В прошедшем 2015 году случились довольно масштабные и скандальные утечки данных, свидетельствующие о том, что хакеры становятся все изощреннее, а пользователи все так же неосмотрительны и беспечны. Знакомство с наиболее яркими случаями кражи данных поможет понять, как чаще всего происходят утечки данных и как должна быть организована система защиты данных во избежание материальных и репутационных потерь.
Самые масштабные утечки данных
- Бесспорным лидером в 2015 году стал взлом страхового гиганта Anthem. В результате компрометации подверглись данные 80 млн. клиентов. Были похищены личные сведения: имена, адреса, даты рождения, номера карт социального страхования. Правда, до медицинской информации и номеров кредиток хакеры добраться не успели.
- Акции Twitter упали в цене на 18% из-за того, что финансовые показатели компании раньше времени были опубликованы в открытом доступе. В денежном выражении убыток составил 5 млрд. долларов.
Госслужащие — на первых ролях
Высокопоставленные государственные чиновники фигурировали в большинстве нашумевших сообщений об утечках данных. Интерес охотников за информацией к этой категории пользователей понятен. Но не всегда утечки персональных данных происходят по вине хакеров. Вот лишь несколько примеров:
- Были похищены и опубликованы паспортные данные почти всех (164 из 170) членов Совета Российской Федерации. Примечательным в данном случае является не сам факт утечки, а реакция пострадавших. Один из сенаторов заявил, что это… неприятно, но вполне объяснимо в информационную эру.
- Брат бывшего президента США Джеб Буш опубликовал на своем сайте около 300 тыс. писем, направленных ему избирателями. Но, в результате ошибки сотрудников политика, вместе с ними были обнародованы и личные данные авторов писем, включая номера социального страхования.
- Благодаря стараниям хакеров произошла утечка базы данных Кадрового управления правительства Соединенных Штатов. Были скомпрометированы учетные записи 4 млн. действующих и бывших гос-служащих. Поскольку эта организация ведает подбором сотрудников на ответственные посты для различных министерств и ведомств, утечка в ней вызвала нешуточный скандал.
- Выяснилось, что бывший госсекретарь, жена экс-президента и кандидат в президенты США (в одном лице) Хиллари Клинтон в период нахождения на посту госсекретаря использовала для служебной переписки незащищенный почтовый аккаунт. Который и был взломан. Сейчас, когда миссис Клинтон борется за место президента, данный факт может ощутимо снизить ее шансы на избрание: в США госслужащие для предотвращения утечки данных обязаны пользоваться только защищенной официальной почтой. Вряд ли пренебрежение законодательством добавит симпатий кандидату.
- В 2015 также отличились индийские высокопоставленные чиновники из министерства финансов (один из которых являлся заместителем министра). Они украли планы инвестирования иностранного капитала в экономику Индии и пытались продать их за полмиллиона долларов, однако были задержаны вместе со своими посредниками.
Зачем платить шпионам
Никакая защита от утечек данных не сработает, если люди, владеющие по долгу службы той или иной информацией, любят похвастать ею в социальных сетях. Тут никакие хакеры и взломы не нужны: секреты разглашаются совершенно бесплатно и добровольно.
В Южной Корее случилось несколько поражающих своей абсурдностью инцидентов разглашения военной тайны. Во время кризиса, произошедшего у этой страны с ее северным соседом, один военный послал по почте знакомому фото экрана информационной системы, на котором видно размещение войск. Другой написал пост о пролете БПЛА, а третий записал и разместил в соцсети радиосообщение командования.
Как видим, во многих случаях защита данных страдает не из-за троянов и других хитроумных хакерских штучек. Зачастую виновником оказывается человек — либо желающий показать свою осведомленность, либо просто неаккуратный и неосторожный. И ни должностные инструкции, ни военная присяга не являются ему помехой.
Понимая это, солидную долю из средств, отпущенных на информационную безопасность, современные фирмы расходуют именно на предотвращение человеческих ошибок и безответственности. Для этого используются:
- сложные процедуры допуска персонала к разным видам данных;
- повсеместно внедряемая двухфакторная аутентификация;
- ОТР токен для генерации одноразовых паролей;
- обучение сотрудников правилам информационной безопасности.
Такой подход более продуктивен, так как в каждой ситуации будут использованы наиболее подходящие методы и средства для достижения цели: например, подобран наиболее подходящий для нужд клиента токен и установлено необходимое программное обеспечение.
Для уважающих себя и своих клиентов компаний защита данных пользователя так же важна, как квартальные финансовые показатели. Ведь отсутствие утечек данных гарантирует и репутацию, и прибыль.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!