Что реально угрожает персональным данным?

Сергей Ильин

  По всему миру на миллионах компьютеров хранятся различные типы персональных данных. Подходы к тому, что является персональными данными и что именно нужно защищать часто расходятся, но давайте выделим основные классы:

• платежные данные (в первую очередь, данные банковских карт);
• данные, позволяющие однозначно идентифицировать человека (включая паспортные данные, SSN, данные водительских прав и других документов);
• данные о состоянии здоровья или интимной жизни граждан;
• любая другая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

  Хочу обратить внимание, что список выше отличается от приведенного в ФЗ №152! Вопрос, почему в России определение персональных данных отличается от применяемого в других странах, оставим для будущих публикаций.

  Давайте обратимся к мировой статистике публичных инцидентов с утечками персональных данных граждан и посмотрим, что реально им угрожает. Нужно понимать, что мы никогда не будем знать абсолютно точной реальной картины по количеству утечек и их деталей просто потому, что очень небольшая часть утечек становится публичными. Но все же, это самые громкие и самые разрушительные мировые утечки и эта выборка интересна.

  Наиболее авторитетным независимым источником статистики по утечках персональных данных является Open Security Foundation и их ресурс DataLossDB. Их данные часто использую в своих регулярных отчетах крупные вендоры. Например, корпорация Microsoft приводила несколько обработанные и "причесанные" данные DataLossDB в отчете Microsoft Security Intelligence Report Vol.7 (основные выводы на русском языке).

  Почему я привожу данные из отчета Microsoft, а не из первоисточника? Потому, что статистика DataLossDB слишком детализированная, и для лучшего понимания нужно провести категоризацию более высокого уровня, это и было сделано Microsoft.

  Хотя полные итоги 2009 года еще не подведены, но уже понятно, что общий рост количества зарегистрированных инцидентов будет существенным, так как только в первом полугодии их было чуть меньше, чем за весь 2008 год.

  Как видно из риснука 1 основной причиной утечки персональных данных в продолжает оставаться потеря и кража оборудования, например, портативных компьютеров или внешних носителей. Это около 40% всех инцидентов, что втрое превышает количество утечек по причине взлома (~13%), не говоря уже про утечки из-за заражения вредоносными программами (~1%) или по причине несанкционированной отправки по e-mail (~2%).

  Частой причиной утечки конфиденциальных данных также является неправильное списание/утилизация носителей информации, например, жестких дисков, архивных лент, дисков и т.п. Количество таких инцидентов в 2009 году возросло и они составляют около 13% от общего количества.

  Еще около 10% составляют утечки через общедоступные веб сайты. Как правило, это услучайные утечки, когда кто-то по ошибке или халатности выкладывает для публичного доступа конфиденциальные персональные данные.

  Что нам говорят эти данные? С моей точки зрения они свидетельствуют о существующем перекосе в оценке угроз персональным данным. Привычные средства защиты, такие как антивирусы, фаерволы или средства фильтрации исходящей информации недостаточны для защиты данных. С другой стороны целый ряд угроз очень часто просто игнорируется. Это касается кражи и потери всевозможных носителей информации и их утилизации.

  Многих утечек, пополнивших статистику выше, можно бы было легко избежать, ограничив использование в компании внешних носителей (USB-устройства, CD/DVD и т.п.) и применяя шифрование. При этом шифроваться могут не только жесткие диски ноутбуков, содержимое флешек и карт помяти, но и жесткие диски стационарных компьютеров, и архивные носители (их тоже воруют и теряют).

  Что мешает принудительно шифровать, например, жесткие диски на всех корпоративных ноутбуках? Тогда бы угроза их потери или кражи для организации сводилась бы всего лишь к потере стоимости оборудования. Кроме этого шифрование решило бы проблему их утилизации и ликвидировало связанные с этим риски. Все это относится к любым носителям информации.

  Если еще раз посмотреть на статистику выше, то будет понятно, что грамотное применение политик шифрования предотвратило бы почти 50% от всех известных инцидентов утечки персональных дынных. Думаю, это заслуживает внимания.