Интернет-утечки. Апофеоз халатности

 В прошлом месяце особенно досталось организациям финансового сектора. Только две процессинговые компании потеряли базы данных с персональными данными 3,3 млн. клиентов. Интернет-утечки стали настоящей эпидемией в США. Десятки организаций и учреждений выкладывали в общий доступ огромное число персональных данных людей и конфиденциальных документов. Вопиюще слабой оказалась информационная безопасность в областях с особой ответственностью, причем отличились и военные, и полицейские, и банкиры.

В предыдущие месяцы немало было инцидентов, когда документы с персональными данными нерадивые служащие попросту выбрасывали в мусорные баки. В прошлом году крупный скандал разразился в Британии. Оказалось, несколько банков на островах тоже неправильно утилизируют ненужные анкеты вкладчиков. Да уже и этим летом приватные данные нашли за заброшенным зданием супермаркета Winn Dixie. Однако, как теперь выясняется, вовсе не обязательно марать руки и ходить по развалинам в поисках вожделенных сведений. Достаточно пройтись по интернет-сайтам американских государственных учреждений и частных компаний.
Более половины (11 из 21) всех инцидентов за месяц — это утечки через интернет. В большинстве случаев конфиденциальные данные из-за халатности ответственных сотрудников оказывались в свободном доступе на веб-сайтах или ftp-серверах организаций. Более того, сведенные в один инцидент утечки от подрядчиков военного министерства США на самом деле составляют несколько десятков дыр. И через каждую брешь любой пользователь Сети мог спокойно получить интересующую информацию. Персональные данные американских морских пехотинцев, планы военных баз и линий коммуникаций в Ираке и Афганистане, схему тюрьмы для военных заключенных, сведения о новейших разработках, директивы командования и многое другое. Среди организаций, которые не умеют обращаться с секретными данными, оказались Инженерный корпус вооруженных Сил США (Army Corps of Engineers), национальное агентство США по разведке земной поверхности (The National Geospatial-Intelligence Agency), национальные лаборатории в Лос-Аламосе и Сандии (Los Alamos National Laboratory, Sandia National Laboratories), компании Benham Companies LLC, SRA International Inc. и другие.

В целом, июль выдался богатым на утечки. За 22 рабочих дня зарегистрирован 21 инцидент внутренней безопасности. Заметно активизировались преднамеренные инсайдеры. Двое лондонских полицейских даже открыли собственное детективное агентство, чтобы продавать больше добытой информации. Работник финансового департамента Сент-Луиса собирался шантажировать руководство. Инсайдер из Boeing собирался привлечь внимание общественности. А внутренние нарушители из процессинговых компаний Alta Resources и Fidelity National Information Services украли электронные базы данных о более чем 3 млн человек. Мечта любого мошенника. Даже если часть кредитных карт потребует пин-кодов или окажется просроченной, из нескольких миллионов можно найти достаточно номеров, с которых можно совершать online-покупки.

Июльские инциденты продемонстрировали слабость систем электронной защиты в финансовом секторе. По логике вещей, кредитные организации и процессинговые компании должны быть исключительно бдительны и прекрасно защищены от утечек. Ведь они оперируют огромными суммами денег большого количества людей и фирм. Разумеется, данные финансовых организаций являются лакомым куском для различного рода преступников. Однако в реальности многие учреждения оказываются беззащитными перед любой внутренней угрозой. Все те же инсайдеры из Alta Resources, Fidelity National Information Services, финансового департамента Сент-Луиса, а также из токийского Resona Bank не испытали никаких препятствий, чтобы скопировать информацию. Еще один банк, который пострадал от утечки — это First Bank из Техаса. Хочется верить, что в инциденте с ноутбуком злого умысла работников не было. Кроме того, банк ответственно подошел к устранению последствий утечки. Всем пострадавшим оплатили двухлетний мониторинг счетов и пообещали внедрить системы защиты от утечек. Поэтому за будущее First Bank можно не опасаться. Сегодняшние траты сторицей окупятся завтра. А инцидент можно рассматривать как дорогой урок по защите от утечек.

И в заключение несколько слов об очередной крупной утечке из авиаконцерна Boeing. Прошлый раз авиастроители потеряли ноутбук с персональными данными 382 тыс работников. Теперь с завода «утекли» сотни тысяч внутренних документов. Инсайдер, инспектор подразделения контроля качества, в течение 2 лет копировал информацию на домашний компьютер с помощью обычной флешки. На заводе налицо проблемы с электронной безопасностью. Карательными мерами их не решить. Необходимо строго регламентировать доступ работников к данным. А непосредственно работу с файлами контролировать с помощью систем защиты от утечек. Тогда количество внутренних инцидентов будет сведено к минимуму.

Как подсчитывать убытки

Ущерб от утечек определяется по-своему в каждом конкретном случае. Тем не менее, существует общая методика, с помощью которой можно посчитать ориентировочные убытки. В основе схемы лежит общее число пострадавших людей либо скомпрометированных документов, и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались раскрыты. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях одни только почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.

Рассмотрим для ясности пример с утечкой из компании SAIC. Сотрудники компании переместили на незащищенный сервер персональные данные 580 тыс военнослужащих и членов их семей. По оценкам самой SAIC, предварительный ущерб составит около 10 млн долл. Не считая оплаты мониторинга счетов пострадавших. Видимо, 10 млн компания планирует потратить на расследование инцидента, уведомление людей, найм адвокатов. Кроме того, SAIC заключила контракт с фирмой Kroll на годовое обслуживание банковских счетов военнослужащих. Цена на данную услугу обычно составляет около 120 долл. на человека. Для 580 тыс человек это солидная сумма в 69,6 млн долл.

Далее следует учесть ущерб от потери привлекательности бренда. Уже в первый день после инцидента акции SAIC упали в цене на несколько центов. В перспективе у компании возникнут трудности с привлечением новых заказов. Обратимся к исследованию «2006 Annual Study — Cost of a Data Breach». По данным Ponemon Institute, средние издержки от снижения привлекательности бренда составляют 98,32 долл. на каждого пострадавшего. Для конкретной утечки — 57 млн долл.

Итого имеем 10 млн долл. — предварительные расходы, 69,6 млн долл. — оплата мониторинга счетов, 57 млн долл. — убытки из-за вреда имиджу компании. В сумме получается более 136 млн долл.

Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.