Анализ утечек конфиденциальной информации
Результаты исследования инцидентов внутренней информационной безопасности за девять месяцев 2008 г., проведенного компанией InfoWatch.
Аналитический центр InfoWatch провел очередное глобальное исследование инцидентов внутренней информационной безопасности. Целью исследования было проанализировать все утечки конфиденциальной информации (в том числе персональных данных), упоминавшиеся в СМИ, за девять месяцев 2008 г. Анализировались инциденты во всех странах мира и во всех отраслях.
Всего за отчетный период зафиксировано 249 инцидентов, т. е. более чем по одному инциденту в день. Если просуммировать общее число записей персональных данных (а СМИ почти всегда сообщают о том, сколько человек затрагивает утечка), то получится 106 996 883 записи, или 390 500 записей в день (строго говоря, прямое суммирование не совсем корректно, поскольку два разных инцидента могут касаться одного и того же лица, но вероятность этого совпадения мала). Таким образом, можно сказать, что утечки затронули интересы более 100 млн человек.
Как утекает информация
Все утечки в исследовании были разделены на умышленные и неумышленные (случайные). Достаточно распространена такая причина утечки, как кражи компьютерной техники; в этом случае утечка считается случайной, если есть достаточные основания полагать, что целью вора была материальная часть похищенной техники, а не информация на ней.
Как и в прошлые периоды, количество случайных утечек существенно больше: их зафиксировано 124 (49,8%), а намеренных — 92, или 36,9% (еще для 33 утечек, или 13,3%, причина их не установлена). Но доля случайных утечек в общем числе несколько снизилась. Такое снижение эксперты InfoWatch склонны объяснять изменением своей политики учета: более критическим стало отношение к сообщениям прессы, в которых излагаются обстоятельства инцидентов. Дело в том, что часто невозможно четко установить, была ли утечка действительно случайной (обусловленной небрежностью, беспечностью, неблагоприятным стечением обстоятельств) или такое заявление призвано покрыть злой умысел. Если раньше подобные сомнительные случаи учитывались в разделе «случайные утечки», то ныне они помечаются как «причина не установлена».
Несмотря на изменение статистики, по-прежнему можно уверенно утверждать, что приоритетной задачей остается борьба с ненамеренными утечками информации. Противодействовать таким утечкам проще и дешевле, а в результате охватывается большая часть инцидентов.
Борьба с намеренными утечками — задача более сложная, и эффективность этой борьбы будет заведомо ниже, поскольку предстоит столкнуться с противодействием злонамеренных инсайдеров. А доля таких утечек составляет существенно меньше половины.
Откуда утекает информация
Источники утечек разделены на три категории: государственные, коммерческие и прочие организации; к последней категории отнесены все учебные заведения, хотя формально школы и вузы могут числиться коммерческими или государственными. Традиционно учебные заведения довольно сильно отличаются по принятым в них порядкам как от производственных предприятий, так и от государственных органов.
На рис. 1 показано распределение утечек по типу организации как для всех утечек вместе взятых, так и отдельно для умышленных и случайных утечек. Это распределение мало изменилось по сравнению с первым полугодием 2008 г. и даже с 2007 г.
Меры по предотвращению утечек конфиденциальной информации предпринимаются как в государственных, так и в коммерческих информационных системах. В вузах эти меры также вводятся, правда, за неимением денег упор в них делается не на технические средства, а на организационные. Сравнивая данные 2007 г. и первого полугодия 2008 г., можно видеть, что доля утечек в образовательных учреждениях растет, но медленно. Это означает, что с утечками можно бороться при разном уровне финансирования.
Латентность утечек персональных данных в разных странах иллюстрируют данные, приведенные в таблице. Показатель в последнем столбце — число утечек в расчете на 1 млн населения — для стран, где учет поставлен нормально, изменился мало. По-прежнему можно сказать, что происходит приблизительно одна утечка в год на каждый миллион человек населения. Естественно, в этой цифре учтены лишь те утечки, которые стали достоянием гласности. По оценкам аналитиков Infowatch, скрытых утечек происходит примерно еще столько же. А в тех странах, где учет поставлен не слишком строго, как можно заключить из сравнения показателей, латентность значительно выше: большинство утечек конфиденциальной информации скрывается от публики.
Латентность утечек персональных данных (за 9 мес. 2008 г.)
| Страна | Число утечек | Доля, % | Число утечек на 1 млн населения |
|---|---|---|---|
| США | 192 | 77,11 | 0,655 |
| Канада | 5 | 2,01 | 0,154 |
| Чили | 1 | 0,40 | 0,064 |
| Германия | 2 | 0,80 | 0,024 |
| Франция | 1 | 0,40 | 0,017 |
| Великобритания | 23 | 9,24 | 0,382 |
| Ирландия | 3 | 1,20 | 0,500 |
| Италия | 2 | 0,80 | 0,034 |
| Россия | 4 | 1,61 | 0,028 |
| Южная Корея | 3 | 1,20 | 0,062 |
| Китай | 3 | 1,20 | 0,002 |
| Индия | 1 | 0,40 | 0,001 |
| Австралия | 1 | 0,40 | 0,050 |
| Другие | 7 | 2,81 | – |
Какая информация утекает
По типу разглашенной информации подавляющее большинство утечек (96%) связано с персональными данными. Наверное, следует еще раз подчеркнуть, что все факты собираются из сообщений прессы, которая пишет в основном о персональных данных. Поэтому существенной статистики по иным видам конфиденциальной информации ожидать не приходится.
На долю коммерческой тайны и ноу-хау приходится 1,6% всех утечек, утечки государственной и военной тайны составляют всего 0,8% (еще для 1,6% утечек характер информации не установлен). Здесь важно понимать, что факт утечки государственной тайны сам по себе вполне может быть государственной тайной. Аналогичная ситуация — с тайной коммерческой. Зато утечка персональных данных обычно оглашается при первой возможности: для СМИ это удачная тема, поскольку любой читатель/зритель без труда ассоциирует себя с жертвой такой утечки, следовательно, читает/смотрит материал заинтересованно.
Каналы утечек
На рис. 2 показано распределение утечек по носителю (или каналу), при помощи которого конфиденциальная информация пересекла охраняемый периметр. Больше всего данных утекло через сеть (как и следовало ожидать); на втором месте — переносные компьютеры. Их теряют и крадут, крадут и теряют — постоянно возрастающими темпами. В этот раз авторы отчета решили, что логично будет объединить переносные компьютеры с отчуждаемыми носителями (CD, DVD, флэш-накопители) и назвать все это «мобильные носители информации». Данная категория по своей доле почти сравнялась с утечками через сеть (25% против 29%). Для случайных же утечек «мобильные носители» не только догоняют, но и опережают утечки через сеть.
О чем это говорит? О том, что, образно выражаясь, где дешевеет, там и течет. Услуги связи в целом и трафик в частности за последнее время подешевели, но не сильно. Зато мобильные носители информации стали гораздо дешевле. Гигабайтные флэшки продаются в газетных киосках как карандаши. В метро читающих книги стало меньше, чем читающих КПК. Именно удешевление портативных компьютеров и иных носителей информации привело к росту доли «мобильных» утечек.
На рис. 3 представлено аналогичное распределение отдельно для умышленных и для случайных утечек. При анализе этих двух диаграмм хотелось бы обратить внимание на те категории, которые различаются сильнее других. Наибольшее расхождение между умышленными и случайными утечками, помимо цифр для мобильных носителей, наблюдается для электронной почты и бумажных документов. Умышленных краж конфиденциальной информации с использованием электронной почты не зафиксировано вообще.
В предыдущем отчете мы упоминали, что отправить электронное сообщение (да еще и с приложением «тяжелого» документа) не тому адресату довольно затруднительно. Но, оказывается, и это возможно, особенно учитывая современную моду, введенную известной софтверной корпорацией, не показывать пользователю адрес электронной почты, когда в поле To: или From: видно только имя.
И все же оказалось, что ни один из злоумышленников этого года (во всяком случае, ни один из выявленных злоумышленников) не пожелал воспользоваться таким, казалось бы, простейшим, очевидным, напрашивающимся способом, как электронная почта. Инсайдеры предпочитали иные каналы: HTTP, флэш-накопители, переносные диски, даже бумагу — но только не электронную почту. Нетрудно догадаться отчего: легче переслать — легче и проконтролировать. Когда служба безопасности задумывает учинить перлюстрацию трафика предприятия, начинают, как правило, именно с электронной почты (а зачастую ею и заканчивают).
Вывод, который напрашивается из показанной статистики, таков: время утечек через электронную почту прошло. Если корпоративная система защиты от утечек проверяет только электронную почту, она почти бесполезна (эффективность 3,5%). Настоящая DLP-система должна контролировать HTTP, ICQ, запись на флэш-накопители, на CD/DVD, распечатку на принтере. Но и этого недостаточно: чтобы закрыть самые распространенные бреши, надо еще зашифровать данные на дисках мобильных компьютеров.
Выводы
- В первую очередь следует бороться с ненамеренными утечками конфиденциальной информации.
- Вследствие падения цен на мобильные компьютеры и мобильные носители информации медленно, но все же растет доля связанных с ними утечек.
- Латентность утечек по-прежнему велика; ниже всего она в США.