Праздник инсайдера
Редкий день в последнее время обходится без сообщений о пропажах конфиденциальных данных в той или иной стране. В последнее время чаще "отличается" Великобритания, хотя традиционно лидером печального списка "информационных нерях" являются США. При этом именно осенью 2007 года четко обозначился ряд тенденций, первые признаки которых можно было наблюдать и раньше. Об этом и поговорим.
Определившиеся тенденции
Главная тенденция: на смену сознательным кражам ценной информации приходят "неспециальные" потери данных. Нет, конечно же, инсайдеры не стали действовать менее активно. Просто резко выросла доля данных, которые теряются другими путями. Осенью типичный такой путь обозначился очень даже четко. Вначале какой-либо мелкий государственный клерк или средней руки менеджер частной компании выносит с работы ноутбук с базой конфиденциальных данных. Несколько реже речь идет о других носителях информации — вспоминается случай, когда в США из кузова грузовика просто выпали кассеты от стриммера с информацией о клиентах крупного банка. На втором этапе пресловутый ноутбук с данными оставляют без присмотра — чаще всего на заднем сиденье автомобиля или где-нибудь в баре. Где, соответственно, этот ноутбук банально крадут. Крадет его какой-нибудь наркоман, которому совершенно безразлична содержащаяся на HDD информация. Однако потом ПК (либо его комплектующие) попадает на черный рынок компьютерной техники. А там уже наверняка будут люди, которые поинтересуются содержимым носителя информации и которые знают, что в интернете существует самый настоящий рынок конфиденциальных данных о частных лицах. Есть, конечно, и такая проблема, что инсайдер может просто сымитировать похищение носителя данных: наказание за разгильдяйство в любом случае будет меньшим, чем за сознательное вредительство. Но это уже сфера интереса профессиональных криминалистов. Первый месяц осени 2007-го оказался сравнительно бедным на утечки данных. В общей сложности было зафиксировано 19 масштабных инцидентов. По сравнению с августом того же года их количество сократилось более чем в полтора раза, однако общая сумма ущерба, напротив, существенно выросла. От сентябрьских утечек пострадали около 9 млн человек, а долгосрочные издержки на их ликвидацию приближаются к отметке в $2 млрд. Еще одной тенденцией стало замалчивание компаниями информации об утечках. Прежде всего, в сентябре 2007-го продолжилась волна компьютерных краж — в сентябре стабильно пропадали ноутбуки и стационарные компьютеры. Более половины (11 из 19) инцидентов составили кражи и потери различного оборудования. В десятке наиболее масштабных утечек нашлось место для семи таких инцидентов.
Топ-10 утечек корпоративных данных, сентябрь 2007 г., по данным CNews.
* Предварительная информация об инциденте была известна еще в июне, однако окончательные данные о количестве пострадавших появились только в сентябре.
Второй раз подряд на первом месте рейтинга оказалась компания, которая потеряла свою клиентскую базу в результате действий злоумышленников. И эта компания опять долго отвергала факт утечки. В августе онлайновый рекрутинговый сервис Monster.com довольно быстро признал потерю базы клиентских данных. А вот в сентябре выяснилось, что брокерская фирма TD Ameritrade тянула с признанием утечки практически целый год. Дыра в защите TD Ameritrade обнаружилась в результате внутреннего расследования, однако само это расследование было инициировано благодаря клиентам компании. Произошло это после того, как многие клиенты начали получать спам со специфическим "биржевым" содержанием. Этот спам рассылался еще с октября прошлого года, но долгое время TD Ameritrade не прислушивалась к запросам возмущенных клиентов, пока один из них — известный адвокат Скотт Камбер — не подал на брокерскую компанию в суд. Это произошло в мае 2007-го, а об утечке стало широко известно только в середине сентября. То есть TD Ameritrade скрывала факт утечки до тех пор, пока ее не прижал к стенке суд. Если рассматривать регион Северная Америка и Европа, то в нем в группу особого риска утечки приватных данных попали медицинские компании (5 инцидентов), государственные учреждения (4 инцидента) и учебные заведения (5 инцидентов). Однако наиболее масштабные утечки обычно происходят с розничными торговыми сетями или финансовыми организациями с серьезной клиентской базой и разветвленной структурой. Однако и государственные структуры часто теряют базы данных с огромным количеством записей. "Студенческие" и "медицинские" утечки пока не настолько масштабны. Но по западному миру хотя бы есть более-менее достоверные сведения. А вот информации об утечках в не менее информатизированной Юго-Восточной Азии практически нет. Хотя можно быть уверенным, что азиатские приватные данные утекают к злоумышленникам ничуть не реже. Но там иная корпоративная культура, и она не предусматривает полной открытости, как на Западе. Продолжая тему корпораций, замечу, что в сентябре 2007-го в очередной раз "отличилась" компания Pfizer — допустила третью подряд утечку данных за три месяца. Она же оказалась и самой масштабной — в результате халатности сотрудника Pfizer пострадали 34 тыс. человек. Этот сотрудник скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году, не согласовав своих действий с руководством. Что происходило с данными на ноутбуке, до сих пор точно не известно.
Считая потери
В приведенной выше таблице каждому прецеденту соответствует определенная сумма финансового ущерба. Конечно, в каждом случае ущерб считается по- своему, однако существует и общая методика, с помощью которой можно посчитать ориентировочные цифры убытков. В данном случае наиболее важные моменты — общее число пострадавших людей либо скомпрометированных документов и характер утечки. Предварительный ущерб, в частности, в США можно оценить, базируясь на законе, который требует уведомлять граждан, персональные данные которых оказались раскрыты. Уведомления об инциденте в Штатах рассылает организация, которая допустила утечку. Далее определяется число людей, которые вполне вероятно станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно это значение составляет от нескольких десятых процента до нескольких процентов от общего числа людей, чья приватная информация оказалась скомпрометирована. Конечно, большинство показателей не могут быть определены с достаточной точностью, так что берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. К примеру, для коммерческой компании убытки из-за потери имиджа будут намного выше, чем для государственной структуры. В качестве примера можно рассмотреть пример с утечкой из компании GAP. Напомню, что ноутбук этой компании с приватными данными был украден неизвестными злоумышленниками — классический для последнего времени вариант. В результате кражи пострадали 800 тыс. граждан США, Пуэрто-Рико и Канады. Как отмечают специалисты, после обнаружения утечки компания GAP предприняла комплекс мер для ликвидации ее последствий. Во-первых, был создан специальный сайт, призванный помочь пострадавшим. Во-вторых, всем жертвам инцидента была предложена услуга Triple Advantage от компании ConsumerInfo.com, которая включает в себя кредитный мониторинг, а также страхование риска компрометации данных в течение одного года. В-третьих, пострадавшим были высланы уведомления и предоставлена бесплатная телефонная линия для консультаций.
По данным ConsumerInfo.Com, стоимость одного месяца кредитного мониторинга составляет $11,95, года — $143,4. Получается, что общие расходы GAP на бесплатное предоставление подобных услуг составят примерно $114 млн. Далее: средние расходы на выявление и исследование инцидента, а также уведомление пострадавших составляют $11,27 и $25,19 на одну учетную запись. Таким образом, в масштабах утечки получается сумма в $29 млн. Следует также учесть ущерб от потери привлекательности брэнда и дальнейшие мероприятия по ликвидации утечки. По данным Ponemon Institute, средние издержки от снижения привлекательности брэнда и дальнейших мероприятий по ликвидации составляют $98,32 и $47,29 на каждого пострадавшего соответственно. Для конкретной утечки это $116 млн. В общей сложности получается сумма примерно в $260 млн. Конечно, приведенные цифры не обязательно совпадают с реальными убытками, однако они дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.
Денис Лавникевич
Определившиеся тенденции
Главная тенденция: на смену сознательным кражам ценной информации приходят "неспециальные" потери данных. Нет, конечно же, инсайдеры не стали действовать менее активно. Просто резко выросла доля данных, которые теряются другими путями. Осенью типичный такой путь обозначился очень даже четко. Вначале какой-либо мелкий государственный клерк или средней руки менеджер частной компании выносит с работы ноутбук с базой конфиденциальных данных. Несколько реже речь идет о других носителях информации — вспоминается случай, когда в США из кузова грузовика просто выпали кассеты от стриммера с информацией о клиентах крупного банка. На втором этапе пресловутый ноутбук с данными оставляют без присмотра — чаще всего на заднем сиденье автомобиля или где-нибудь в баре. Где, соответственно, этот ноутбук банально крадут. Крадет его какой-нибудь наркоман, которому совершенно безразлична содержащаяся на HDD информация. Однако потом ПК (либо его комплектующие) попадает на черный рынок компьютерной техники. А там уже наверняка будут люди, которые поинтересуются содержимым носителя информации и которые знают, что в интернете существует самый настоящий рынок конфиденциальных данных о частных лицах. Есть, конечно, и такая проблема, что инсайдер может просто сымитировать похищение носителя данных: наказание за разгильдяйство в любом случае будет меньшим, чем за сознательное вредительство. Но это уже сфера интереса профессиональных криминалистов. Первый месяц осени 2007-го оказался сравнительно бедным на утечки данных. В общей сложности было зафиксировано 19 масштабных инцидентов. По сравнению с августом того же года их количество сократилось более чем в полтора раза, однако общая сумма ущерба, напротив, существенно выросла. От сентябрьских утечек пострадали около 9 млн человек, а долгосрочные издержки на их ликвидацию приближаются к отметке в $2 млрд. Еще одной тенденцией стало замалчивание компаниями информации об утечках. Прежде всего, в сентябре 2007-го продолжилась волна компьютерных краж — в сентябре стабильно пропадали ноутбуки и стационарные компьютеры. Более половины (11 из 19) инцидентов составили кражи и потери различного оборудования. В десятке наиболее масштабных утечек нашлось место для семи таких инцидентов.
Топ-10 утечек корпоративных данных, сентябрь 2007 г., по данным CNews.
| № | Инцидент | Дата занесения в базу | Количество пострадавших | Ущерб |
| 1 | Неизвестные взломали корпоративную сеть компании TD Ameritade и похитили приватную информацию о 6,3 млн клиентов | 14 сентября | 6,3 млн человек | $1,2 млрд |
| 2 | Кадровое агентство, оказывавшее услуги компании GAP, потеряло ноутбук с приватными данными соискателей | 28 сентября | 800 тыс. человек | $260 млн |
| 3 | Работник администрации г. Колумбус, штат Огайо, потерял резервные ленты с персональными данными госслужащих | 13 июня* | 1,3 млн человек | $239 млн |
| 4 | Министерство соцобеспечения Пенсильвании не уследило за двумя настольными компьютерами, которые хранились в собственном офисе | 11 сентября | 375 тыс. человек | $35 млн |
| 5 | Ноутбук с приватными данными, принадлежащий компании Gander Mountain, был украден у одного из ее сотрудников | 11 сентября | 112 тыс. человек | $23 млн |
| 6 | Курьерская служба потеряла компакт-диск, содержащий базу медицинской программы Tenncare | 12 сентября | 67 тыс. человек | $10 млн |
| 7 | Инсайдер из компании Pfizer скопировал конфиденциальную базу данных на собственный ноутбук. Таким образом, концерн допустил третью утечку за три месяца | 4 сентября | 34 тыс. человек | $9 млн |
| 8 | Приватные данные ипотечных клиентов банка ABN Amro обнаружились в P2P-сети Gnutella | 21 сентября | 5 тыс. человек | $900 тыс. |
| 9 | В учебном госпитале им. Джона Хопкинса пропал настольный компьютер с приватными данными | 1 сентября | 6 тыс. человек | $560 тыс. |
| 10 | Неизвестные грабители украли ноутбук инструктора калифорнийского колледжа Де Анца. На компьютере находились приватные данные студентов ВУЗа | 6 сентября | 4,5 тыс. человек | $330 тыс. |
* Предварительная информация об инциденте была известна еще в июне, однако окончательные данные о количестве пострадавших появились только в сентябре.
Второй раз подряд на первом месте рейтинга оказалась компания, которая потеряла свою клиентскую базу в результате действий злоумышленников. И эта компания опять долго отвергала факт утечки. В августе онлайновый рекрутинговый сервис Monster.com довольно быстро признал потерю базы клиентских данных. А вот в сентябре выяснилось, что брокерская фирма TD Ameritrade тянула с признанием утечки практически целый год. Дыра в защите TD Ameritrade обнаружилась в результате внутреннего расследования, однако само это расследование было инициировано благодаря клиентам компании. Произошло это после того, как многие клиенты начали получать спам со специфическим "биржевым" содержанием. Этот спам рассылался еще с октября прошлого года, но долгое время TD Ameritrade не прислушивалась к запросам возмущенных клиентов, пока один из них — известный адвокат Скотт Камбер — не подал на брокерскую компанию в суд. Это произошло в мае 2007-го, а об утечке стало широко известно только в середине сентября. То есть TD Ameritrade скрывала факт утечки до тех пор, пока ее не прижал к стенке суд. Если рассматривать регион Северная Америка и Европа, то в нем в группу особого риска утечки приватных данных попали медицинские компании (5 инцидентов), государственные учреждения (4 инцидента) и учебные заведения (5 инцидентов). Однако наиболее масштабные утечки обычно происходят с розничными торговыми сетями или финансовыми организациями с серьезной клиентской базой и разветвленной структурой. Однако и государственные структуры часто теряют базы данных с огромным количеством записей. "Студенческие" и "медицинские" утечки пока не настолько масштабны. Но по западному миру хотя бы есть более-менее достоверные сведения. А вот информации об утечках в не менее информатизированной Юго-Восточной Азии практически нет. Хотя можно быть уверенным, что азиатские приватные данные утекают к злоумышленникам ничуть не реже. Но там иная корпоративная культура, и она не предусматривает полной открытости, как на Западе. Продолжая тему корпораций, замечу, что в сентябре 2007-го в очередной раз "отличилась" компания Pfizer — допустила третью подряд утечку данных за три месяца. Она же оказалась и самой масштабной — в результате халатности сотрудника Pfizer пострадали 34 тыс. человек. Этот сотрудник скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году, не согласовав своих действий с руководством. Что происходило с данными на ноутбуке, до сих пор точно не известно.
Считая потери
В приведенной выше таблице каждому прецеденту соответствует определенная сумма финансового ущерба. Конечно, в каждом случае ущерб считается по- своему, однако существует и общая методика, с помощью которой можно посчитать ориентировочные цифры убытков. В данном случае наиболее важные моменты — общее число пострадавших людей либо скомпрометированных документов и характер утечки. Предварительный ущерб, в частности, в США можно оценить, базируясь на законе, который требует уведомлять граждан, персональные данные которых оказались раскрыты. Уведомления об инциденте в Штатах рассылает организация, которая допустила утечку. Далее определяется число людей, которые вполне вероятно станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно это значение составляет от нескольких десятых процента до нескольких процентов от общего числа людей, чья приватная информация оказалась скомпрометирована. Конечно, большинство показателей не могут быть определены с достаточной точностью, так что берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. К примеру, для коммерческой компании убытки из-за потери имиджа будут намного выше, чем для государственной структуры. В качестве примера можно рассмотреть пример с утечкой из компании GAP. Напомню, что ноутбук этой компании с приватными данными был украден неизвестными злоумышленниками — классический для последнего времени вариант. В результате кражи пострадали 800 тыс. граждан США, Пуэрто-Рико и Канады. Как отмечают специалисты, после обнаружения утечки компания GAP предприняла комплекс мер для ликвидации ее последствий. Во-первых, был создан специальный сайт, призванный помочь пострадавшим. Во-вторых, всем жертвам инцидента была предложена услуга Triple Advantage от компании ConsumerInfo.com, которая включает в себя кредитный мониторинг, а также страхование риска компрометации данных в течение одного года. В-третьих, пострадавшим были высланы уведомления и предоставлена бесплатная телефонная линия для консультаций.
По данным ConsumerInfo.Com, стоимость одного месяца кредитного мониторинга составляет $11,95, года — $143,4. Получается, что общие расходы GAP на бесплатное предоставление подобных услуг составят примерно $114 млн. Далее: средние расходы на выявление и исследование инцидента, а также уведомление пострадавших составляют $11,27 и $25,19 на одну учетную запись. Таким образом, в масштабах утечки получается сумма в $29 млн. Следует также учесть ущерб от потери привлекательности брэнда и дальнейшие мероприятия по ликвидации утечки. По данным Ponemon Institute, средние издержки от снижения привлекательности брэнда и дальнейших мероприятий по ликвидации составляют $98,32 и $47,29 на каждого пострадавшего соответственно. Для конкретной утечки это $116 млн. В общей сложности получается сумма примерно в $260 млн. Конечно, приведенные цифры не обязательно совпадают с реальными убытками, однако они дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 04 за 2008 год в рубрике безопасность
