30.12.2009
Как сообщает аналитический центр InfoWatch, компании, специализирующейся на борьбе с утечками данных, 2009 год стал рекордным по количеству новостей об утечках информации. Практически не прошло и дня без публикации о какой-либо утечке. Раньше такая новость могла находиться на первой полосе новостей, по крайней мере, в течение недели, а сейчас эти новости меняют друг друга в заголовках CNN подобно котировкам на бирже.
Итак, в преддверии нового 2010 года в заголовках все чаще появляются новости о нормативном контроле, о подаче исков, о взыскании штрафов и многое другое. Утечки информации являются угрозой и должны быть предотвращены любой ценой. Источниками наибольших угроз в области информационной безопасности в уходящем году были вредоносное ПО, инсайдеры* и социальные сети.
Уходящий год стал «урожайным» с точки зрения утечек, произошедших по вине инсайдеров. Большая часть подобных утечек не была освещена в прессе по причине того, что их пытались скрыть или велось «вечное» расследование. Далее следуют примеры наиболее громких утечек, произошедших по вине злоумышленников или по невнимательности служащих.
В компании Symantec, сотрудник международного офиса совершил кражу номеров кредитных карт клиентов. Сообщение об этом появилось только в заголовках BBC, где сообщалось о том, что эти данные они получили от человека, работающего в Индии. Большинство данных принадлежало американским клиентам.
Сотрудница AT&T , работающая в компании по совместительству, была арестована по обвинению в краже персональной информации 2100 своих коллег и в присвоении более 70 000 долларов, которые были взяты посредством краткосрочных кредитов, оформленных на имена 130 из пострадавших.
На клинику Kaiser Permanente, в городе Беллфрауэр, Калифорния, был наложен штраф в размере $250 000 за несостоятельность в обеспечении безопасности доступа к конфиденциальным секретным данным пациентов. Второй штраф составил $187,500 по тому же нарушению.
Также имел место случай с украденным ноутбуком, в котором хранилась база данных с информацией на 800 000 докторов. Это практически все доктора Соединенных Штатов. Подозреваемым в этом деле проходил якобы сотрудник чикагского офиса Blue Cross and Blue Shield Association, который скачал базу на свой домашний персональный компьютер. Инсайдеры, будь они злоумышленниками, неподготовленными или просто невнимательными сотрудниками представляют собой растущую угрозу не только на грядущий 2010 год, но и на все времена.
«Наша компания именно тем и занимается, что защищает от утечек, - считает главный аналитик InfoWatch, компании специализирующейся на борьбе с утечками данных. - . И я вам так скажу. Из перечисленного списка лишь одна утечка (утрата ноутбука) могла быть предотвращена легкоисполнимым способом (шифрованием диска). Для всех остальных случаев потребовалась бы сложная работа по упорядочиванию бизнес-процессов всей компании или, того хуже, государственного органа. А человек (особенно начальник) - это вам не компьютер. Ему патч против чванства не накатишь и дырку жадности межсетевым экраном не прикроешь. Хотя надо признать, что стоимость защиты от утечек в большинстве случаев сильно ниже, чем ущерб.»
Проводя анализ крупнейших утечек года, ведущие мировые эксперты задают себе один вопрос: как их можно было избежать? Это удивительно, но для предотвращения крупнейших утечек этого года всего-то нужно было предпринять простые меры безопасности: выбрать и запустить в действие нужное решение по защите конфиденциальной информации (InfoWatch Traffic Monitor), обучить персонал, заблокировать доступ к системе, установить фильтр, провести мониторинг или отключить аккаунт. Конечно, легче советовать, оглянувшись назад, но основные стандарты безопасности существуют и соблюдение культуры безопасности – не слишком высокое требование. Дело в том, что большинство предприятий прекрасно знают свои уязвимые места. Но, зная их, они до сих пор играют с огнём и надеются, на то, что они не сгорят. К сожалению, сегодня «сгореть» означает не получить ожог 1-й степени, а кремация.
Источник: Информационная служба "InfoWatch"