Centrum analityczne firmy InfoWatch opublikowało swoje wyniki z 2006 roku, prezentując pierwsze globalne badanie z zakresu wewnętrznego bezpieczeństwa informatycznego. Badanie miało na celu przeanalizowanie wszystkich wycieków poufnych lub osobistych danych, przypadków sabotażu lub zaniedbań ze strony pracowników i innych naruszeń wewnętrznego bezpieczeństwa informatycznego, które w 2006 roku przynajmniej raz znalazły oddźwięk w mediach. Badanie ma charakter globalny, ponieważ analiza obejmuje wszystkie przypadki naruszeń bezpieczeństwa wewnętrznego, niezależnie od położenia geograficznego danej firmy czy struktur rządowych, które ucierpiały na skutek sabotażu pracownika. Dlatego wszystkie prawidłowości i tendencje wykazane w badaniu można w równym stopniu odnieść do firm ze wszystkich branż i krajów.

Jest to pierwszy globalny projekt, w którym zbadano incydenty naruszenia wewnętrznego bezpieczeństwa informatycznego. W 2004 roku centrum analityczne firmy InfoWatch zaczęło prowadzić rejestr takich incydentów. Obecnie baza ta zawiera prawie 500 wpisów, z których 145 zostało dodanych w 2006 roku. Baza ta dostarczyła informacji wstępnych do badania.

Wyniki najnowszego badania stanowią uzupełnienie wniosków sformułowanych na podstawie przeprowadzonego na szeroką skalę badania InfoWatch "Wewnętrzne zagrożenia IT w Europie w 2006 roku, w którym uczestniczyło ponad 400 europejskich organizacji. Jednak w przeciwieństwie do wcześniejszego projektu, raport "Globalne badanie dotyczące wycieków 2006" wskazuje tendencje w rozwoju wewnętrznych zagrożeń bezpieczeństwa informatycznego oraz przedstawia, jak do nich doszło.

Główne wnioski

• W większości przypadków wycieki poufnych informacji dotykają organizacji biznesowych. Według badania, 66% incydentów naruszeń bezpieczeństwa wewnętrznego miało miejsce w prywatnych firmach. Przedsiębiorstwa ponoszą także główny ciężar strat spowodowanych takimi wyciekami, ponieważ konkurencyjność firm zależy od ich reputacji, a w przypadku wycieku informacji to właśnie reputacja firmy ucierpi w pierwszej kolejności.
• W 2006 roku ofiarą wycieku informacji padła ogromna liczba osób. W prawie 150 incydentach 80 milionów osób zostało zagrożonych kradzieżą tożsamości. Wiele z nich może stać się ofiarą oszustów i utracić wszystkie swoje oszczędności lub mieć na zawsze zrujnowaną historię kredytową.
• Każdy wyciek osobistych informacji powoduje milionowe straty. Oprócz strat finansowych zniszczona zostaje reputacja firmy, a setki tysięcy osób mogą stać się ofiarą kradzieży tożsamości. W 2006 roku w każdym wycieku poufnych danych ucierpiało średnio 785 000 osób.
• W grupie wysokiego ryzyka znajdują się organizacje, które pozwalają swoim pracownikom korzystać z urządzeń przenośnych. Korzystanie z takiego sprzętu doprowadziło do wycieków informacji w przypadku połowy wszystkich incydentów (50%); natomiast tylko w 12% przypadków medium wykorzystywanym do wycieków był Internet.
• Główne zagrożenie w przedsiębiorstwach stanowi brak dyscypliny pracowników. W 2006 roku zaniedbanie było przyczyną przeważającej większości wycieków (77%).

Źródła wycieków informacji

Analiza 145 incydentów naruszenia wewnętrznego bezpieczeństwa informatycznego pokazuje, że wycieki informacji mają charakter globalny. Nie jest możliwe wskazanie obszaru działalności gospodarczej ani regionu geograficznego, w którym firmy rzadko lub nigdy nie ucierpiały w wyniku działań osób mających dostęp do poufnych informacji. W 2006 roku wycieki informacji miały miejsce zarówno w małych firmach, jak i ogromnych korporacjach, organizacjach komercyjnych oraz rządowych. Osoby mające dostęp do poufnych danych zdołały zagrozić bezpieczeństwu mocnych i dobrze chronionych struktur, takich jak służby wojskowe czy specjalne. W incydentach tych użyto urządzeń przenośnych oraz Internetu. W rezultacie, ściśle tajne informacje często dostępne były w Internecie albo trafiały do rąk dziennikarzy i obcych państw.

Diagram 1 pokazuje rozkład przypadków naruszenia wewnętrznego bezpieczeństwa informatycznego między sektorem rządowym i komercyjnym. Z diagramu jasno wynika, że w prywatnych firmach ma miejsce dwukrotnie więcej wycieków danych, przypadków sabotażu i innych podobnych incydentów niż w strukturach rządowych. Istnieje kilka przyczyn. Po pierwsze, liczba prywatnych firm znacznie przewyższa liczbę organizacji rządowych. Po drugie, organizacjom rządowym łatwiej jest zataić wyciek informacji, jeśli miał już miejsce. Często zdarza się, że za naruszenie wewnętrznego bezpieczeństwa informatycznego odpowiedzialny jest organ kontrolujący. Pojawia się tu problem braku kontroli nad kontrolującym. Jednak niektóre przypadki kradzieży informacji ze struktur rządowych zostają upublicznione. Zdarza się to wtedy, gdy nie jest możliwe zatajenie incydentu lub gdy niezbędne jest publiczne ukaranie sprawcy dla przykładu. Przez wiele lat rząd amerykański utrzymywał w tajemnicy incydenty naruszenia wewnętrznego bezpieczeństwa informatycznego. Jednak dzisiaj wiadomości o wyciekach informacji i lukach w systemach bezpieczeństwa znajdują się na porządku dziennym. W listopadzie 2006 roku amerykański Inspektorat Podatkowy wyjawił mediom, że w ciągu poprzednich czterech lat skradziono prawie 500 laptopów.

Organizacje komercyjne znajdują się w jeszcze gorszym położeniu. Nie tylko z powodu licznych wycieków danych, których stają się ofiarami, ale również ogromnych strat spowodowanych takimi wyciekami. Tego typu incydenty poważnie szkodzą reputacji firmy i dobremu imieniu marki. Na konkurencyjnym rynku klienci łatwo mogą zwrócić się do bardziej wiarygodnego dostawcy, nie można jednak zerwać z własnym rządem i ministerstwami rządowymi. Wyobraźmy sobie, że w inspektoracie podatkowym miał miejsce poważny wyciek poufnych informacji dotyczących firm i osób fizycznych. Incydent ten wywołałby spore niezadowolenie. Jednak nikt nie przestałby korzystać z usług rządowych.

Charakter wycieków

Pracownicy, za sprawą których dane firmowe przedostają się na zewnątrz, nie mają skrupułów odnośnie informacji, które kradną. Jednak badanie wykazało, że dane osobowe kradzione są kilkakrotnie częściej niż inny typ informacji (zobacz diagram 2). Chociaż własność intelektualna, tajemnice handlowe i przemysłowe są bez wątpienia bardzo cenne, największe znaczenie mają informacje prywatne.

Jednak zarówno wyciek danych osobowych klientów, jak i tajnych informacji firmy jest bardzo niebezpieczny dla biznesu. Z badania jasno wynika, że liczba ofiar wycieku danych osobowych jest zazwyczaj bardzo duża. W diagramie 3 porównano całkowitą liczbę ofiar wycieków danych osobowych w 2006 roku oraz średnią liczbę ofiar każdego wycieku. Okazuje się, że każde naruszenie wewnętrznego bezpieczeństwa informatycznego związane z wyciekiem danych osobowych naraża średnio 785 000 osób na to, że staną się ofiarą kradzieży tożsamości.

Diagram 4 ukazuje udział procentowy wycieków informacji według liczby osób, które ucierpiały w wyniku takich incydentów. Z badania wynika, że większość incydentów dotykało stosunkowo niewielkie grupy. Na przykład, w 33% incydentów ucierpiało poniżej 5 000 osób, a w 28% - od 5 000 do 50 000 osób. Jednak średnia liczba ofiar jest znacznie wyższa i wynosi 785 000 osób. Wpłynęły na nią ogromne wycieki informacji w 2006 roku. Dobrym przykładem jest wyciek informacji z amerykańskiego Departamentu ds. Weteranów, który miał miejsce w maju 2006 roku.

W jaki sposób informacje wydostają się na zewnątrz

Najważniejsze pytanie brzmi: w jaki sposób informacje wydostają się na zewnątrz? W zwalczaniu wycieków informacji ważne jest zidentyfikowanie kanałów, poprzez które dane wyciekają z firmy. Podczas gdy specjaliści od bezpieczeństwa informatycznego potrzebują czasu na zidentyfikowanie takich kanałów, sprawcy - w większości przypadków - dokładnie wiedzą, co muszą zrobić, aby ukraść dane. Dlatego też skuteczny system bezpieczeństwa musi zamykać wszystkie możliwe luki. Zaliczamy do nich:

Jak widać z diagramu, większość wycieków informacji (50%) dokonywanych jest za pomocą urządzeń przenośnych (laptopy, urządzenia PDA, pamięci USB flash, płyty CD, DVD itd.). Ze względu na niewielki rozmiar urządzenia przenośne są wygodne. Z drugiej strony, łatwo można je zgubić lub ktoś może je ukraść. W razie przypadkowej utraty nośników poufne dane dostają się w ręce niepowołanej osoby, która może je wykorzystać według własnego uznania. Z kolei oszuści z wewnątrz mogą łatwo wynieść informacje z miejsca pracy, ukrywając je na niewielkich nośnikach.

Drugim najbardziej rozpowszechnionym kanałem wycieku informacji jest Internet (12%). Internet jest mniej popularny niż inne media, ponieważ w przeciwieństwie do urządzeń przenośnych za jego pomocą nie można szybko przesłać ogromnych ilości informacji. Ponadto, filtrowanie sieciowe ułatwia zidentyfikowanie sprawcy i udowodnienie, że miała miejsce kradzież danych. Przyczyną 5% incydentów wycieku informacji było niewłaściwe używanie lub utrata nośników danych. Zarówno poczta elektroniczna/faks, jak i standardowa poczta były przyczyną 3% incydentów. 17% naruszeń wewnętrznego bezpieczeństwa informatycznego nastąpiło poprzez inne kanały; na przykład, informacje wydostawały się na zewnątrz w wyniku outsourcingu. W 10% przypadków kanał wycieku informacji nie był znany.

Osoby mające dostęp do poufnych danych motywowane chęcią osiągnięcia zysków stanowią zaledwie jedną kategorię nieuczciwych pracowników. Badanie pokazuje, że zdecydowanie największa liczba wycieków informacji (77%) spowodowana jest działaniami niezdyscyplinowanych pracowników. Główną przyczyną naruszeń wewnętrznego bezpieczeństwa informatycznego jest nieprzestrzeganie polityki firmy lub podstawowe zaniedbania w sferze ochrony informacji. Na przykład, często gubione są laptopy z nieszyfrowanymi danymi mimo że polityka bezpieczeństwa firmy wymaga, aby wszystkie informacje na komputerach przenośnych były szyfrowane. Co więcej, zdarzają się przypadki, gdy ludzie nieświadomie dostarczają poufne informacje oszustom, którzy manipulują nimi przy pomocy socjotechniki. Wyniki badań pokazują, że sprawcy wycieków informacji mogą zawierać się w każdej grupie pracowników.

Największe wycieki informacji roku

Z powodu pięciu najgłośniejszych wycieków informacji (tabela 1) rok 2006 uznano za rok, w którym miało miejsce najwięcej wycieków informacji w historii. Łączna liczba osób, które ucierpiały w wyniku tych pięciu incydentów, wynosiła niewiele poniżej 50 milionów.

Na przykład, 3 maja 2006 roku przestępcy ukradli dysk twardy z domu pracownika amerykańskiego Departamentu ds. Weteranów. W rezultacie, w ręce oszustów przedostały się dane osobowe 26,5 milionów weteranów oraz 2,2 milionów czynnych żołnierzy.

Największy wyciek w Wielkiej Brytanii miał miejsce w sierpniu 2006 roku. Włamywacze przedostali się do domu pracownika Nationwide Building Society i ukradli laptop zawierający niezaszyfrowane dane osobowe klientów firmy. W rezultacie 11 milionów osób może stać się ofiarą kradzieży tożsamości. Nationwide Building Society natychmiast powiadomiło policję, jednak śledztwo nie przyniosło rezultatów. Trzy miesiące później firma zaczęła informować o incydencie ofiary.

Inne wycieki, chociaż nie tak duże, dotknęły milionów osób. Znaczący jest fakt, że w czterech na pięć największych incydentów informacje wydostały się na zewnątrz z komputerów przenośnych. W tych czterech przypadkach przyczyną wycieku były zaniedbania pracownika w zakresie ochrony informacji osobowych. Na przykład, w incydencie dotyczącym amerykańskich weteranów pracownik nie powinien był trzymać poufnych informacji w domu. Jeszcze większe naruszenie bezpieczeństwa informatycznego stanowiło to, że we wszystkich przypadkach pliki na nośnikach przenośnych nie były zaszyfrowane.

Wnioski

W 2006 roku pobito wszelkie poprzednie rekordy pod względem liczby przypadków naruszenia wewnętrznego bezpieczeństwa informatycznego oraz skali poniesionych na skutek tych incydentów strat. W okresie tym miało miejsce kilka największych wycieków w historii. Wśród nich znalazła się kradzież informacji osobowych 28,7 milionów żołnierzy i weteranów amerykańskiej armii z Departamentu ds. Weteranów oraz wyciek prywatnych informacji dotyczących około 11 milionów członków British Nationwide Building Society. Wszystko to upoważnia nas do nazwania 2006 roku "rokiem wycieku danych".

Dziesiątki milionów ofiar i straty wynoszące miliony dolarów to przerażające wyniki. Przykłady lekkomyślnych działań niektórych organizacji mobilizują inne organizacje do działania. Jednak mimo tych wszystkich złych wiadomości, nastąpiło też kilka pozytywnych zmian w branży. Menedżerowie firm zaczęli zdawać sobie sprawę ze znaczenia zabezpieczania się przed wyciekami informacji. Przyczynia się do tego popularność i masowe wprowadzanie nowych standardów i aktów prawnych. Pojawiła się również perspektywa dyrektywy Unii Europejskiej, która zobowiąże organizacje do ujawnienia wszystkich przypadków wycieku informacji. Możliwe, że taki standard pojawi się za rok lub dwa.

Takie są wyniki za rok 2006. Mamy nadzieję, że rok 2007 okaże się przełomowy pod względem zagrożeń wewnętrznych. Obecnie większość firm zaczęło zwracać uwagę na incydenty w systemie ochrony, które pozwalają na łatwy wyciek poufnych informacji z organizacji. Pozostaje tylko znalezienie najlepszego rozwiązania i wdrożenie niezbędnych systemów ochrony.

Informacje o firmie InfoWatch

InfoWatch jest marką firmy Kaspersky Lab tworzącą i dystrybuującą innowacyjne rozwiązania służące do ochrony poufnych danych firmowych przed wyciekami, utratą i zniszczeniem. Rozwiązania firmy InfoWatch pozwalają także na zapewnienie zgodności z narodowymi i międzynarodowymi standardami. Firma InfoWatch powstała w 2003 roku a do jej klientów należą między innymi: United Energy Systems (rosyjski monopolista energetyczny), Transnieft (największa na świecie kompania naftowa), Beeline (największy rosyjski operator telefonii komórkowej) oraz Vneshtorgbank (największy rosyjski bank).

• Źródło: InfoWatch