Утечки данных происходят ежедневно. Однако не все инциденты имеют далеко идущие последствия. Международные авторитеты в области информационной безопасности составили рейтинг информационных происшествий, которые нанесли непоправимый ущерб компаниям и изменили вектор развития информационного пространства.
Платежная система Heartland
Дата: март 2008.
Ущерб: похищены данные о 134 миллионах кредитных карт.
Федеральный суд предъявил обвинение Альберту Гонзалесу в хищении данных о кредитных и дебетных картах, а в марте 2010 был вынесен приговор – 20 лет заключения. По данным следствия, у Гонзалеса предположительно было два сообщника родом из России, но их личности установить не удалось.
Добыть данные хакеры смогли благодаря SQL-инъекции. Примечательно, что специалисты неоднократно предупреждали компанию об этой уязвимости в течение нескольких лет. Однако выводы своевременно не были сделаны.
Группа компаний TJX Inc.
Дата: декабрь 2006.
Урон: похищены данные о 94 миллионах кредитных карт.
Ходят противоречивые слухи о том, каким способом злоумышленники смогли подобраться к ценной информации. Одна из версий гласит о том, что хакеры воспользовались уязвимостью и похитили персональную информацию во время обмена данными между двумя магазинами в Майями. Другая версия — были взломаны терминалы компании, которые дают возможность отправить электронное резюме для приема на работу. К этому взлому также был причастен Альберт Гонзалес, действовавший вместе с 11 сообщниками. По этому эпизоду он был приговорен к 40 годам лишения свободы.
Epsilon
Дата: март 2011.
Урон: персональная информация о клиентах 108 розничных магазинов, а также данные небольших компаний-партнеров и некоммерческих образовательных учреждений.
Источник утечки данных до сих пор не обнаружен, однако технические специалисты солидарны во мнении, что причиной могла послужить одна из сотен фишинговых атак. Существуют разные взгляды на размеры ущерба. Брюс Шнайер, специалист по безопасности и автор многочисленных статей, полагает, что серьезный урон, не смотря на масштабность, нанесен не был. Полученные данные злоумышленники могут использовать исключительно для более точных персонализированных фишинговых атак. Однако подобные инциденты случаются ежедневно и не способны нанести ощутимый вред, если компания подготовлена к такому повороту событий.
Другой специалист по информационной защите, Кевин МакАливи, имеет диаметрально противоположное мнение. Базы данных Epsilon содержали информацию о клиентах 2 200 мировых брендов, и ежегодно пополнялись на 40 миллиардов e-mail адресов. Приблизительная финансовая оценка нанесенного ущерба – 4 миллиарда долларов. Он считает инцидент с Epsilon крупнейшим в истории информационной безопасности.
RSA Security
Дата: март 2011.
Урон: Данные о приблизительно 40 миллионах сотрудников.
Ирония этого происшествия заключается в том, что RSA Security предоставляет услуги по обеспечению информационной безопасности.
Механизм утечки пока неизвестен. Компания утверждает, что взлом произошел благодаря совместным действиям двух хакерских групп при поддержке иностранного правительства. Основным инструментом послужил фишинг: хакеры маскировались под сотрудников компании. Последствия инцидента обошлись примерно в 66 миллионов долларов.
Этот взлом имеет далеко идущие последствия. Теперь ни одна компания, даже специализирующаяся на информационной защите, не может чувствовать себя в полной безопасности.
Червь Stuxnet
Дата: инцидент произошел в 2010,однако подготовка велась с 2007.
Урон: был использован против ядерной программы Ирана. Физически вывел из строя центрифуги на заводе по обогащению урана и сорвал сроки запуска АЭС.
По слухам – заказчик данного программного обеспечения США и Израиль. Невольным исполнителем стал сотрудник компании Simens, использовавший зараженный флеш-накопитель.
Этот случай ознаменовал начало новой эпохи. Теперь взломы или утечки данных влияют не только на электронный, но и на вполне материальный реальный мир.
Департамент по делам ветеранов
Дата: май 2006.
Урон: похищена незашифрованная база данных, содержащая персональную информацию о 26,5 миллионов ветеранов, а также действующих военнослужащих армии США.
Эта утечка в очередной раз демонстрирует, что человеческий фактор наиболее уязвимое звено в периметре информационной безопасности. База данных хранилась на ноутбуке и портативном винчестере. И то и другое было похищено из штаб-квартиры организации в Мериленде. В полицию о краже сообщили 3 мая 2006, публичной огласке инцидент придали 22 мая. 29 июня неизвестный вернул украденные вещи. По оценкам экспертов, утечка данных обошлась организации в сумму от 100 тысяч до полумиллиона долларов.
Sony’s PlayStation Network
Дата: 20 апреля 2011
Урон: 77 миллионов аккаунтов взломано. По утверждению Sony, потери от наработавшего в течение месяца сервиса составили миллионы долларов.
Это, пожалуй, самое громкое происшествие в мире геймеров. Более 12 миллионов данных, содержащих платежную информацию, были расшифрованы злоумышленниками. Как хакеры смогли преодолеть периметр безопасности неизвестно до сих пор. По мнению специалистов эта утечка данных может иметь серьезные последствия. Ведь существует огромное количество игровых комьюнити, которые располагают детальной персональной информацией. И однажды они также могут быть взломаны.
Google и другие компании Кремниевой Долины
Дата: середина 2009.
Урон: кража интеллектуальной собственности.
Китайское правительство, в рамках операции по промышленному шпионажу, начало массированную атаку на Google, Yahoo и десяток других компаний Кремниевой Долины. Китайские хакеры использовали уязвимость в браузере Internet Explorer, чтобы получить доступ к внутренней сети.
Предполагалось, что правительство Поднебесной собирает компромат на китайских активистов, выступающих против государства. Однако вскоре руководство Google заявило, что во время атаки была похищена интеллектуальная собственность. Эта атака ярко свидетельствует о том, что не стоит пренебрегать обновлениями программного обеспечения.
VeriSign
Дата: 2010
Урон: Неизвестно
VeriSign — американская компания, поддерживающая разнообразные сетевые инфраструктуры, включая два из тринадцати существующих корневых серверов DNS, реестр доменов верхнего уровня, общие домены верхнего уровня и домены верхнего уровня с кодом страны. Кроме того, организация предлагает услуги по обеспечению информационной безопасности, включая управляемую службу DNS, противодействие распределённым атакам (DDoS) и уведомление о кибер-угрозах.
Данный инцидент – тайна покрытая мраком. Руководство не признавалось в утечке вплоть до 2011 года. А после того, как факт выплыл наружу, всеми силами заверяло общественность в том, что злоумышленники не добрались до критически важных данных.
Однако многие специалисты считают, что в течение 2010 компанию взламывали не раз и важные данные могли быть похищены.
Реалии 21 века таковы: ни одна компания не может быть полностью защищена. И главная задача не замаскировать инцидент, а грамотно отразить атаку и минимизировать негативные последствия.
Fidelity National Information Services (FIS – международный поставщик финансовых услуг)
Дата: май 2007
Урон: Сотрудник FIS похитил 3.2 миллиона записей о клиентах, включая данные о кредитных картах, банковскую и персональную информацию.
Кража была совершена в мае 2007 системным администратором Вильямом Салливаном. Полученная информация была продана на черном рынке и стала достоянием многочисленных небольших компаний.
Суд признал Салливана виновным и приговорил к 4 годам и 9 месяцам заключения. А также обязал выплатить штраф в размере 3,2 миллиона долларов.
FIS также крупно поплатились за халатность. Кроме финансового ущерба и подмоченной репутации им пришлось возместить ущерб по коллективному иску. Каждому пострадавшему, чья персональная информация была похищена, они выплатили 20 000 долларов.
