Дайджест событий ИТ-безопасности
Инсайдеры орудуют в call-центрах Шотландии
Мобильные компьютеры и самолеты
В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Так, в российских интернет-магазинах появилась приватная база данных петербургского хостинг-оператора Valuehost. А у технического директора NASA украли четыре ноутбука и КПК с конфиденциальной информацией. Американские военные выложили в Сети подробные инструкции по созданию ядерного оружия, а шотландская полиция выяснила, что все местные call-центры опутаны криминальной сетью инсайдеров. Наконец, в США произошла политическая утечка, в результате которой злоумышленники могут влиять на результаты голосования.
Российские утечки
Начать очередной дайджест следует с утечки приватной базы данных петербургского хостинг-оператора Valuehost (http://www.infowatch.ru/threats?chapter=147151398&id=203380140). Как оказалось, целый ряд электронных магазинов (www.plati.ru, www.zaplati.net и www.privet.in) предлагает простой и незатейливый товар — базу данных Valuehost.ru со всеми логинами и паролями. Информация о размещении базы датирована концом сентября 2006 глда. Как уверяет продавец, скрывающийся под псевдонимом Money-monster, всего за 8886 руб. любой желающий может получить логины и пароли к 101 тыс. сайтов (70 тыс. пользователей). Покупатель базы сможет изменить содержание этих сайтов, как ему заблагорассудится. По мнению экспертов InfoWatch, база может оказаться последней. В противном случае фирме пора задуматься о борьбе с инсайдерами.
Еще одна утечка произошла в Звездном городке, распложенном в Щелковском районе Московской области http://www.infowatch.ru/threats?chapter=147151398&id=203449984). Неизвестные обокрали технического директора офиса NASA при Центре подготовки космонавтов (ЦПК) им. Ю.А.Гагарина. Грабители проникли и украли четыре ноутбука и карманный компьютер. Судя по всему, на них были записаны приватные сведения владельца, а, возможно, и конфиденциальная информация NASA. По мнению экспертов InfoWatch, американское космическое агентство может очень дорого заплатить за эту утечку.
Атомная утечка из США
Одним из наиболее скандальных инцидентов ушедшего месяца можно считать утечку из Пентагона секретной технической информации о том, как собрать атомную бомбу. Военные выложили подробные чертежи на сайт, созданный для пропаганды и обоснования причин войны в Ираке, под предлогом того, что эти важные сведения были изъяты у боевиков, Пентагон словно бы заявил: «Посмотрите, какую секретную документацию мы нашли у иракских военных!» Однако тот факт, что информации действительно достаточно, чтобы создать ядерное оружие, почему-то выпал из поля зрения Пентагона. Как указывают эксперты InfoWatch, инцидент явно демонстрирует слабость системы классификации данных в военном ведомстве США.
Когда журналисты New York Times обнаружили сайт, они тут же направили запрос в Пентагон. Военные моментально убрали всю информацию из Интернета и отказались от комментариев до выяснения обстоятельств. Между тем МАГАТЭ уже направило ноту протеста правительству США, хотя это вряд ли поможет. В базе инсайдерских инцидентов InfoWatch легко можно найти случаи, когда на государственных сайтах США появлялись материалы, ставящие под угрозу жизнь президента и безопасность всей страны.
Инсайдеры орудуют в call-центрах Шотландии
Для спецслужб Великобритании уже давно не секрет, что в Шотландии преступники посредством сети инсайдеров опутали десятки call-центров (http://www.infowatch.ru/threats?chapter=147151398&id=204930116). Полиция Глазго просто выбивается из сил, но не может изменить ситуацию. Криминальные элементы специально выслеживают работников call-центров, выявляют злачные места, в которые довольно часто заходят служащие после работы. Потом подсаживаются к ним и угрозами или посулами склоняют к сотрудничеству. Кроме того, современная мафия применяет и другие способы, например внедряет своих агентов в call-центры. Благо открытых вакансий на эту работу в одном лишь Глазго десятки и даже сотни. По мнению аналитического центра InfoWatch, через несколько лет Россия столкнется с такой же проблемой. Организованная преступность не преминет воспользоваться растущей информатизацией нашего общества. По мере роста популярности кредитных карт и других электронных инструментов именно от инсайдеров будет зависеть безопасность персональных данных граждан.
Конечно же, шотландские полицейские не только знают об инсайдерской сети в call-центрах Глазго, но и пытаются упредить криминальную активность. Однако вместо того, чтобы побудить компании использовать технические и организационные средства защиты, полицейские стараются лично встретиться с каждым новым служащим call-центра. Они проверяют прошлое инсайдеров и объясняют, что преступников бояться не следует, надо просто сразу идти в полицию. Как указывают эксперты InfoWatch, шотландские блюстители порядка совершенно адекватно оценивают степень опасности инсайдерской угрозы. Но вот защитные меры принимают совсем не в том направлении. Намного дешевле внедрить систему защиту от утечек и инсайдеров, чем пытаться воздействовать на каждого потенциального ренегата лично.
Ноутбуки мрут как мухи
Ноутбуки с персональными и конфиденциальными данными все еще продолжают пропадать в огромных количествах. За прошедший месяц база инсайдерских инцидентов InfoWatch пополнилась 25 мобильными утечками. Например, отличилась канадская компания Starbucks, у которой преступники украли два ноутбука с приватными сведениями 60 тыс. бывших и нынешних работников компании. Теперь фирме пришлось потратить кругленькую сумму, чтобы оплатить мониторинг банковских счетов всех этих служащих. Еще одна неприятная новость пришла тоже из Канады. Здравоохранительная организация Calgary Health Region осталась без ноутбука с персональными данными 1 тыс. детей и их родителей. Помимо личных сведений на ПК хранились истории болезней детей. Руководство учреждения в свою защиту заявляет, что информация была защищена паролем. Однако об использовании шифрования и речи не идет. По мнению аналитического центра InfoWatch, топ-менеджмент просто пытается скрыться под завесой никчемных аргументов. Но сохранить лицо уже не получится.
Продолжаем наш хит-парад утечек. Следующим отличился университет Hilb Rogal&Hobbs. Его служащие где-то потеряли ноутбук с приватными данными 1,2 тыс. студентов и преподавателей. Говорить о краже личности пока рано, так как номеров социального страхования среди пропавших данных не было. Тем не менее, как указывают эксперты InfoWatch, даже имеющейся информации (номера водительских прав и адреса) достаточно, чтобы причинить немало неприятностей гражданам.
И снова в нашем дайджесте встречается Министерство по делам ветеранов США, которое в очередной раз порадовало американскую прессу новой утечкой. Теперь из госпиталя в Нью-Йорке пропал ноутбук с персональными данными 2 тыс. граждан. Снова из бюджета придется выделять деньги на рассылку уведомлений и мониторинг банковских операций. На памяти экспертов InfoWatch это уже четвертая утечка приватных данных из Министерства по делам ветеранов за год.
Заканчивая череду массовых утечек, остановимся на хорошей новости. Британское управление по финансовым услугам призналось в том, что потеряло 17 ноутбуков с чувствительными данными за последние три года. Однако все они были надежно зашифрованы. Так что совокупные потери управления составили всего 13 тыс. фунтов стерлингов — стоимость пропавшего оборудования. Как отмечают эксперты InfoWatch, такой правильный и максимально эффективный подход к безопасности данных, к сожалению, встречается крайне редко.
Мобильные компьютеры и самолеты
Интересный инцидент произошел в T-Mobile USA, дочерней компании Deutsche Telekom. Сотрудник фирмы во время авиа-перелета сдал в багаж ноутбук с персональными данными 43 тыс. бывших и нынешних служащих фирмы. После приземления ноутбук пропал (http://www.infowatch.ru/threats?chapter=147151398&id=203605153). Теперь все эти люди должны постоянно проверять свои банковские счета, опасаясь кражи личности. Как указывают эксперты InfoWatch, путешествие с ноутбуком на самолете — это одна из тех спорных ситуаций, выход из которой не очевиден. С одной стороны, мобильный компьютер нельзя сдавать в багаж ни при каких обстоятельствах. Об это написано в инструкции к ноутбуку и в любой корпоративной политике безопасности. С другой — некоторые аэропорты и авиаперевозчики запрещают пассажирам проносить вычислительную технику в салон в связи с обострением террористической угрозы. Так что бизнесменам надо принимать решение. Судя по всему, лучше отказаться от использования ноутбука, чем сдавать его в багаж.
Аутсорсинг — синоним утечки?
Еще одна интересная утечка произошла из американской фирмы GDXData. Эта компания выиграла государственный контракт, в рамках которого ей были переданы персональные данные госслужащих. Фирма проиндексировала эти сведения и передала в рамках аутсорсинга своему индийскому субподрядчику (http://www.infowatch.ru/threats?chapter=147151398&id=204141321). Все было бы хорошо, но две сотрудницы GDXData увидели большую угрозу безопасности приватных данных, ведь индийский партнер мог делать с ними все, что захочет. В результате две служащие обратились в суд, и теперь в американском обществе зреет скандал. Не только GDXData может лишиться многомиллионных государственных контрактов, но и сам аутсорсинг проектов, для которых требуется обрабатывать персональные данные, может оказаться вне закона. Прямо сейчас GDXData угрожают суровые штрафы и лишение контракта. По мнению аналитического центра InfoWatch, государственному подрядчику обязательно следовало уведомить заказчика об аутсорсинге приватных данных. Видимо, фирма GDXData захотела не только сэкономить на работах, но еще и скрыть факт аутсорсинга от заказчика. Теперь она может потерять все свои государственные контракты и вообще лишиться своего бизнеса.
Однако еще более интересно отношение самих граждан к такого рода утечкам. Последние исследования (http://www.infowatch.ru/threats?chapter=147151396&id=203982903) показали, что клиент, вероятно, сможет простить фирму, если та допустит утечку его персональных сведений. Однако если утечка произойдет из третьей компании, работающей на данную фирму, то на снисхождение рассчитывать нельзя. Клиент наверняка отправится к конкуренту и воспользуется именно его товарами и услугами.
Злостный нарушитель
Посмотрим теперь на одну американскую компанию, которая систематически подвергает своих клиентов рискам. Речь идет о фирме Affiliated Computer Services (ACS) (http://www.infowatch.ru/threats?chapter=147151398&id=205275981). Она уже не раз попадала в заголовки новостных лент из-за своего безалаберного отношения к персональным данным. Вот и на этот раз из офиса ACS был украден ПК с приватными сведениями 1,4 млн граждан. Заметим, что в августе текущего года сбой в программном обеспечении ACS привел к тому, что в Интернете были выложены персональные данные 32 тыс. студентов. А чуть раньше, в конце мая, из чикагского офиса ACS были похищены два компьютера с приватной информацией служащих Motorola. Сегодня представители ACS отмахивается от всех обвинений в свой адрес. Они не считают, что их компания халатно относится к защите личных сведений клиентов и партнеров. Однако, по мнению аналитического центра InfoWatch, три утечки подряд можно объяснить только безалаберностью руководства ACS.
Политическая утечка
Очередная и довольно любопытная утечка произошла из компании Diebold (США). Эта фирма производит программное обеспечение для проведения федеральных электронных выборов. Однако исходные коды машины для электронного голосования уже в который раз утекают из Diebold. Используя эти коды, можно фальсифицировать карточки для голосования и влиять на результаты выборов. Судя по всему, на этот раз утечка произошла по вине инсайдеров, которые просто слили ценные исходные коды на компакт-диски (http://www.infowatch.ru/threats?chapter=147151398&id=203983187). Отметим, что в начале 2003 года секретные исходники Diebold удалось отыскать в Google с помощью нужного поискового запроса. По мнению экспертов InfoWatch, разработчикам критически важных и частных программ нужно намного внимательнее подходить к защите своей интеллектуальной собственности. Именно исходные коды являются тем информационным активов, который держит на плаву весь бизнес таких компаний. Так что защитить его от утечки — дело первостепенной важности.