Центр исследования компьютерной преступности

Юридическая клиника «Защита прав обманутых вкладчиков»

home контакты

Угрозы в области информационной безопасности

Дата: 26.12.2007
Источник: Iemag.ru
Автор: Яков Шпунт


hack/Hack66.jpg ... — им удалось вытянуть из своих жертв более полутора миллионов евро. Суды были настроены к спамерам довольно жестко. Например, «король фармакологического спама», известный под псевдонимом Rizier, получил 30 лет. Хотя, надо сказать, и раньше наиболее зарвавшихся спамеров выявляли и наказывали, но индустрия «мусорных» рассылок от этого, к сожалению, развиваться не перестала. Анна Власова дает такой прогноз развития ситуации со спамом в ближайшем будущем:

* доля спама в почте (и не только) меньше не станет;
* пятерка основных спамерских тематик останется без изменений;
* вероятны новые эксперименты с графическими технологиями;
* скорость спам-рассылок еще вырастет;
* спамеры будут адаптировать свои рассылки к специфике различных категорий получателей.

При этом возможно появление новых законодательных инициатив в борьбе с непрошеной почтой. Еще одной тенденцией должна стать консолидация ИТ-компаний против спама.

Утечки информации

По-прежнему можно говорить, что проблема защиты от утечек данных является скорее организационной, чем чисто технологической. В подтверждение этого тезиса можно вспомнить самую громкую утечку информации в 2007 году, допущенную британским почтовым ведомством. И сводилась она к банальной халатности, из-за которой были утеряны два оптических диска с информацией о 25 млн. граждан — получателей социальных пособий, а это почти половина всего населения Великобритании. Утечка, затрагивающая такое количество людей, произошла впервые.

Как показало исследование IT Policy Compliance Group, результаты которого были обнародованы в конце июня, 87% компаний подвержены риску потери или кражи данных. При этом в подавляющем большинстве из них крупная утечка данных может происходить каждые три года. Старший менеджер по исследованиям Symantec и управляющий директор IT Policy Compliance Group Джеймс Херли полагает, что тому виной высокий уровень нарушений правил безопасности. При этом, по его оценке, соблюдение правил позволяет снизить вероятность крупной утечки данных более чем в десять раз.

Однако компании по-прежнему проявляют поразительную беспечность. Особенно это касается беспроводных сетей. Так, например, согласно исследованию, которое агентство AirDefence провело в 3000 магазинах по всему миру, в 85% случаев Wi-Fi-сети потенциально могут стать легкой добычей злоумышленника. Половина беспроводного оборудования или не защищена вообще, или использует устаревший протокол WEP, средства для взлома которого можно найти на «хакерских» сайтах. Очень многие даже не сменили пароли, установленные производителями по умолчанию, либо использовали в этом качестве название сети или что-то другое, что злоумышленник может узнать безо всякого труда. А поскольку магазины связаны с корпоративной сетью компании-ритейлера, эта последняя становится уязвимой для взлома. Вдобавок через такие Wi-Fi-сети очень удобно получать информацию о кредитных картах покупателей.

Мало того, на черном рынке появились устройства, позволяющие снимать информацию не только через медный, но и через оптический кабель. Случаи применения такого рода средств уже отмечались и в России. И это несмотря на то, что стоимость подобных «жучков» довольно высока (1500—2000 долл.), а их установка сопряжена с рядом трудновыполнимых условий. Цена утечки информации в США, по данным Attrition.org, составляет в среднем сто долларов в расчете на каждую запись о клиенте. При этом каждая утечка, ставшая достоянием гласности, ведет к снижению оборота и числа заказчиков на 8%. На ту же самую величину снижается и капитализация компании. Всего же в США происходит около 280 таких утечек в год.

Как показало исследование, проведенное в Германии, утечка данных по вине конкурентов или иностранных спецслужб в этой стране имела место в 20% компаний. Ущерб составил около 2,8 млрд. евро, хотя многие эксперты полагают, что эти данные сильно занижены. Тем более, что далеко не в каждом случае пострадавшие обращаются в правоохранительные органы или хотя бы в консалтинговые компании, которые оценивают ущерб. Видимо, их менеджеры полагают, что разглашение такого рода фактов будет иметь худшие последствия. Обычно жертвами промышленных шпионов становятся машиностроительные предприятия. При этом интерес вызывают не только данные НИОКР, но и сведения о поставщиках и заказчиках.

Наблюдается устойчивый рост потерь информации, который составляет в среднем 10% в год. При этом в 15% случаев сведения добывались хакерскими инструментами, в 20% — через сотрудников, в остальных применялись средства из арсенала спецслужб (подслушивающие устройства, скрытые камеры, возможности социальной инженерии и т. д.). Из внутренних источников виновниками утечки наиболее часто оказывались секретари и делопроизводители (31,3% случаев), производственный персонал (почти 23%) и менеджеры (17,1%). Секретари и делопроизводители по уровню информированности мало уступают менеджерам, но их «услуги» обходятся существенно дешевле. Хотя одна из самаыхгромких утечек информации все же произошла через производственный персонал, когда механик команды Ferrari на гонках «Формлы-1» передал компании McLaren-Mercedes техническую документацию, в результате чего та была оштрафован на 100 млн. евро. Как правило, основными мотивами являются корыстные интересы либо желание отомстить, например, за наложенное взыскание или обход в продвижении по службе.

Несколько приоткрытыми оказались цифры возможного ущерба и применительно к условиям России. Так, например, крупный банк оценил стоимость реестра шестидесяти надежных заемщиков в 900 млн. руб. Список из тысячи физических лиц, проверенных службой безопасности розничного банка, обошелся бы в 500 млн. руб. Требования закупочной комиссии нефтяной компании стоят около 7 млн. руб. Информация, которая привела бы к проигрышу тендера для системного интегратора, была оценена в 15 млн. руб. Впрочем, эти данные приводил один из вендоров, предлагающий весьма широкий спектр технологических средств защиты от утечек информации, так что они вполне могут быть и завышены.

Тема утечек в текущем году весьма часто поднималась применительно к сфере, связанной с передачей больших объемов информации на материальных носителях. При этом совсем не обязательно, что был какой-то формальный повод говорить о такой проблеме, скорее даже наоборот, закрывалась потенциальная брешь. Так, например, была утверждена спецификация LTO 4 для ленточных библиотек, где одним из нововведений стало шифрование данных на лету без существенных потерь для производительности. В результате получить к ним доступ потенциальному злоумышленнику будет сложнее, чем раньше. Вполне возможно, что это обстоятельство будет способствовать ускорению смены поколений ленточных накопителей.

Не раз поднималась тема беспечности при уничтожении информации, хранившейся на жестких дисках компьютеров, которые выходят из эксплуатации. В той же Британии, как показало исследование, проведенное летом — осенью этого года, на 37% жестких дисков ПК и ноутбуков, поступающих на вторичный рынок, удается практически полностью восстановить документы, архивы электронной почты и адресные книги, не говоря уже о паролях на доступ к различным корпоративным ресурсам, к данным кредитных карт и прочей конфиденциальной информации прежних владельцев. Впрочем, этот показатель все же оказался заметно ниже, чем три года назад, когда он составлял почти 50%.

Потенциально слабым звеном в ближайшем будущем может стать внедрение технологий SOA/SaaS и Web 2.0. Защите информации в используемых там протоколах разработчики до сих пор не уделяют должного внимания, несмотря на то что экспертное сообщество уже довольно давно указывает на огромное количество уязвимостей. А о них хорошо известно, в том числе и злоумышленникам, которые, естественно, начнут их использовать по мере того, как эти технологии найдут применение на сколько-нибудь значимых участках.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2009 Computer Crime Research Center

CCRC logo
Рассылка новостей