В рубрику "Исследование" | К списку рубрик | К списку авторов | К списку публикаций
ЧТОБЫ подвести итоги ушедшего года в плане внутренней информационной безопасности (ИБ), следует в первую очередь проанализировать инциденты, зафиксированные в 2006 г. С этой целью аналитический центр InfoWatch рассмотрел все утечки конфиденциальных или персональных данных, случаи саботажа или халатности служащих, а также другие инциденты внутренней ИБ, хотя бы раз в течение 2006 г. упоминавшиеся в СМИ.
Отметим, что данное исследование - первый российский проект, направленный на исследование инцидентов внутренней ИБ. В 2004 г. аналитический центр InfoWatch компании приступил к формированию базы инцидентов. На сегодняшний день база содержит около 500 записей, из которых 145 было добавлено в течение 2006 г. Именно этот массив инцидентов послужил исходными данными для исследования.
Остановимся, прежде всего, на основных результатах исследования. В частности, в ходе анализа удалось выяснить, что именно бизнес больше всего страдает от утечек конфиденциальной информации. Так, 66% внутренних инцидентов пришлось на частные предприятия. Более того, бизнес несет и основное бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит от ее репутации, а именно по ней утечка наносит удар в первую очередь.
Кроме того, в 2006 г. от утечек информации пострадало огромное число граждан. Всего полторы сотни инцидентов поставили под угрозу кражи личности более 80 млн человек. Многие из них теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю. Между тем каждая утечка персональных данных оборачивается миллионными убытками (в долларах). Помимо финансового ущерба непоправимо ухудшается репутация компании, под угрозой кражи личности оказываются сотни тысяч людей. В среднем от каждой утечки приватной информации в 2006 г. пострадало 785 тыс. человек.
В то же время организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска. Использование именно мобильных устройств в половине всех инцидентов (50%) привело к утечке информации, в то время как Интернет использовался в качестве канала утечки всего в 12% случаев.
Наконец, наибольшую опасность для бизнеса представляют безалаберные сотрудники. По причине халатности в 2006 г. произошло подавляющее большинство (77%) всех утечек. Таким образом, инсайдеры могут найтись в любом коллективе.
Исследование 145 инцидентов внутренней ИБ показало, что утечки носят глобальный характер. Невозможно выделить ни сферу деятельности, ни географический регион, где бы компании не пострадали от инсайдеров вообще или страдали не так часто. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения - все эти организации зафиксировали массу утечек в 2006 г. Инсайдеры поставили под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы. Все те же мобильные устройства, все тот же Интернет. В результате информация под грифом "секретно" неоднократно оказывалась в свободном доступе в Интернете, у журналистов или иностранных государств.
На рис. 1 представлено распределение инцидентов внутренней IT-безопасности по государственному и коммерческому секторам. Легко видеть, что на долю частных предприятий приходится в 2 раза больше утечек, случаев саботажа и других инцидентов, чем на госструктуры. Это можно объяснить несколькими обстоятельствами. Во-первых, количество частных организаций значительно превышает число государственных. Во-вторых, госструктурам легче скрыть факт утечки. Ведь нередко именно регулирующий орган допускает внутренний инцидент ИБ. Таким образом, возникает проблема отсутствия контроля над контролером (регулятором). Вместе с тем о фактах кражи информации из госструктур иногда становится известно. Это происходит либо когда инцидент просто невозможно утаить, либо когда требуется провести показательное дело с наказанием виновных. К примеру, в течение многих лет правительство США умалчивало случаи нарушений внутренней ИБ. А теперь одна за другой появляются новости об утечках и "дырах" в системах безопасности. Одним из последних в ноябре 2006 г. налоговое управление США сообщило о пропаже почти 500 ноутбуков за последние 4 года.
Положение коммерческих предприятий ухудшается не только из-за большого числа утечек, но еще и из-за повышенного ущерба от каждой из них. Если рассмотреть потери вследствие утечек, то окажется, что основные убытки фирмы несут из-за ухудшения репутации или снижения привлекательности торговой марки. Для госструктур подобная проблема не столь актуальна. На конкурентном рынке представлено много игроков, и клиенты могут легко сменить запятнавшего свою репутацию поставщика, но альтернативы собственной стране и ее министерствам просто нет. К примеру, налоговая служба допустила утечку большого количества данных предприятий или частных лиц. Население будет крайне недовольно случившимся, но от услуг государства отказаться не сможет в принципе.
Инсайдеры крадут любую конфиденциальную информацию. Однако, как выявило исследование (см. рис. 2), персональные данные становятся объектом утечки в несколько раз чаще любой другой информации. Хотя интеллектуальная собственность, коммерческие и промышленные секреты представляют собой несомненную ценность, именно эти приватные данные чаще всего становятся добычей инсайдеров.
Между тем оба типа утечек (кражи персональных данных клиентов и кражи секретов фирмы) очень опасны для бизнеса. Исследование однозначно показывает, что в результате хищения приватных данных страдает несравнимо большее количество людей. На рис. 3 сравниваются суммарное количество пострадавших от утечек за весь 2006 г. и среднее число жертв каждой утечки персональных данных. Как оказалось, каждый инцидент ИБ, где раскрывается частная информация граждан, угрожает кражей личности в среднем 785 тыс. граждан.
На рис. 4 представлены доли утечек, приходящиеся на различное число пострадавших. Как оказалось, наибольшее число инцидентов затронуло относительно малочисленные группы. Например, 33% утечек нанесли вред только до 5 тыс. граждан; 28% - от 5 тыс. до 50 тыс. Однако, как уже известно, среднее число пострадавших равно 785 тыс., что намного больше указанных выше цифр. Дело в том, что огромное влияние на этот усредненный показатель оказали сверхкрупные утечки персональных данных, произошедшие в 2006 г. Прежде всего, на память приходит майская утечка из Министерства по делам ветеранов в США.
Наиболее важный вопрос -как именно информация утекает чаще всего. Чтобы бороться с утечками, необходимо прежде всего идентифицировать каналы утечки. Причем если специалистам по ИБ нужно для этого время, то инсайдеры чаще всего уже знают, как именно можно украсть документ. Так что эффективная система защиты должна перекрыть все возможные лазейки. Обратимся к результатам исследования на этот счет (см. рис. 5).
Наибольшее количество утечек (50%) произошло через мобильные устройства (ноутбуки, КПК, USB-флэшки, CD и DVD-диски и др.). Компактность мобильных устройств, кроме всех очевидных преимуществ, имеет и один менее заметный недостаток в отношении защиты информации. Такое устройство, как ноутбук, КПК или флэш-карта, очень легко потерять или спрятать. Вследствие непреднамеренной потери носителя информации конфиденциальные данные попадают к неизвестным людям, которые распоряжаются ими по своему усмотрению. В то же время внутренние нарушители легко могут спрятать маленький носитель и вынести данные с рабочего места. Второй по распространенности канал утечек - это Интернет (12%). Интернет не так популярен, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину. 5% инцидентов произошло через неправильно утилизированные или утерянные резервные носители. По 3% пришлось на электронные послания и факсы, а также на почту; 17% инцидентов внутренней ИБ произошли по другим каналам, например утечка вследствие аутсорсинга неблагонадежному партнеру. В 10% случаях не удалось выяснить, каким образом была украдена информация.
Корыстные инсайдеры -лишь одна из категорий недобросовестных работников. Данное исследование показывает (рис. 6), что по вине безалаберных сотрудников происходит значительно больше утечек (77%). Главная причина инцидентов внутренней ИБ - невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами, и поставляют конфиденциальную информацию недоброжелателям, которые манипулируют ими с помощью методов социальной инженерии. Эти результаты лишний раз подчеркивают, что инсайдеры могут быть в любом коллективе.
В подтверждение тезиса о крупнейших за всю историю использования электронных средств передачи данных утечках информации, приведем ниже пять примеров самых громких утечек 2006 г. (см. таблицу). Количество пострадавших от пяти приведенных в таблице инцидентов составило без малого 50 млн человек..
Например, в США 3 мая 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск. В результате в руках недоброжелателей оказались персональные данные 26,5 млн ветеранов и 2,2 млн нынешних военнослужащих.
Крупнейшая утечка в Британии произошла в августе 2006 г. Неизвестные проникли в дом одного из сотрудников Nationwide Building Society и украли ноутбук с незашифрованной информацией о клиентах компании. Под угрозу кражи личности попали 11 млн человек. Компания Nationwide сразу известила полицию, но оперативные розыскные мероприятия ничего не дали. Спустя 3 месяца компания начала рассылать уведомления потерпевшим.
Остальные утечки, хотя и не такие крупные, нанесли ущерб миллионам людей.
Обращает на себя внимание тот факт, что в 4 из 5 самых крупных инцидентов информация пропала с мобильных компьютеров. В тех же самых случаях причиной утечки информации является небрежное отношение работников к закрытым данным. Например, в случае с американскими ветеранами сотрудник не должен был хранить секретную информацию дома. Еще более грубым нарушением норм ИБ является то, что всякий раз файлы на мобильных носителях были незашифрованы.
2006 г. превзошел все предыдущие года и по количеству инцидентов внутренней ИБ и по масштабу убытков. Произошло сразу несколько крупнейших утечек. В их числе пропажа персональных данных о 28,7 млн военнослужащих и ветеранов вооруженных сил из Министерства по делам ветеранов США, а также утечка приватной информации об 11 млн членов британского Nationwide Building Society. Все это дает основания назвать ушедший год "годом утечек информации".
Сами по себе цифры о десятках миллионов пострадавших людей и миллиардах долларов экономического ущерба выглядят устрашающе. Одновременно печальные примеры беспечных организаций должны послужить стимулирующим фактором для организаций. В то же самое время, несмотря на все плохие новости, в отрасли отмечаются положительные сдвиги. Руководители компаний уже начинают осознавать всю серьезность проблемы утечек. В немалой степени этому способствует популярность и широкое внедрение различных иностранных и международных стандартов и законодательных актов. Приятно отметить, что и в России наконец-то приняли Федеральный закон "О персональных данных". Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными.
Таковы итоги 2006 г. Хочется надеяться, что наступивший 2007 г. станет переломным этапом в отношении внутренних угроз. В данный момент большинство компаний уже обратили внимание на бреши в системах защиты, которые позволяют конфиденциальным сведениям легко покидать периметр организации. Остается лишь найти лучшее решение и внедрить необходимые комплексы.
Для коммерческой организации, на мой взгляд, потеря репутации является самой страшной угрозой. Дело в том, что доброе имя нельзя создать в короткий срок, даже имея очень много денег. Организации тратят годы на то, чтобы сделать свою торговую марку узнаваемой, развивают лояльность к своей марке со стороны клиентов. Между тем всего одна утечка может разом перечеркнуть долгие годы усилий.
Большинство утечек в базе инцидентов InfoWatch относятся к США, где значительно более развиты финансовые институты, кредитная система и т.д. Поэтому в США так остро стоит проблема кражи личности. То есть в результате простой утечки персональных данных граждане могут остаться без банковских накоплений. В России все совсем по-другому. На утечку приватных сведений мы реагируем болезненно, но финансовых проблем это нам не доставляет. А вот кража коммерческой информации - это очень серьезная угроза для современных организаций. Возможно, Закон "О персональных данных" заставит российский бизнес относиться с уважением и к приватным сведениям граждан, но пока что организации озабочены защитой только конфиденциальной коммерческой или промышленной информации.
Большое количество происходящих сегодня внутренних инцидентов вызвано тем, что лишь немногие организации используют средства защиты от утечек информации. Почему это происходит? Скорее всего, потому что сегодня еще не сформировался единый и общепризнанный подход к тому, как надо защищаться от утечек, какие меры и технологии использовать. В результате на рынке появилось довольно много самых разных решений, каждое из которых имеет свои плюсы, но совсем не похоже на решения конкурентов. Поэтому компаниям сложно выбрать поставщика и запланировать бюджет. Тем не менее через несколько лет ситуация должна стабилизироваться. Я уверен, что ускоспециализированные канальные решения "вымрут", так как нет никакого смысла защищать только электронную почту или Интернет, включая средство защиты от утечек в антивирусные и антиспам-фильтры. Будущее, несомненно, за комплексными и интегрированными решениями, которые сфокусированы только на защите от утечек и покрывают абсолютно все каналы.
Огромное количество утечек указывает на то, что предприятия либо игнорируют проблему утечек информации, либо защищаются, но очень слабо. Между тем это выглядит по меньшей мере самонадеянно. Если говорить о крупном российском бизнесе, то здесь ситуация немного лучше. Многие организации уже озаботились проблемой защиты от утечек, их процент постоянно растет. Я думаю, что со временем средства внутренней ИБ превратятся из диковинки в стандартные компоненты ИТ-инфраструктуры.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007