Генеральная прокуратура Калифорнии — бизнесу: шифруйтесь!

Генеральный прокурор штата Калифорния Камала Д. Харрис на днях опубликовала документ под названием «Доклад об утечках данных в 2012 году» (Data Breach Report 2012). Может возникнуть вопрос, неужели ум генерального

Генеральный прокурор штата Калифорния Камала Д. Харрис на днях опубликовала документ под названием «Доклад об утечках данных в 2012 году» (Data Breach Report 2012). Может возникнуть вопрос, неужели ум генерального прокурора вопросы безопасности данных занимают настолько, чтобы публиковать по этому поводу целое исследование. Но всё легко объяснимо: в этом году исполняется десять лет закону SB1386, который предписывает коммерческим компаниям, работающим с персональной информацией, информировать своих клиентов об утечках их личных данных. Более того, с прошлого года калифорнийские компании, допустившие утечки, обязаны направлять копии своих извещений для клиентов в генеральную прокуратуру штата Калифорния. Таким образом, у Харрис накопилась довольно солидная статистическая база. И хотя приведённые в исследовании цифры интересны сами по себе, Харрис акцентирует внимание на самой часто встречающейся проблеме: утекшие данные хранились в незашифрованном виде.

400px-Kamala_Harris_Official_Attorney_General_PhotoЗакон SB1386, вносящий соответствующие поправки в гражданские кодексы Калифорнии, сам по себе, казалось бы, является «воспитательной мерой»: утечка данных — это по определению ЧП, а когда ещё и закон обязывает облапошенного объявлять о своём позоре urbi et orbi, это ещё один повод крепко призадуматься, как бы этого избежать.

И тем не менее, закон действует уже десять лет, при этом обстановка с безопасным хранением персональных данных остаётся, мягко говоря, неоднозначной.

В самом документе говорится о 131 крупномасштабной утечке, информацию о которых предоставили в генеральную прокуратуру Калифорнии 109 организаций.  Закон предписывает информировать об инциденте прокуратуру только в тех случаях, когда есть основания полагать, что под угрозой оказались личные данные более чем 500 человек.

По подсчётам Харрис и её коллег, в общей сложности риску подверглись данные 2,5 миллионов человек. По среднему арифметическому инциденты могли затронуть интересы и информацию 22,5 тысяч человек каждый. В большинстве случаев, впрочем, количество пострадавших колебалось в районе 2,5 тысяч человек.

Пять раз наблюдались потери личных данных 100 и более тысяч человек: к крупнейшим утечкам, в частности, относится взлом в феврале 2012 года серверов игровой компании Valve Corporation, которой принадлежит сервис по продаже игр и ПО Steam, в результате которого под угрозой оказались данные 509 тысяч человек, а также вторжение на серверы процессинговой компании Global Payments в июле 2012 года; затронуты оказались 139 034 человека.

Чаще всего (26% от общего числа инцидентов) доставалось розничной торговле, следом (23%) идут финансовые и страховые организации. Неудивительно: и там, и там обрабатываются не только личные, но и платёжные данные. Далее по 15% инцидентов пришлись на сферу здравоохранения и неопределённую категорию «Прочие». По 8% случаев утечек пришлись на образовательную сферу и государственные организации. Меньше всех досталось «профессиональным сервисам» — 5%.

В своём докладе Харрис приводит таксономию потерь данных по методу Кёртина-Эйреса, разделяя причины инцидентов на три категории — физические, логические и процедурные. Первая категория — это утраты документов, физических носителей данных или аппаратных устройств (ноутбуки, планшеты, смартфоны). Под логическими проблемами подразумевается преднамеренный неавторизованный доступ к данных снаружи компании (хакеры, использующие уязвимости в софте, чтобы проникнуть во внутреннюю инфраструктуру) или изнутри (работники, получившие доступ к данным, не имея на то полномочий). Процедурные ошибки — это либо случайное раскрытие данных посторонним (через публикацию на сайте, через электронную почту, отправленную не по адресу и так далее), либо же «ненадлежащая утилизация» носителей данных — то есть, выбросили и забыли, а кто-то подобрал…

Большинство утечек — 55% — пришлось именно на «логическую» категорию; 45% были связаны с действиями злоумышленников, 10% — с действиями инсайдеров. На «физические» утраты пришлись 27% инцидентов: 17% — потери оборудования, 6% — потери носителей, 5% — потери документов. В 18% случаев имели место «процедурные» нарушения (2% — неправильная утилизация, 16% — неправильная обработка данных и случайное их раскрытие).

В тридцати шести из 131 случая утечка данных стала возможна именно в силу того, что данные хранились в незашифрованном виде. В то время как это всего лишь 27% от общего числа инцидентов, затронутыми оказались 1,4 млн жителей Калифорнии. То есть, более половины от всех потенциально пострадавших.

В конце своего отчёта генпрокурор Харрис пишет:

«Спустя десять лет после того, как в силу вступил закон о публикации сведений об утечках данных, мы по-прежнгему наблюдаем личные данные десятков тысяч людей, хранящиеся в незашифрованном виде на ноутбуках, которые потом забывают в машине; эти данные переправляются… по почте на флэш-накопителях и хранятся на офисных десктопах. Работники компанию используют электронную почту, чтобы пересылать в незашифрованном виде номера полисов социального страхования и другие личные данные, и если письмо направляется куда-то не туда, эти сведения попадают в чужие руки».

Далее она указывает, что утечки номеров страховых полисов несёт в себе наибольшее количество рисков, поскольку с помощью этих данных мошенники могут получать контроль над чужими банковскими счетами — примерно как в России с помощью паспорта.

«Мы рекомендуем принять закон, требующий использование шифрования для защиты личных данных на переносных устройствах и накопителях, а также при пересылке этих данных по электронной почте», — говорится в отчёте.

Что ж, вполне вероятно, что эта мера позитивно скажется на ситуации с хранением личных данных. Буквально на днях взлом пережила ещё одна крупная игровая компания — Ubisoft, утекли личные данные, хранившиеся, как оказалось, без всякого шифрования. В результате компанию сейчас склоняют на всех углах, да и небезосновательно.

С нашей точки зрения любую критически важную информацию — и корпоративные данные, и тем более чужие персональные сведения — шифровать необходимо, и при хранении, и при транспортировке на каких-либо устройствах и накопителях. Это столь же важная мера безопасности, как антивирус, антишпионское ПО или средства борьбы с эксплойтами, пренебрежение которой может обходиться слишом дорого.

Советы