Первый месяц осени оказался сравнительно бедным на утечки данных. В общей сложности было зафиксировано 19 общеизвестных инцидентов. По сравнению с августом, их количество сократилось более чем в полтора раза, однако общая сумма ущерба, напротив, существенно выросла. От сентябрьских утечек пострадали около 9 млн человек, а долгосрочные издержки на их ликвидацию приближаются к отметке в 2 млрд долларов. Еще одной тенденцией является замалчивание компаниями информации об утечках.
В прошедшем месяце обозначился ряд тенденций, первые признаки которых можно было наблюдать и раньше. Прежде всего, продолжилась волна компьютерных краж – в сентябре стабильно пропадали ноутбуки, стационарные компьютеры и другие носители информации. Более половины (11 из 19) инцидентов произошли вследствие краж, а также потерь различного оборудования. В десятке наиболее масштабных утечек нашлось место для семи таких инцидентов.
Вторая тенденция менее очевидна. Во второй раз подряд на первом месте рейтинга оказалась компания, потерявшая свою клиентскую базу в результате действий злоумышленников. И эта компания снова долго отвергала факт утечки. И если лидер августа – рекрутинговый сервис Monster.com – осознал плачевность ситуации сравнительно быстро, то брокерская фирма TD Ameritrade тянула с признанием утечки практически календарный год.
"Дыра" в защите TD Ameritrade обнаружилась в результате внутреннего расследования. Это расследование было инициировано благодаря клиентам компании, которые прочитали в своей почте спам с "биржевым" содержанием. Интересно, что этот спам рассылался в течение длительного периода - еще с октября прошлого года. Другими словами, взлом сети и проникновение в базу данных могло произойти более года назад. Долгое время TD Ameritrade не прислушивалась к запросам возмущенных клиентов, пока один из них, известный адвокат Скотт Камбер (Scott Kamber), не подал на брокерскую компанию в суд. Это событие произошло в мае нынешнего года, а об утечке стало широко известно только в середине сентября. Такое развитие событий наводит на мысль о том, что TD Ameritrade скрывала факт утечки, до тех пор, пока ее не прижал к стенке суд.
Очевидно, что непродуманные действия компании по замалчиванию факта утечки приведут к еще большим репутационным потерям. А репутация, как известно, является одним из основных активов любой финансовой организации.
По итогам сентября в группу особого риска попали медицинские компании (5 инцидентов), государственные учреждения (4 инцидента) и учебные заведения (5 инцидентов). Однако наиболее масштабные утечки обычно происходят с розничными сетями или финансовыми организациями с серьезной клиентской базой. Впрочем, и государственные структуры часто теряют базы данных с огромным количеством записей. "Студенческие" и "медицинские" утечки пока не настолько масштабны.
Топ-10 утечек корпоративных данных, сентябрь, 2007
№ | Инцидент | Дата занесения в базу | Количество пострадавших | Ущерб |
1 | Неизвестные взломали корпоративную сеть компании TD Ameritade и похитили приватную информацию о 6,3 млн клиентах | 14 сентября | 6,3 млн человек | 1,2 млрд долл. |
2 | Кадровое агентство, оказывавшее услуги компании GAP, потеряло ноутбук с приватными данными соискателей | 28 сентября | 800 тыс человек | 260 млн долл. |
3 | Работник администрации г. Колумбус, штат Огайо, потерял резервные ленты с персональными данными госслужащих | 13 июня* | 1,3 млн человек | 239 млн долл |
4 | Министерство соцобеспечения Пенсильвании (Pennsylvania Public Welfare Department) не уследило за двумя настольными компьютерами, которые хранились в собственном офисе | 11 сентября | 375 тыс человек | 35 млн долл. |
5 | Ноутбук с приватными данными, принадлежащий компании Gander Mountain, был украден у одного из ее сотрудников | 11 сентября | 112 тыс человек | 23 млн долл. |
6 | Курьерская служба потеряла компакт-диск, содержащий базу медицинской программы Tenncare | 12 сентября | 67 тыс человек | 10 млн долл. |
7 | Инсайдер из компании Pfizer скопировал конфиденциальную базу данных на собственный ноутбук. Таким образом, концерн допустил третью утечку за три месяца | 4 сентября | 34 тыс человек | 9 млн долл. |
8 | Приватные данные "ипотечных" клиентов банка ABN Amro обнаружились в P2P-сети Gnutella | 21 сентября | 5 тыс человек | 900 тыс долл. |
9 | В учебном госпитале им. Джона Хопкинса (John Hopkins Hospital) пропал настольный компьютер с приватными данными | 1 сентября | 6 тыс человек | 560 тыс долл. |
10 | Неизвестные грабители украли ноутбук инструктора калифорнийского колледжа Де Анца (De Anza College). На компьютере находились приватные данные студентов ВУЗа | 6 сентября | 4,5 тыс человек | 330 тыс дол. |
Источник: InfoWatch, 2007
* - предварительная информация об инциденте была известна еще в июне, однако окончательные данные о количестве пострадавших появились только в сентябре
В сентябре в очередной раз "отличилась" компания Pfizer, допустившая уже третью утечку за последние три месяца. Она же оказалась и самой масштабной – в результате халатности сотрудника Pfizer пострадали 34 тыс человек. Этот сотрудник скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году, не согласовав своих действий с руководством. Что происходило с данными на ноутбуке до сих пор точно неизвестно.
В Америке продолжают ловить инсайдеров и кардеров, многие из которых являются выходцами из стран бывшего Советского Союза. В начале месяца американские блюстители порядка поймали некоего Грегори Копылоффа (или Григория Копылова?), который воровал приватную информацию через P2P-сеть. А в конце месяца другой выходец из России Роман Карелов признался в использовании конфиденциальных данных для оформления дорогостоящих покупок в Интернет-магазинах. Общая сумма ущерба, которую нанес Карелов находится в интервале от 200 до 400 тыс долларов.
Как подсчитывать убытки?
Ущерб от утечек определяется по-своему в каждом конкретном случае. Тем не менее, существует общая методика, с помощью которой можно посчитать ориентировочные убытки. В основе схемы лежит общее число пострадавших людей либо скомпрометированных документов, и характер утечки. Далее оценивается предварительный ущерб.
Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались раскрыты. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях одни только почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.
Рассмотрим для ясности пример с утечкой из компании GAP. Напомним, что ноутбук этой компании с приватными данными был украден неизвестными злоумышленниками, и в результате кражи пострадали 800 тыс граждан США, Пуэрто-Рико и Канады, пытавшихся устроиться на работу GAP. После обнаружения утечки, GAP предприняла комплекс мер для ее ликвидации. Во-первых, был создан специальный сайт, призванный помочь пострадавшим гражданам. Во-вторых, всем жертвам инцидента предлагается услуга Triple Advantage от компании ConsumerInfo.com, которая включает в себя кредитный мониторинг, а также страхование риска компрометации данных в течение одного года. В-третьих, пострадавшим уже высылаются уведомления и предоставляется бесплатная телефонная линия для консультаций.
Согласно данным сайта ConsumerInfo.Com, стоимость одного месяца кредитного мониторинга составляет 11,95 долл., года – 143,4 долл. Таким образом, общие расходы GAP на бесплатное предоставление подобных услуг составят примерно 114 млн долл. Для подсчета остальных прямых издержек обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". Согласно расчетам Ponemon Institute, средние расходы на выявление и исследование инцидента, а также уведомление пострадавших составляют 11,27 и 25,19 долл. на одну учетную запись. Таким образом, в масштабах утечки получается сумма в 29 млн долл.
Далее следует учесть ущерб от потери привлекательности бренда и дальнейшие мероприятия по ликвидации утечки. По данным Ponemon Institute, средние издержки от снижения привлекательности бренда и дальнейших мероприятий по ликвидации составляют 98,32 и 47,29 долл. на каждого пострадавшего соответственно. Для конкретной утечки – 116 млн долл.
Итого имеем 29 млн долл. - предварительные расходы, 114 млн долл. – расходы на кредитный мониторинг, 116 млн долл. – дальнейшие мероприятия по ликвидации и репутационные потери. В результате, получается сумма примерно в 260 млн долл.
Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.
Начать дискуссию