Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 796


Глава з

 

Самые громкие инсайдерские инциденты

Утечка интеллектуальной собственности из Lockheed Martin

Утечка из Министерства по делам ветеранов США

Саботаж в UBS PaineWebber

Кража клиентской базы японского сотового оператора KDDI

Инсайдеры в крупнейшем британском банке HSBC

База данных потребительских кредитов российских банков

База данных неблагонадежных заемщиков банка «Первое ОВК»

Утечка базы данных белорусского сотового оператора Velcom

Утечка из сингапурского филиала Citibank

Утечка интеллектуальной собственности из Acme Tele Power

Итоги

Наиболее наглядной иллюстрацией инсайдерских угроз являются реальные ин­циденты, в результате каждого из которых бизнес или правительство потеря­ли десятки или сотни миллионов долларов, а в некоторых случаях и несколько миллиардов.

Инсайдерские инциденты происходят намного чаще, чем внешние атаки. Компании стараются не афишировать свои внутренние проблемы, но авторитетные исследо­вания все равно отдают пальму первенства инсайдерам. Так, согласно исследованию 2005 E-Crime Watch Survey, проведенному организацией CERT, в ходе которого было опрошено более 800 компаний, каждая вторая компания хотя бы раз в тече­ние года пострадала от утечки чувствительных сведений. Кроме того, по даннымPricewaterhouseCoopers и СХО Media (см. исследование Global State of Information Security — 2005), опросивших более 13 тыс. компаний в 63 странах мира (в том чис­ле и в России), более половины (60 \%) всех инцидентов, связанных с ИТ-безопаснос­тью, за 2005 год произошло именно в результате действий инсайдеров. Аналитики подсчитали, что 33 и 20 \% инцидентов вызваны нынешними и бывшими сотрудни­ками соответственно, 11\% приходятся на долю клиентов компании, 8 \% происходят по вине партнеров и, наконец, 7 \% вызваны временными служащими (контрактни­ками, консультантами и т. д.). Даже если не учитывать клиентов и партнеров, то за (И) \% всех инцидентов несут ответственность нынешние, бывшие и временные со­трудники компании, что с учетом среднего ущерба каждой организации ставит про­блему утечки конфиденциальной информации на первое место в списке приорите­тов руководства компании.

Между тем это лишь обезличенная статистика. Обратимся теперь к реальным ин­цидентам — тем, которые произошли на практике, стоили пострадавшей организа­ции десятки и сотни миллионов долларов, привели к огласке и удару по репутации.

Рассмотрим десятку самых громких инсайдерских инцидентов, произошедших аа 2006 год (табл. 3.1). Где это возможно, будет приведена финансовая оценка не­гативных последствий инцидента. (Перечень составлен на основе базы инциден­тов Info Watch, содержащей описания около 500 инсайдерских инцидентов за период с конца 2004 по конец 2006 года.)

Таблица 3.1. Топ-10 инсайдерских инцидентов

 

Дита_

Организация

Описание

 

Апрель 2006 г.

Lockheed Martin

Три инсайдера из Lockheed Martin украли результаты проекта по разработке тренировочной системы для пилотов ВВС США и план действий компаний в борьбе за контракт Пентагона стоимостью $ 1 млрд. Все эти сведения были переданы конкуренту — подразделению Link Simulation and Training компании L-3 Communications. Вся интеллектуальная собственность утекла из Lockheed Martin через банальные USB-флэшки и пишущие CD/DVD-приводы

 

UpoOwiMVUUV >Р

 

Дата

Организация

Описание

Сентябрь 2006 г.

мцс

(Мобильная Цифровая Связь), владелец марки Velcom

В продаже появилась база данных более 2 млн абонентов белорусского сотового оператора Velcom. Компания обвинила в утечке партнерский банк, которому база была передана для проверки правильности указанных реквизитов при оплате услуг связи. Фирма МЦС даже собралась подать на банк в суд, хотя белорусские журналисты отмечают, что приватные базы абонентов Velcom появляются в продаже регулярно

Октябрь 2006 г.

Citibank

(сингапурский

филиал)

Инсайдер — руководитель местного отделения Private Banking в Citibank — перешел на работу в банк-конкурент UBS, прихватив конфиденциальные данные всех наиболее состоятельных клиентов. Естественно, через некоторое время UBS начал переманивать клиентов Citibank. Однако самое интересное в том, что утечка произошла самым банальным способом — по электронной почте

Октябрь 2006 г.

Acme Tele Power

Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $166 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом — по электронной почте. Теперь компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию

Рассмотрим более подробно каждый инцидент.

 

Утечка интеллектуальной собственности из Lockheed Martin

В апреле 2006 г. гигант военной индустрии (Lockheed Martin) обвинил своего кон­курента (L-3 Communications) в промышленном шпионаже. Согласно исковому заявлению, три инсайдера из Lockheed украли интеллектуальную собственность и конфиденциальную информацию корпорации, а потом продали ее конкуренту. Теперь L-3 Communications собирается нечестно выиграть миллиардный контракт Пентагона.

Корпорация Lockheed уверена, что инсайдеры передали всю информацию подраз­делению Link Simulation and Training компании L-3 Communications. Истец тре­бует направить инспекторов в эту компанию и проверить все ее компьютерные системы. В них должны найтись следы конфиденциальной информации Lockheed, которую конкурент собирается использовать в борьбе за 10-летний контракт ВВС США стоимостью $1 млрд. Предыдущий аналогичный контракт компания Lockheed им и грала в 2000 г.

І Іериую скрипку в этом скандале играли инсайдеры Кевин Спид (Kevin Speed), Стии Флеминг (Steve Fleming) и Патрик Ром;>йп (Patrick Romain). Они были иоидечены и разработку тренировочной системы для пилотов ВВС, имели доступ к большим объемам внутренних данных, включая план действий Lockheed в борьбе за контракт. Когда инсайдеры уволились, они скопировали тысячи страниц секретных до­кументов на мобильные носители и забрали их с собой. Еще одним ответчиком по иску выступает маленькая фирма Mediatech, которая является поставщиком L-3 Communications. Именно в эту фирму ушли работать три инсайдера сразу после увольнения, так что все конфиденциальные сведения довольно быстро оказались в L-3.

В заключение заметим, что миллиардный контракт — это лакомый кусочек для обеих сторон. В прошлом году корпорация Lockheed выиграла тендеры Пента­гона на $19,4 млрд, a L-3 Communications — только на $4,7 млрд.

 

Утечка из Министерства по делам ветеранов США

Инсайдер, работающий аналитиком в этом министерстве, взял домой корпоратив­ный ноутбук с персональными данными 26,5 млн бывших военнослужащих. Од­нако вскоре дом инсайдера ограбили и ноутбук украли. В результате десятки мил­лионов американцев оказались под угрозой кражи личности.

Когда об инциденте стало известно, министр по делам ветеранов Джим Николсон выступил с докладом перед сенатом США и попросил выделить $500 млн на устра­нение последствий утечки. В то же самое время аналитический центр InfoWatch оценил расходы правительства США на защиту ветеранов от кражи личности в $4 млрд. Дело в том, что распространенной практикой является предоставление всем пострадавшим вследствие утечки бесплатной услуги по мониторингу кредит­ной активности. Это уже стало частью best practices, и ни одна американская орга­низация, допустившая утечку за последние два года, ни разу это правило не нару­шила. Между тем если рассчитать стоимость мониторинга в течение года на все 26,5 млн ветеранов, то получится $3,5 млрд.

Однако это еще далеко не все потери американских налогоплательщиков. Ведь Ми­нистерству по делам ветеранов пришлось разослать 26,5 млн уведомлений об утеч­ке и организовать горячую линию для пострадавших. В результате на поддержание call-центра ежедневно уходит $200 тыс., а на рассылку уведомлений пришлось еди­новременно потратить $14 млн. Кроме того, все пострадавшие подали коллектив­ный иск против федерального правительства с требованием выплатить компенса­цию в размере $1 тыс. каждому. Таким образом, общая сумма иска составляет $26,5 млрд. В итоге потенциальный ущерб от утечки превышает $30 млрд.

 

Саботаж в UBS PaineWebber

І Іесмотря на то что сам акт саботажа имел место еще в марте 2002 г., все его по­дробности стали известны только в июне 2006 г. Представители власти и бизнеса согласились обнародовать инцидент лишь после того, как правоохранительные органы собрали убедительные доказательства того, что инициатором саботажа был системный администратор компании.

Саботажником оказался шестидесятитрехлетний Роджер Дюронио (Roger Duronio). Именно он создал и внедрил вредоносную программу и распространил ее более чем n;i 1 тыс. компьютеров в центральном офисе UBS PaineWebber, а также примерно и 370 филиалах. «Логическая бомба» была запрограммирована на 4 марта 2002 г. Именно в этот день паразит активизировался и начал удалять данные компании. В результате по всей Америке компьютеры PaineWebber вышли из строя. Деятель­ность компании замерла на несколько дней в одних филиалах и на несколько не­дель в других.

На месяц до инцидента, используя почтовую систему США, бывший системный администратор купил опцион продавца родительской компании PaineWebber на сумму более $21 тыс. Такие контракты дают покупателю этого опциона право про­дать соответствующий финансовый инструмент по оговоренной цене в течение определенного времени в обмен на уплату премии и покупаются инвесторами, ко­торые верят в снижение цен инструментов в основе опционов. Таким образом, ин­сайдер собирался заработать на крахе биржевых котировок фирмы.

Фирме UBS PaineWebber потребовалось $3,2 млн только на восстановление рабо­ты компьютеров. Убытки в результате простоя никто не подсчитывал, хотя, по мне­нию экспертов InfoWatch, корпорации UBS PaineWebber вообще повезло, что она не обанкротилась.

 

Кража клиентской базы японского сотового оператора KDDI

Под угрозой раскрытия информации о крупной утечке приватных данных инсай­деры требовали $90 тыс. у японской корпорации KDDI, являющейся вторым по Иеличине оператором сотовой связи в стране. Чтобы продемонстрировать обосно-шпшость своих угроз, 30 мая 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флэшки с приватными данными. Эти носители были просто подброшены на проходную. Однако менеджмент компании проигнориро-НИ./І требования преступников и обратился к правоохранительным органам. В те­чение двух недель полицейские контролировали переговоры шантажистов и KDDI, іі потом арестовали подозреваемых. Расследование показало, что в руки шантажис­ти действительно попала база приватных сведений о 4 млн клиентов KDD1. Каж­дая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Отметим, что все эти данные идеально подходят для осу шестилет­ний кражи личности.

Иукоиодетно телекоммуникационной компании заявило, что и утечке, 6е;»ус./іошіо, іамешаньї сотрудники самой корпорации, то есть инсайдеры. Топ-менеджмент умерен, что один из служащих специально скопировал прииатпые ( иедепия и ны-пес их на пределы компании. В целом, более 200 работ и кои KDDI имели доступ к украденным данным.

Инсайдеры в крупнейшем британском банке HSBC

Утечка данных из оффшорного подразделения международного банка HSBC при­вела к тому, что ряд британских клиентов банка потеряли свои сбережения. Зло­получное подразделение занималось обработкой данных, по сути выполняя функ­ции call-центра, и находилось в городе Бангалор, Индия.

К расследованию этого инцидента был привлечен Интерпол. Двадцатичетырехлет­ний инсайдер был арестован 27 июня 2006 г. Ему было предъявлено обвинение в несанкционированном доступе к конфиденциальной информации о счетах клиен­тов HSBC и передаче этих сведений преступникам в Великобритании. Вычислить инсайдера удалось благодаря системе безопасности самого банка HSBC. Служащий совершил ошибку — он постоянно «сливал» сведения о тех счетах, к которым у него был формальный доступ, но работать с которыми ему не требовалось для выполне­ния порученных руководством задач. Такая подозрительная активность служащего, естественно, насторожила службу безопасности.

Как стало известно, в результате согласованных действий инсайдера и его подель­ников в Соединенном Королевстве пострадало около 20 британцев, а общая сум­ма ущерба составила 233 тыс. фунтов стерлингов, или $424,8 тыс. Представитель HSBC сообщил, что банк возместит всем пострадавшим потерянные деньги. Од­нако убытки от ухудшения имиджа никто не подсчитывал.

 

База данных потребительских кредитов российских банков

Довольно темный случай — либо в России произошла очередная очень громкая утечка конфиденциальной информации, либо кто-то решил подзаработать на про­даже «цифровой куклы». Ясности нет, но потеря репутации всего финансового сообщества уже налицо.

15 августа 2006 г. ряд бюро кредитных историй (БКИ) и банков получили по элек­тронной почте предложение купить базу данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг — более 700 тыс. записей. Тем не менее есть основания полагать, что эта база — всего лишь «кукла». Дело в том, что правоохранительным органам, несмотря на все попытки, купить базу полностью так и не удалось.

В руки журналистов попала выборка из базы, датированная 7 апреля 2006 г. Каж­дая запись базы содержала ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взно­са, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций. За всю базу продавцы запросили 90 тыс. рублей, что не идет ни в какое сравнение с рыночной стоимостью кредитных историй — одна такая исто­рия в кредитном бюро стоит около $0,4. По мнению участников рынка, предлагае­мая база скорее напоминает базу данных розничных бэк-офисных банковских про­грамм. В результате в разглашении конфиденциальной информации подозревают банки, а их в торговых розничных сетях в России работает не так много. Таким образом, подозрение снова падает на инсайдеров.

 

База данных неблагонадежных заемщиков банка «Первое ОВК»

И конце августа стало известно об утечке базы данных неблагонадежных заемщи­ков банка «Первое ОВК», получавших кредиты в 2002-2003 гг. Репортеры приоб­рели диск «Банковский черный список физлиц: Москва и Московская область» в ларьке недалеко от Митинского радиорынка за 900 рублей. В отличие от базы дан-пых, которую предлагали купить банкирам в конце августа, она относительно не­большая и содержит информацию примерно о 3 тыс. неблагонадежных клиентах банка «Первое ОВК». В новой базе указаны заемщики, получившие кредиты в те­чение 2002-2003 гг., номера их домашних или мобильных телефонов, а в ряде слу­чаев — паспортные данные и домашние адреса. Рядом с каждым именем указана причина и дата занесения в черный список. Отметим, что в середине 2003 г. бан­ковская группа ОВК, созданная Александром Смоленским, была приобретена хол-дипговой компанией «Интеррос». Информация о неблагонадежных заемщиках собрана как раз в 2002-2003 гг. и имеет отметки сотрудников службы безопаснос­ти ОВК. Специалисты предполагают, что утечка произошла именно оттуда в мо­мент интеграции банков.

Корреспонденты связались с лицами из новой базы и узнали, что они действитель­но брали кредиты в «Первом ОВК» в указанные сроки. Между тем официальные представители Росбанка отказались от комментариев, заметив, что «необходимо сначала проанализировать базу и установить подлинность данных». В то же вре­мя источник в банке пояснил, что во время слияния бизнесов ОВК и Росбанка не псе сотрудники были довольны процессом интеграции и «утечка информации могла послужить своеобразной местью».

 

Утечка базы данных белорусского сотового оператора Velcom

белорусские журналисты приобрели текстовый файл с информацией о 2 млн або­нентов сотового оператора Velcom. В нем содержатся номера мобильных телефо­ном и ФИО клиентов сотового оператора. При этом белорусская пресса отмеча-ei, что базы данных Velcom регулярно становятся достоянием общественности: е 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежне­му отсутствуют.

(' іолкпуншись с волной критики, Velcom не стал отмалчиваться и сделал ряд за­явлений. Во-первых, компания сообщила, что белорусские законы не защищают персональные данные граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных кли­ентов (номер телефона и ФИО каждого абонента) «для возможности проверки ра­ботниками [банка] правильности указанных реквизитов при оплате услуг связи». Другими словами, Velcom снова не виноват в утечке. В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре. Поэтому теперь Velcom предъявляет банку претензии и «рассматривает возможность предъявления иска о защите деловой репутации». К чему такое разби­рательство может привести на практике, мы узнаем только со временем. Пока лишь отметим, что инсайдеры слишком часто уходят от ответственности...

 

Утечка из сингапурского филиала Citibank

Серьезная утечка конфиденциальной информации произошла из сингапурского филиала Citibank. Компания не стала скрывать этот инцидент от общественности и подала в суд на нескольких инсайдеров (по некоторым данным, от двух до шести человек). Оказывается, руководитель местного отделения Private Banking (обслу­живающего самых богатых клиентов) перешел на работу в банк-конкурент UBS. С собой он прихватил конфиденциальные данные всех этих состоятельных клиен­тов. Не мудрено, что через некоторое время и клиенты «перекочевали» к другому банку. Роль остальных инсайдеров до конца неизвестна, но, судя по всему, они по­могли бывшему управляющему раздобыть все конфиденциальные сведения. Заме­тим, что недовольство Citibank по поводу произошедшего вполне понятно, ведь каж­дый клиент Private Banking готов передать в управление банку сумму от нескольких сотен тысяч долларов до более $10 млн. Как отмечают эксперты Info Watch, это один из самых распространенных случаев утечки. Менеджеры высшего и среднего звена очень часто при смене работы забирают с собой конфиденциальные документы и списки клиентов бывшего работодателя. Это помогает набить себе цену в новой компании и существенно увеличить как оклад, так и проценты.

Однако это еще не самое интересное. В исковом заявлении Citibank указал, как именно корпоративные секреты покинули интрасеть. Дело в том, что инсайдеры ни от кого не скрывались и пересылали информацию просто по электронной по­чте. Вначале руководитель отдела по электронной почте собирал у подчиненных приватные сведения о клиентах, а потом выслал их себе домой на персональный ящик. Естественно, далее этот список перекочевал к новому работодателю.

 

Утечка интеллектуальной собственности из Acme Tele Power

Этот инцидент можно считать типовым. Итак, Acme Tele Power — преуспевающая индийская телекоммуникационная и технологическая компания. Бизнес строит­ся па том, чтобы разрабатывать энергоемкие решения и продавать их телекомам, которые напрямую обслуживают потребителей. Компания добилась успеха благо­даря своему отделу R&D, который постоянно выдает новые технологии, патенты м решения. Однако не все так гладко: есть конкурент — фирма Lamda Private Limited, продукты которой с недавнего времени стали очень похожи на реше­ния Acme Tele Power.

И конце лета 2006 г. наиболее лояльные клиенты Acme Tele Power посоветовали компании присмотреться к своему конкуренту, продукты которого просто повто­ряют технологии этой фирмы. Инженеры присмотрелись и действительно обна­ружили полное сходство. Начали исследовать журналы событий на сервере, где хранятся все результаты проектов R&D. Оказалось, что в апреле 2006 г. один по­мощник менеджера скачал с сервера все патенты, результаты всех инновационных проектов и другую интеллектуальную собственность, а потом просто послал всю ;пу информацию на свой персональный e-mail. Дальнейшее расследование по­казало, что в этом участвовал еще один инсайдер (один из директоров). Однако факт остается фактом — все секреты Acme Tele Power были за хорошие деньги прода­ны конкуренту — Lamda Private Limited.

По оценкам Ernst & Young, прямые финансовые убытки Acme составили $166 млн. Л юбопытно, что интеллектуальная собственность «утекла» самым обычным спо­собом — по электронной почте. Теперь компания Acme Tele Power собирается мообще перенести свой бизнес из Индии в Австралию.

 

Итоги

Анализ самых громких инсайдерских инцидентов 2006 года показывает, что компа­нии и госструктуры постоянно сталкиваются с внутренней угрозой. На практике истречаются самые разные типы инсайдеров: как лояльные, так и нелояльные, как манипулируемые, так и обиженные. Кроме того, каждая громкая утечка приводит к ухудшению имиджа компании, муссированию этой темы в прессе и плохому паб­лисити. Опыт показывает, что бизнес и чиновники недооценивают репутационные риски, вызываемые инсайдерскими инцидентами. Между тем анализ годовых финан-еоиых отчетов тех компаний, которые зафиксировали громкие утечки более 12 ме­сяцем} назад, показывает, что ухудшение имиджа может привести к снижению чис­той прибыли на 20-30 \% в результате недополученного дохода. Убедиться в этом можно, ознакомившись со структурой убытков компании ChoicePoint, допустившей утсіку в 2005 г.

Таким образом, руководству следует крайне серьезно подходить к проблеме инсай­дером и утечек. Не стоит забывать, что профилактика проблемы намного лучше ее чечгпия. Ну а оказаться в списке ТОР-10 наподобие изложенного выше и врагу иг пожглаешь.

 

 


Оцените книгу: 1 2 3 4 5