После небывалых по масштабам убытков от внутрикорпоративных инцидентов весенних месяцев июнь принес некоторую передышку. Ущербом в 10 – 20 млн долл. сегодня уже никого не удивишь. Да и таких случаев было всего три. Стоит отметить также, что в июне почти не было "мобильных утечек". Зато сразу несколько инцидентов произошло во время транспортировки носителей с информацией. По-прежнему высоким остается и процент краж данных посредством через интернет.
Четверть всех июньских утечек составили "транспортные" инциденты. Этот факт выявляет очевидную проблему: многие организации чрезвычайно халатно относятся к перевозке физических носителей информации. Между тем, данные, которые отправляют, пусть и на дисках, а не по электронным каналам, все равно остаются "передаваемой", а не "хранимой" информацией. Соответственно, они более уязвимы, к их защите предъявляются повышенные требования. Когда организации забывают об этом, происходят подобные инциденты.
Банк Шотландии наземной почтой выслал базу данных собственных заемщиков. Диск пропал, а клиентам банка теперь угрожает кража личных данных. Технический специалист из Колумбуса (США) возил с собой резервные кассеты с приватными сведениями госслужащих штата Огайо. В конце концов, ленты были потеряны, и штат вынужден просить сотни тысяч долларов у федерального центра на компенсацию последствий утечки. В калифорнийском городке Фресно диск с персональными данными социальных работников отправили курьером, даже не попросив расписаться о доставке. Не удивительно, что посылка не достигла адресата. Кроме того, в Канаде при перевозке были украдены резервные ленты кредитной организации Coastal Community Credit Union. Воровать весьма специфичные аксессуары ради того, чтобы продать на рынке, не имеет смысла. А вот информация на кассетах записана очень ценная.
Таким образом, "транспортные" утечки стали не только самыми многочисленными в июне, но и принесли наибольший ущерб - свыше 35 млн долл. на 4 инцидента.
Топ-10 утечек корпоративных данных, июнь 2007
№
Инцидент
Дата занесения в базу
Число пострадавших (тыс человек)
Ущерб (млн долл.)
1
Инсайдер из британского интернет-провайдера Bulldog Communications во время командировки в Пакистан продал базу персональных данных клиентов.
1 июня
100
18,2
2
В Канаде при транспортировке пропали резервные кассеты кредитной организации Coastal Community Credit Union.
12 июня
120
17,2
3
Банк Шотландии выслал по почте апдейт базы данных заемщиков для кредитного агентства. Диск бесследно исчез.
6 июня
62
12,3
4
Работник из г. Колумбуса, штат Огайо, потерял резервные ленты с персональными данными госслужащих.
13 июня
65
5,4
5
С ноутбука сотрудника фармацевтического гиганта Pfizer через peer-to-peer клиента скачали файл с персональными данными работников.
18 июня
17
3,3
6
Из-за неавторизованного доступа к ноутбуку Технического университета Джорджии в Атланте в интернет попала информация о студентах.
25 июня
23
2,4
7
В калифорнийском городке Фресно курьером отправили винчестер с приватными сведениями о социальных работниках. Диск не достиг адресата.
7 июня
10
1,6
8
Персональные данные членов Федерального кредитного союза Джексонвиля проиндексировал Google, пока информация находилась на сервере типографии.
8 июня
7,5
1,3
9
Приватные данные пациентов американской больницы Конкорд просочились в интернет.
16 июня
9
1,1
10
Профессор из университета Texas A&M - Corpus Christi в отпуске потерял флэшку с данными студентов.
23 июня
8
0,87
Источник: InfoWatch, 2007
Следующая многочисленная категория – веб-утечки. Таких инцидентов набралось пять штук, почти треть от общего числа. В каждом случае своя история, но все утечки через интернет объединяет одно обстоятельство. Когда информация попадает в глобальную сеть, вернуть ее обратно уже не представляется возможным. И если некоторые инциденты – следствие халатности работников, которые по ошибке выкладывают в открытый доступ важные сведения, то другие утечки на совести скорее агрессивных поисковых машин. Навигация в интернете практически немыслима без использования поисковиков, поэтому компании, специализирующиеся в этой области, ведут нешуточную борьбу за право лидерства.
Пока пальма первенства принадлежит Google. Это можно понять и по новостям об инцидентах. Очень часто Google фигурирует как инструмент, который записал конфиденциальные данные в свой кэш и теперь демонстрирует их всем желающим. Компаниям стоит немалых трудов стереть индексные массивы поискового гиганта. Типичный пример – утечка персональных данных членов Федерального кредитного союза Джексонвиля. Информация совсем недолго пролежала на сервере типографии-подрядчика, однако роботы Google успели ее переписать.
Особняком среди интернет-утечек стоит инцидент с персональными данными сотрудников фармацевтического гиганта Pfizer. Случай нетипичен. Работник компании установил на корпоративном ноутбуке peer-to-peer клиент, чтобы скачивать музыкальные и видеофайлы других пользователей глобальной сети. Оставим на совести людей нарушение авторских прав, остановимся на вопиющем нарушении правил электронной безопасности. Сам работник открыл доступ к конфиденциальным рабочим файлам. Когда нарушение обнаружили, сведения 17 тыс сотрудников Pfizer уже по несколько раз скачали.
К крупным утечкам информации приводят и проблемы с классификацией данных. Три наиболее заметных инцидента июня не вошли в десятку лидеров, но в общей сложности обошлись пострадавшим компаниям в 645 тыс долл. В городке Шампань по ошибке с мусором выбросили и конфиденциальные документы. На официальном сайте Линчбурга опрометчиво разместили номера социального страхования служащих. А в канадском Саскатуне местные медики и вовсе продали на благотворительном аукционе приватные данные пациентов. Отсутствие классификации – налицо. А ведь для того, чтобы защищать информацию, надо знать, какие документы являются конфиденциальными, а какие могут находиться в свободном доступе.
Как подсчитывать убытки
Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. Тем не менее, существует единая методика, с помощью которой можно оценить примерные потери. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные данные оказались скомпрометированы. Уведомления об инциденте рассылает организация, допустившая утечку. Средние затраты на извещение каждого потерпевшего берутся из различных исследований. Далее определяется число граждан, которые могут стать жертвой мошенников из-за конкретной утечки. Количество жертв различается для каждой страны и сферы деятельности организации. Обычно это значение составляет от нескольких десятых процента до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.
Рассмотрим для ясности утечку персональных данных госслужащих г. Колумбуса. Работник потерял резервные кассеты с приватными сведениями 65 тыс человек. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, прямые издержки на уведомление составляют в среднем 13 долл. на каждого пострадавшего, т.е. общая сумма – 845 тыс долл. Косвенные затраты на уведомление оцениваются в 12 долл. на человека, т.е. 780 тыс долл. на всех. В нашем случае общая сумма составляет 1,63 млн долл. На проведение последующих мероприятий, организацию call-центров, судебное расследование, общение с прессой, услуги адвокатов и пр. от правительства Огайо потребуется по 47 долл. на человека. Общие убытки тогда будут равны 3,06 млн долл.
Администрация Огайо пообещала всем пострадавшим оплатить годовой мониторинг счетов, чтобы кража личности не принесла убытков гражданам. Обычно цена на подобную услугу в основных кредитных агентствах США – Equifax, Experian и TransUnion – составляет около 120 долл на человека. Однако в Колумбусе смогли договориться с небольшой техасской компанией Debix о выгодном тарифе. Debix попросила всего 660 тыс долл. за всех госслужащих.
Кроме того, известно, что 50 тыс долл. штат потратит на электронную экспертизу, которую проведут специалисты компании Interhack Corp.
Что же получается в результате? 660 тыс долл. на оплату мониторинга счетов, 50 тыс на исследование инцидента, 1,63 млн на уведомление граждан, 3,06 млн на прочие услуги. Итоговая сумма - 5,4 млн долл.
Разумеется, полученные таким способом цифры не точно совпадают с реальными убытками в каждом случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют действительному положению дел.