утечек говорит о слабости систем защиты информации
Далее определяется число тех граждан, которые все-таки станут жертвой мошенников из-за этой утечки. Количество жертв различается для каждой страны, сферы деятельности и масштаба утечки. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа граждан, чья информация скомпрометирована. Если какие-то из показателей не определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются облегчающие и отягчающие обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут заметно выше, чем для государственного образовательного учреждения. Не последнюю роль играет и мнение правоохранительных органов, расследующих инцидент, и местных экспертов относительно перспектив дела.
Рассмотрим для ясности пример с кражей персональных данных более подробно. В последних числах ноября преступники вскрыли машину работника концерна Boeing и похитили ноутбук с персональной информацией о 382 тыс. бывших и нынешних работниках компании. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". Согласно данным Ponemon Institute, прямые издержки на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. составляют в среднем 54 долл. на каждого пострадавшего. В нашем случае общие прямые издержки получатся 20 млн. 628 тыс. долл. Средние косвенные издержки составляют по 30 дол. на одну украденную персональную запись. Тогда суммарные косвенные убытки будут равны 11 млн. 460 тыс.
В данном конкретном случае можно предположить, что Boeing избежит издержек упущенной прибыли. Ведь исчезли данные не клиентов, а собственных служащих. Разумеется, при неблагоприятных обстоятельствах часть работников могла уволиться с предприятия. При таком варианте Boeing действительно пострадал бы. Однако руководство компании уже пообещало, что все люди, чьи данные находились на украденном компьютере, получат трехгодовой бесплатный мониторинг счетов. Точно не известно, какая компания будет его осуществлять, но цены на подобную услугу находятся в районе 100-130 долл. в год на одного человека. Вероятно, Boeing сможет договориться о минимальной цене, учитывая количество контролируемых счетов. Получается, на мониторинг компания потратит 114 млн. 600 тыс. долл. Прибавим сюда уже посчитанные 32 млн. 99 тыс. косвенных и прямых издержек. Итоговое значение будет равно 146 млн. 688 тыс. долл.
Конечно, приведенные цифры не обязательно совпадают с убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют реальному положению дел.
Источник CNEws.ru
Дата публикации 2007-02-20 00:31:52
|