Globalne badanie wyciek贸w danych 2006

Centrum analityczne firmy InfoWatch opublikowa艂o swoje wyniki z 2006 roku, prezentuj膮c pierwsze globalne badanie z zakresu wewn臋trznego bezpiecze艅stwa informatycznego. Badanie mia艂o na celu przeanalizowanie wszystkich wyciek贸w poufnych lub osobistych danych, przypadk贸w sabota偶u lub zaniedba艅 ze strony pracownik贸w i innych narusze艅 wewn臋trznego bezpiecze艅stwa informatycznego, kt贸re w 2006 roku przynajmniej raz znalaz艂y odd藕wi臋k w mediach. Badanie ma charakter globalny, poniewa偶 analiza obejmuje wszystkie przypadki narusze艅 bezpiecze艅stwa wewn臋trznego, niezale偶nie od po艂o偶enia geograficznego danej firmy czy struktur rz膮dowych, kt贸re ucierpia艂y na skutek sabota偶u pracownika. Dlatego wszystkie prawid艂owo艣ci i tendencje wykazane w badaniu mo偶na w r贸wnym stopniu odnie艣膰 do firm ze wszystkich bran偶 i kraj贸w.

Jest to pierwszy globalny projekt, w kt贸rym zbadano incydenty naruszenia wewn臋trznego bezpiecze艅stwa informatycznego. W 2004 roku centrum analityczne firmy InfoWatch zacz臋艂o prowadzi膰 rejestr takich incydent贸w. Obecnie baza ta zawiera prawie 500 wpis贸w, z kt贸rych 145 zosta艂o dodanych w 2006 roku. Baza ta dostarczy艂a informacji wst臋pnych do badania.

Wyniki najnowszego badania stanowi膮 uzupe艂nienie wniosk贸w sformu艂owanych na podstawie przeprowadzonego na szerok膮 skal臋 badania InfoWatch "Wewn臋trzne zagro偶enia IT w Europie w 2006 roku, w kt贸rym uczestniczy艂o ponad 400 europejskich organizacji. Jednak w przeciwie艅stwie do wcze艣niejszego projektu, raport "Globalne badanie dotycz膮ce wyciek贸w 2006" wskazuje tendencje w rozwoju wewn臋trznych zagro偶e艅 bezpiecze艅stwa informatycznego oraz przedstawia, jak do nich dosz艂o.

G艂贸wne wnioski

  • W wi臋kszo艣ci przypadk贸w wycieki poufnych informacji dotykaj膮 organizacji biznesowych. Wed艂ug badania, 66% incydent贸w narusze艅 bezpiecze艅stwa wewn臋trznego mia艂o miejsce w prywatnych firmach. Przedsi臋biorstwa ponosz膮 tak偶e g艂贸wny ci臋偶ar strat spowodowanych takimi wyciekami, poniewa偶 konkurencyjno艣膰 firm zale偶y od ich reputacji, a w przypadku wycieku informacji to w艂a艣nie reputacja firmy ucierpi w pierwszej kolejno艣ci.
  • W 2006 roku ofiar膮 wycieku informacji pad艂a ogromna liczba os贸b. W prawie 150 incydentach 80 milion贸w os贸b zosta艂o zagro偶onych kradzie偶膮 to偶samo艣ci. Wiele z nich mo偶e sta膰 si臋 ofiar膮 oszust贸w i utraci膰 wszystkie swoje oszcz臋dno艣ci lub mie膰 na zawsze zrujnowan膮 histori臋 kredytow膮.
  • Ka偶dy wyciek osobistych informacji powoduje milionowe straty. Opr贸cz strat finansowych zniszczona zostaje reputacja firmy, a setki tysi臋cy os贸b mog膮 sta膰 si臋 ofiar膮 kradzie偶y to偶samo艣ci. W 2006 roku w ka偶dym wycieku poufnych danych ucierpia艂o 艣rednio 785 000 os贸b.
  • W grupie wysokiego ryzyka znajduj膮 si臋 organizacje, kt贸re pozwalaj膮 swoim pracownikom korzysta膰 z urz膮dze艅 przeno艣nych. Korzystanie z takiego sprz臋tu doprowadzi艂o do wyciek贸w informacji w przypadku po艂owy wszystkich incydent贸w (50%); natomiast tylko w 12% przypadk贸w medium wykorzystywanym do wyciek贸w by艂 Internet.
  • G艂贸wne zagro偶enie w przedsi臋biorstwach stanowi brak dyscypliny pracownik贸w. W 2006 roku zaniedbanie by艂o przyczyn膮 przewa偶aj膮cej wi臋kszo艣ci wyciek贸w (77%).

殴r贸d艂a wyciek贸w informacji

Analiza 145 incydent贸w naruszenia wewn臋trznego bezpiecze艅stwa informatycznego pokazuje, 偶e wycieki informacji maj膮 charakter globalny. Nie jest mo偶liwe wskazanie obszaru dzia艂alno艣ci gospodarczej ani regionu geograficznego, w kt贸rym firmy rzadko lub nigdy nie ucierpia艂y w wyniku dzia艂a艅 os贸b maj膮cych dost臋p do poufnych informacji. W 2006 roku wycieki informacji mia艂y miejsce zar贸wno w ma艂ych firmach, jak i ogromnych korporacjach, organizacjach komercyjnych oraz rz膮dowych. Osoby maj膮ce dost臋p do poufnych danych zdo艂a艂y zagrozi膰 bezpiecze艅stwu mocnych i dobrze chronionych struktur, takich jak s艂u偶by wojskowe czy specjalne. W incydentach tych u偶yto urz膮dze艅 przeno艣nych oraz Internetu. W rezultacie, 艣ci艣le tajne informacje cz臋sto dost臋pne by艂y w Internecie albo trafia艂y do r膮k dziennikarzy i obcych pa艅stw.

Diagram 1 pokazuje rozk艂ad przypadk贸w naruszenia wewn臋trznego bezpiecze艅stwa informatycznego mi臋dzy sektorem rz膮dowym i komercyjnym. Z diagramu jasno wynika, 偶e w prywatnych firmach ma miejsce dwukrotnie wi臋cej wyciek贸w danych, przypadk贸w sabota偶u i innych podobnych incydent贸w ni偶 w strukturach rz膮dowych. Istnieje kilka przyczyn. Po pierwsze, liczba prywatnych firm znacznie przewy偶sza liczb臋 organizacji rz膮dowych. Po drugie, organizacjom rz膮dowym 艂atwiej jest zatai膰 wyciek informacji, je艣li mia艂 ju偶 miejsce. Cz臋sto zdarza si臋, 偶e za naruszenie wewn臋trznego bezpiecze艅stwa informatycznego odpowiedzialny jest organ kontroluj膮cy. Pojawia si臋 tu problem braku kontroli nad kontroluj膮cym. Jednak niekt贸re przypadki kradzie偶y informacji ze struktur rz膮dowych zostaj膮 upublicznione. Zdarza si臋 to wtedy, gdy nie jest mo偶liwe zatajenie incydentu lub gdy niezb臋dne jest publiczne ukaranie sprawcy dla przyk艂adu. Przez wiele lat rz膮d ameryka艅ski utrzymywa艂 w tajemnicy incydenty naruszenia wewn臋trznego bezpiecze艅stwa informatycznego. Jednak dzisiaj wiadomo艣ci o wyciekach informacji i lukach w systemach bezpiecze艅stwa znajduj膮 si臋 na porz膮dku dziennym. W listopadzie 2006 roku ameryka艅ski Inspektorat Podatkowy wyjawi艂 mediom, 偶e w ci膮gu poprzednich czterech lat skradziono prawie 500 laptop贸w.

Organizacje komercyjne znajduj膮 si臋 w jeszcze gorszym po艂o偶eniu. Nie tylko z powodu licznych wyciek贸w danych, kt贸rych staj膮 si臋 ofiarami, ale r贸wnie偶 ogromnych strat spowodowanych takimi wyciekami. Tego typu incydenty powa偶nie szkodz膮 reputacji firmy i dobremu imieniu marki. Na konkurencyjnym rynku klienci 艂atwo mog膮 zwr贸ci膰 si臋 do bardziej wiarygodnego dostawcy, nie mo偶na jednak zerwa膰 z w艂asnym rz膮dem i ministerstwami rz膮dowymi. Wyobra藕my sobie, 偶e w inspektoracie podatkowym mia艂 miejsce powa偶ny wyciek poufnych informacji dotycz膮cych firm i os贸b fizycznych. Incydent ten wywo艂a艂by spore niezadowolenie. Jednak nikt nie przesta艂by korzysta膰 z us艂ug rz膮dowych.

Charakter wyciek贸w

Pracownicy, za spraw膮 kt贸rych dane firmowe przedostaj膮 si臋 na zewn膮trz, nie maj膮 skrupu艂贸w odno艣nie informacji, kt贸re kradn膮. Jednak badanie wykaza艂o, 偶e dane osobowe kradzione s膮 kilkakrotnie cz臋艣ciej ni偶 inny typ informacji (zobacz diagram 2). Chocia偶 w艂asno艣膰 intelektualna, tajemnice handlowe i przemys艂owe s膮 bez w膮tpienia bardzo cenne, najwi臋ksze znaczenie maj膮 informacje prywatne.

Jednak zar贸wno wyciek danych osobowych klient贸w, jak i tajnych informacji firmy jest bardzo niebezpieczny dla biznesu. Z badania jasno wynika, 偶e liczba ofiar wycieku danych osobowych jest zazwyczaj bardzo du偶a. W diagramie 3 por贸wnano ca艂kowit膮 liczb臋 ofiar wyciek贸w danych osobowych w 2006 roku oraz 艣redni膮 liczb臋 ofiar ka偶dego wycieku. Okazuje si臋, 偶e ka偶de naruszenie wewn臋trznego bezpiecze艅stwa informatycznego zwi膮zane z wyciekiem danych osobowych nara偶a 艣rednio 785 000 os贸b na to, 偶e stan膮 si臋 ofiar膮 kradzie偶y to偶samo艣ci.

Diagram 4 ukazuje udzia艂 procentowy wyciek贸w informacji wed艂ug liczby os贸b, kt贸re ucierpia艂y w wyniku takich incydent贸w. Z badania wynika, 偶e wi臋kszo艣膰 incydent贸w dotyka艂o stosunkowo niewielkie grupy. Na przyk艂ad, w 33% incydent贸w ucierpia艂o poni偶ej 5 000 os贸b, a w 28% - od 5 000 do 50 000 os贸b. Jednak 艣rednia liczba ofiar jest znacznie wy偶sza i wynosi 785 000 os贸b. Wp艂yn臋艂y na ni膮 ogromne wycieki informacji w 2006 roku. Dobrym przyk艂adem jest wyciek informacji z ameryka艅skiego Departamentu ds. Weteran贸w, kt贸ry mia艂 miejsce w maju 2006 roku.

W jaki spos贸b informacje wydostaj膮 si臋 na zewn膮trz

Najwa偶niejsze pytanie brzmi: w jaki spos贸b informacje wydostaj膮 si臋 na zewn膮trz? W zwalczaniu wyciek贸w informacji wa偶ne jest zidentyfikowanie kana艂贸w, poprzez kt贸re dane wyciekaj膮 z firmy. Podczas gdy specjali艣ci od bezpiecze艅stwa informatycznego potrzebuj膮 czasu na zidentyfikowanie takich kana艂贸w, sprawcy - w wi臋kszo艣ci przypadk贸w - dok艂adnie wiedz膮, co musz膮 zrobi膰, aby ukra艣膰 dane. Dlatego te偶 skuteczny system bezpiecze艅stwa musi zamyka膰 wszystkie mo偶liwe luki. Zaliczamy do nich:

Jak wida膰 z diagramu, wi臋kszo艣膰 wyciek贸w informacji (50%) dokonywanych jest za pomoc膮 urz膮dze艅 przeno艣nych (laptopy, urz膮dzenia PDA, pami臋ci USB flash, p艂yty CD, DVD itd.). Ze wzgl臋du na niewielki rozmiar urz膮dzenia przeno艣ne s膮 wygodne. Z drugiej strony, 艂atwo mo偶na je zgubi膰 lub kto艣 mo偶e je ukra艣膰. W razie przypadkowej utraty no艣nik贸w poufne dane dostaj膮 si臋 w r臋ce niepowo艂anej osoby, kt贸ra mo偶e je wykorzysta膰 wed艂ug w艂asnego uznania. Z kolei oszu艣ci z wewn膮trz mog膮 艂atwo wynie艣膰 informacje z miejsca pracy, ukrywaj膮c je na niewielkich no艣nikach.

Drugim najbardziej rozpowszechnionym kana艂em wycieku informacji jest Internet (12%). Internet jest mniej popularny ni偶 inne media, poniewa偶 w przeciwie艅stwie do urz膮dze艅 przeno艣nych za jego pomoc膮 nie mo偶na szybko przes艂a膰 ogromnych ilo艣ci informacji. Ponadto, filtrowanie sieciowe u艂atwia zidentyfikowanie sprawcy i udowodnienie, 偶e mia艂a miejsce kradzie偶 danych. Przyczyn膮 5% incydent贸w wycieku informacji by艂o niew艂a艣ciwe u偶ywanie lub utrata no艣nik贸w danych. Zar贸wno poczta elektroniczna/faks, jak i standardowa poczta by艂y przyczyn膮 3% incydent贸w. 17% narusze艅 wewn臋trznego bezpiecze艅stwa informatycznego nast膮pi艂o poprzez inne kana艂y; na przyk艂ad, informacje wydostawa艂y si臋 na zewn膮trz w wyniku outsourcingu. W 10% przypadk贸w kana艂 wycieku informacji nie by艂 znany.

Osoby maj膮ce dost臋p do poufnych danych motywowane ch臋ci膮 osi膮gni臋cia zysk贸w stanowi膮 zaledwie jedn膮 kategori臋 nieuczciwych pracownik贸w. Badanie pokazuje, 偶e zdecydowanie najwi臋ksza liczba wyciek贸w informacji (77%) spowodowana jest dzia艂aniami niezdyscyplinowanych pracownik贸w. G艂贸wn膮 przyczyn膮 narusze艅 wewn臋trznego bezpiecze艅stwa informatycznego jest nieprzestrzeganie polityki firmy lub podstawowe zaniedbania w sferze ochrony informacji. Na przyk艂ad, cz臋sto gubione s膮 laptopy z nieszyfrowanymi danymi mimo 偶e polityka bezpiecze艅stwa firmy wymaga, aby wszystkie informacje na komputerach przeno艣nych by艂y szyfrowane. Co wi臋cej, zdarzaj膮 si臋 przypadki, gdy ludzie nie艣wiadomie dostarczaj膮 poufne informacje oszustom, kt贸rzy manipuluj膮 nimi przy pomocy socjotechniki. Wyniki bada艅 pokazuj膮, 偶e sprawcy wyciek贸w informacji mog膮 zawiera膰 si臋 w ka偶dej grupie pracownik贸w.

Najwi臋ksze wycieki informacji roku

Z powodu pi臋ciu najg艂o艣niejszych wyciek贸w informacji (tabela 1) rok 2006 uznano za rok, w kt贸rym mia艂o miejsce najwi臋cej wyciek贸w informacji w historii. 艁膮czna liczba os贸b, kt贸re ucierpia艂y w wyniku tych pi臋ciu incydent贸w, wynosi艂a niewiele poni偶ej 50 milion贸w.

Lp. Incydent Data wyst膮pienia incydentu Liczba ofiar Dodatkowe informacje
1. Gratis Internet Company zgromadzi艂a poprzez Internet dane osobowe 7 milion贸w Amerykan贸w, a nast臋pnie odsprzeda艂a je osobom trzecim. marzec
2006
7 milion贸w
os贸b
wi臋cej informacji na stronie Infowatch.com
2. Wyciek danych osobowych weteran贸w i 偶o艂nierzy ameryka艅skiej armii. maj
2006
28,7 milion贸w
os贸b
wi臋cej informacji na stronie Infowatch.com
3. Jeden z podwykonawc贸w Texas Guaranteed zgubi艂 laptop z danymi osobowymi klient贸w firmy. maj
2006
1,3 miliona
os贸b
wi臋cej informacji na stronie Infowatch.com
4. Skradziono laptop pracownika Nationwide Building Society zawieraj膮cy dane osobowe 11 milion贸w cz艂onk贸w stowarzyszenia. sierpie艅
2006
11 milion贸w
os贸b
wi臋cej informacji na stronie en.wikipedia.org
5. Z biura Affiliated Computer Services (ACS) skradziono przeno艣ny komputer zawieraj膮cy dane osobowe pracownik贸w firmy. pa藕dziernik
2006
1,4 miliona
os贸b
wi臋cej informacji na stronie Infowatch.com

Na przyk艂ad, 3 maja 2006 roku przest臋pcy ukradli dysk twardy z domu pracownika ameryka艅skiego Departamentu ds. Weteran贸w. W rezultacie, w r臋ce oszust贸w przedosta艂y si臋 dane osobowe 26,5 milion贸w weteran贸w oraz 2,2 milion贸w czynnych 偶o艂nierzy.

Najwi臋kszy wyciek w Wielkiej Brytanii mia艂 miejsce w sierpniu 2006 roku. W艂amywacze przedostali si臋 do domu pracownika Nationwide Building Society i ukradli laptop zawieraj膮cy niezaszyfrowane dane osobowe klient贸w firmy. W rezultacie 11 milion贸w os贸b mo偶e sta膰 si臋 ofiar膮 kradzie偶y to偶samo艣ci. Nationwide Building Society natychmiast powiadomi艂o policj臋, jednak 艣ledztwo nie przynios艂o rezultat贸w. Trzy miesi膮ce p贸藕niej firma zacz臋艂a informowa膰 o incydencie ofiary.

Inne wycieki, chocia偶 nie tak du偶e, dotkn臋艂y milion贸w os贸b. Znacz膮cy jest fakt, 偶e w czterech na pi臋膰 najwi臋kszych incydent贸w informacje wydosta艂y si臋 na zewn膮trz z komputer贸w przeno艣nych. W tych czterech przypadkach przyczyn膮 wycieku by艂y zaniedbania pracownika w zakresie ochrony informacji osobowych. Na przyk艂ad, w incydencie dotycz膮cym ameryka艅skich weteran贸w pracownik nie powinien by艂 trzyma膰 poufnych informacji w domu. Jeszcze wi臋ksze naruszenie bezpiecze艅stwa informatycznego stanowi艂o to, 偶e we wszystkich przypadkach pliki na no艣nikach przeno艣nych nie by艂y zaszyfrowane.

Wnioski

W 2006 roku pobito wszelkie poprzednie rekordy pod wzgl臋dem liczby przypadk贸w naruszenia wewn臋trznego bezpiecze艅stwa informatycznego oraz skali poniesionych na skutek tych incydent贸w strat. W okresie tym mia艂o miejsce kilka najwi臋kszych wyciek贸w w historii. W艣r贸d nich znalaz艂a si臋 kradzie偶 informacji osobowych 28,7 milion贸w 偶o艂nierzy i weteran贸w ameryka艅skiej armii z Departamentu ds. Weteran贸w oraz wyciek prywatnych informacji dotycz膮cych oko艂o 11 milion贸w cz艂onk贸w British Nationwide Building Society. Wszystko to upowa偶nia nas do nazwania 2006 roku "rokiem wycieku danych".

Dziesi膮tki milion贸w ofiar i straty wynosz膮ce miliony dolar贸w to przera偶aj膮ce wyniki. Przyk艂ady lekkomy艣lnych dzia艂a艅 niekt贸rych organizacji mobilizuj膮 inne organizacje do dzia艂ania. Jednak mimo tych wszystkich z艂ych wiadomo艣ci, nast膮pi艂o te偶 kilka pozytywnych zmian w bran偶y. Mened偶erowie firm zacz臋li zdawa膰 sobie spraw臋 ze znaczenia zabezpieczania si臋 przed wyciekami informacji. Przyczynia si臋 do tego popularno艣膰 i masowe wprowadzanie nowych standard贸w i akt贸w prawnych. Pojawi艂a si臋 r贸wnie偶 perspektywa dyrektywy Unii Europejskiej, kt贸ra zobowi膮偶e organizacje do ujawnienia wszystkich przypadk贸w wycieku informacji. Mo偶liwe, 偶e taki standard pojawi si臋 za rok lub dwa.

Takie s膮 wyniki za rok 2006. Mamy nadziej臋, 偶e rok 2007 oka偶e si臋 prze艂omowy pod wzgl臋dem zagro偶e艅 wewn臋trznych. Obecnie wi臋kszo艣膰 firm zacz臋艂o zwraca膰 uwag臋 na incydenty w systemie ochrony, kt贸re pozwalaj膮 na 艂atwy wyciek poufnych informacji z organizacji. Pozostaje tylko znalezienie najlepszego rozwi膮zania i wdro偶enie niezb臋dnych system贸w ochrony.

Informacje o firmie InfoWatch

InfoWatch jest mark膮 firmy Kaspersky Lab tworz膮c膮 i dystrybuuj膮c膮 innowacyjne rozwi膮zania s艂u偶膮ce do ochrony poufnych danych firmowych przed wyciekami, utrat膮 i zniszczeniem. Rozwi膮zania firmy InfoWatch pozwalaj膮 tak偶e na zapewnienie zgodno艣ci z narodowymi i mi臋dzynarodowymi standardami. Firma InfoWatch powsta艂a w 2003 roku a do jej klient贸w nale偶膮 mi臋dzy innymi: United Energy Systems (rosyjski monopolista energetyczny), Transnieft (najwi臋ksza na 艣wiecie kompania naftowa), Beeline (najwi臋kszy rosyjski operator telefonii kom贸rkowej) oraz Vneshtorgbank (najwi臋kszy rosyjski bank).