Одна из крупнейших в мире сетей, оказывающей профессиональные услуги по консалтингу и безопасности, КPMG представила ежегодный «Барометр-2012», который посвящен анализу инцидентов киберпреступности. Он демонстрирует основные тренды и статистику инцидентов во всем мире с 2008 года. В основе исследования лежат обнародованные в СМИ случаи намеренной или случайной утечки охраняемой информации. Так, за 2012 год было зафиксировано 934 случая утечки данных, в которых скомпрометировано более 1,8 млрд. записей, в том числе финансовые и персональные данные. За год киберпреступники обходятся 24 крупнейшим странам в сумму около 388 миллиардов долларов. От их действий страдают 431 миллион человек.
Несмотря на то, что каналы, убытки, типы информации меняются, есть некоторые тенденции, которые кажутся относительно постоянными. Например, наиболее популярные отрасли, в которых происходит утечка информации: банки и финансовые организации, телеком и ритейл. Первое место по типу занимают персональные данные. Между тем, самым популярным каналом утечек является электронный. Аналитики КPMG отмечают, что за последние годы стремительно растет количество киберпреступлений и атак хакеров. Рассмотрим наиболее опасные для бизнеса киберпреступления.
Крупные сценарии
Наиболее известным движением, совершавшим крупные кибератаки на бизнес и государственные учреждения, является Anonymous. Но в августе сотрудник киберподразделения ФБР Остин Берглас сообщил в интервью изданию
Huffington Post, что участники хакерского движения арестованы. В частности, еще в 2012 году были арестованы участники хакерской группировки LulzSec, которые играли ключевую роль в Anonymous, и их аресты внесли «дополнительный уровень недоверия» в движении и стали сдерживающим фактором для него. Недоверие возникло, прежде всего, из-за бывшего члена группы Гектора Монсегура, который стал сотрудничать с ФБР и сдал других участников движения.
Профессор университета Макгилла Габриэлла Коулман, которая занимается изучением Anonymous, заявила, что аресты действительно ударили по «центральному узлу активности» хакеров, однако движение все еще живо и легко может объединиться для новых действий. В отличие от LulzSec, движение Anonymous представляет себя как объединение анонимных пользователей без лидера и иерархии.
Группировка LulzSec с мая по июнь 2011 года совершили ряд громких атак, жертвами которых стали ЦРУ, Sony Pictures и британский таблоид The Sun, после чего она объявила о самороспуске.
В этом же году удалось раскрыть громкое дело о «крупнейшей хакерской атаке в истории США». В июле обвинения были предъявлены четырем гражданам России и одному украинцу, которые взламывали компьютерные сети и воровали данные банковских карт, сообщает Associated Press. По ряду пунктов им грозит до 30 лет федеральной тюрьмы.
В течение семи лет были украдены данные более чем 160 млн. кредитных и дебетовых карт. Информация о банковских картах и их владельцах продавалась сторонним лицам. Убытки, причиненные этой группой, оцениваются в сотни миллионов долларов. От действий хакеров пострадали биржа NASDAQ, 7-Eleven Inc., Heartland Payment Systems Inc., французский ритейлер Carrefour и бельгийский банк Dexia
Не менее громкое киберпреступление было раскрыто накануне 2012 года. 21 декабря американцы Элвис Рафаэль Родригес и Эмир Ясир Йехе вместе с международной группой киберпреступников взломали индийскую и американскую базы данных предоплаченных дебетовых банковских карт Mastercard и Visa. Затем злоумышленники отменили на счетах ограничения на получение наличных и с помощью измененных пин-кодов сняли 5 миллионов долларов в банкоматах 26 стран мира. Спустя два месяца преступники повторили операцию, сняв в банкоматах уже 40 миллионов долларов. Мошенники подделали карты и занесли на них данные клиентов банков Арабских Эмиратов и Омана, так как ближневосточные банки зачастую разрешают своим клиентам держать на дебетовых картах крупные суммы, а к их перемещениям не очень строги. Financial Times писала, что преступной команде помогало не менее 100 человек в разных странах, которые совершили 36 тысяч снятий средств. 9 мая 2013 года в Нью-Йорке по подозрению к причастности к этому преступлению были арестованы 8 человек. Сообщается, что организаторы, разработавшие сложную схему, и хакеры, которые занимались непосредственно взломом банковской системы, находились вне США и получали львиную долю средств. Те же, кто обналичивал деньги, заработали не более 20 % от всего улова.
Примечательно, что после кражи некоторые преступники фотографировались с пачками украденных наличных, новоприобретенными часами Rolex и дорогими автомобилями.
От мала до велика
Помимо массовых атак эксперты по информационной безопасности отмечают всплески атак, при которых конечной целью становятся данные конкретных, как правило, средних и малых компаний. Именно малые компании сегодня все чаще подвергаются кибератакам: злоумышленники используют их с целью расширения своей сети. При этом от атак не застрахован ни один сектор рынка.
Так, в марте прошлого года великобританская фирма Shopacheck, которая предоставляет небольшие кредиты наличными, потеряла данные по 1,4 миллионам клиентов. Кредитная фирма потеряла финансовую информацию, имеющую отношение к своим клиентам после того, как была похищена информация двух системных лент. Ленты содержали конфиденциальную информацию, включая имена клиентов, адреса, даты рождения, номера телефонов и адреса электронной почты .
1 апреля 2012 г. Bethesda Softworks, разработчик видеоигры Skyrim, обнаружил, что на двух сторонних веб-сайтах были опубликованы регистрационные данные пользователей. Кроме того, было опубликовано еще 3 647 имен пользователей, пароли и электронные письма из Блога Bethesda Softworks .
В декабре по крайней мере в 36 магазинах Walgreens в округе Сан-Диего были обнаружены нарушения в обращении с конфиденциальной информацией клиентов. Некоторые магазины были даже вовлечены в судебный процесс. Как выяснилось в ходе расследования, Walgreens не только не принимал меры по защите личных данных клиента, но и систематически посылал информацию о клиентах сторонним лицам. Walgreens приказали заплатить 16,57 млн. долларов как часть урегулирования гражданского иска. Часть этой суммы компания-ритейлер должна выплатить за незаконный демпинг опасных отходов, часть – за пренебрежительное отношение к конфиденциальности клиентов.
Кибератаки в крупных компаниях
Как правило, злоумышленники пользуются тем, что у малого бизнеса меньше возможностей для защиты информации и меньше уровней защиты. Тогда, казалось бы, с размером компании должны увеличиваться ее ресурсы, которые она может потратить на систему безопасности. Но в реальности воздействие на бизнес крупных компаний, подвергшихся атаке, одинаково разрушителен.
2013 год начался с того, что 24 млн. клиентов онлайнового обувного гиганта Zappos.com стали жертвами хакеров. Из-за бреши в системе
безопасности одного из центров данных компании произошла утечка пользовательских данных, включая имена пользователей, email, биллинг- и шиппинг-адреса, номера телефонов, последние 4 цифры кредиток, и хеш пароля.
В марте финансовая компания Global Payments Inc. обнаружила массивное нарушение своих систем. Global Payments обрабатывают и выпускают кредитные и дебетовые карты для банков и бизнесов. Нарушение было обнаружено, когда системы безопасности Global Payments обнаружили необычную деятельность в системе. Сначала сообщалось, что номера кредитных карт и сроки их действия 1,5 миллионов пользователей были подвержены воздействию злоумышленников. Однако позже было объявлено, что до 7 миллионов счетов были уязвимы для нападения. Global Payments с тех пор потеряли репутацию надежной компании в глазах держателей Master Card и Visa и потратили 85 миллионов долларов на ремонт системы безопасности и модернизацию.
В сентябре 2012 г. произошел весьма интересный случай, связанный с компанией Apple (которая и ранее неоднократно обвинялась в утечке данных). Издательская компания Blue Toad из США заявила об утечке данных пользователей мобильных устройств на операционной системе iOS, опубликованных в сентябре хакерской группой AntiSec. Сходство между выложенным в открытый доступ файлом и аналогичной информацией, хранящейся на серверах компании, составила 98 %. Привлекает внимание тот факт, что AntiSec сообщила, что данные они получили отнюдь не из Apple, а из компьютера сотрудника ФБР. Именно из ФБР было похищено 12 млн. уникальных идентификаторов iOS-устройств, а также имена пользователей, их адреса, номера телефонов и регистрационные данные. Именно в качестве доказательства того, что Apple передает данные об устройствах пользователей ФБР, и был опубликован 1 млн. идентификационных данных.
В прошлом октябре с утечкой данных платежных карт столкнулась сеть американских магазинов Barnes and Noble. В устройствах PIN-пад, которые предназначены для ввода данных кредитовых и дебетовых карт, была обнаружена угроза личным данным покупателей. Нарушения в работе устройств были обнаружены еще в сентябре во время обслуживания и осмотра. В октябре же было объявлено, что любой, кто использовал кредитную или дебетовую карту в Barnes & Noble, возможно, был затронут сложным преступным механизмом. В неизвестные руки могла попасть информация об именах, номерах счета платежной карточки и PIN. После того, как Barnes & Noble демонтировал и исследовал все PIN-пады, выяснилось, что испорчено было меньше чем 1 % устройств. В общей сложности среди 63 магазинов Barnes and Noble в девяти штатах был по крайней мере один подвергшийся угрозе PIN-пад. После данного инцидента на устройствах был установлен специальный код, который защищает информацию более тщательно.
В ноябре под угрозу попали данные известной компании Adobe. Группа киберпреступников из Египта скомпрометировала базу данных пользователей ресурса Connectusers.com, который является большим форумом Adobe Connect Web. Первоначально было заявлено об утечке данных более 150 000 пользователей форума компании Adobe. Но экспертные службы сумели подтвердить утечку лишь 644 учетных записей, что намного меньше заявления египетских хакеров. В связи с этими событиями форум был вовсе отключен. И хотя ресурсу ничего не угрожает, однако из-за широкого резонанса пользователи все же опасаются за сохранность своих данных. Уже поступила информация об удалении нескольких сотен учетных записей.
Угрозы в соцсетях
Как показывают исследования антивирусных лабораторий, мошенничество в социальных сетях осваивается злоумышленниками весьма активно. Речь идет не только о пользовательских проблемах, но о серьезных глобальных последствиях, к которым ведет взламывание аккаунтов социальных сетей. Наиболее заметным инцидентом можно считать взлом Twitter аккаунта Associated Press. Размещение хакерами заведомо ложной информации от имени информагентства (фальшивое сообщение о взрывах в Белом доме и ранении Барака Обамы) привело к кратковременным, но весьма существенным последствиям на бирже: буквально за 3 минуты, сразу после публикации твита, индекс Dow Jones понизился на 143 пункта. Правда, еще через 10 минут, когда выяснилось, что Twitter-аккаунт информагентства был взломан, он вернулся на прежний уровень.
В июне 2012 года социальная сеть LinkedIn сообщила об утечке личных данных своих пользователей. По словам инженера LinkedIn Висента Сильвейры (Vicente Silveira), это коснулось паролей некоторых аккаунтов. Но позднее было выяснено, что третьим лицам был раскрыт файл с 6 458 020 зашифрованных паролей. LinkedIn разослал пострадавшим пользователям e-mail сообщения с инструкциями по сбросу пароля, так как старые пароли больше не работают. Не ясно до сих пор, стала ли злоумышленникам доступна иная пользовательская информация. В связи с произошедшим пользователь LinkedIn Кэти Шпирка из американского штата Иллинойс подала иск против соцсети на 5 миллионов долларов из-за утечки данных, обвиняя сайт в неспособности обеспечить онлайн-безопасность пользователей.
Во второй половине июля пользователи файлохранилища Dropbox стали жаловаться, что получают нежелательные письма на те электронные ящики, которые были созданы специально для корреспонденции с Dropbox. А 31 июля Dropbox сообщил, что были украдены имена и пароли некоторых аккаунтов. Выяснилось, что один из украденных паролей принадлежал сотруднику Dropboх. И через его учетную запись злоумышленники получили доступ к списку адресов электронной почты пользователей сервиса, отчего произошел всплеск спам-рассылок пользователям Dropbox. Компания не сообщила о точном числе аккаунтов, пароли от которых были украдены, однако уверила, что связалась со всеми пользователями, чьи адреса были украдены, и помогла им защитить учетные записи.
Приведенные выше примеры демонстрируют, что потеря данных может в основном быть результатом человеческих умышленных злодеяний, а также следствием неэффективных мер по обеспечению безопасности. Поэтому упоминание инцидентов лишний раз призвано напомнить о важности осуществления эффективной политики защиты данных для бизнеса.