Компания InfoWatch опубликовала обзор действий инсайдеров и прочих инцидентов внутренней информбезопасности за апрель нынешнего года. Выводы экспертов достаточно тревожны: на протяжении уже двух лет каждый последующий месяц приносит больше утечек конфиденциальных данных, чем предыдущий. Одновременно растет активность инсайдеров. При этом, кроме того, что постепенно увеличиваются общие убытки вследствие утечек информации, также растут и максимальные размеры отдельных утечек. Утечки с ущербом в несколько десятков миллионов долларов уже перестали быть чем-то из ряда вон выходящим.

В одних только США за апрель 2007-го было зарегистрировано больше двух десятков крупных утечек информации; число пострадавших приближается к 3,5 млн. человек. Но еще больше шокируют цифры коммерческого ущерба. Например, компания NCsoft из-за инсайдерских действий ряда программистов потеряла разом миллиард долларов! А компания Affiliated Computer Services (ACS), утратившая важные приватные данные из-за собственного разгильдяйства, сама себя наказала на сумму свыше 500 млн. USD. И эти два случая заслуживают того, чтобы их рассмотреть подробно.

Фатальной для разработчика NСsoft стала утечка программного кода новой игры Lineage III. Собственно, проблемы с инсайдерами там начались еще осенью 2006 года, когда были выявлены первые утечки служебной информации "на сторону". Тогда владельцы компании действовали радикально: уволили руководителя проекта и внесли коренные изменения во внутренний распорядок. Но уволенный руководитель пользовался у программистов NСsoft большим авторитетом, и в результате вслед за лидером команды компанию покинуло немало разработчиков. А в апреле семеро программистов перед увольнением попросту скопировали код новой игры, после чего связались с конкурирующей японской фирмой и продали ей исходники. Теперь руководство NCsoft оценивает убыток в сумму более миллиарда долларов, что сопоставимо с продажами двух предыдущих версий игры.

В свою очередь, компания Affiliated Computer Services окончательно угробила свою репутацию. Дело в том, что ACS в прошлые годы уже "отличилась" рядом громких утечек. Пренебрежение нормами информационной безопасности привело к тому, что в 2004 году компания даже потеряла выгодный контракт с правительством США. Однако впоследствии сотрудничество продолжилось - до нынешнего апреля, когда сотрудники ACS умудрились отправить по почте незащищенный диск с приватными данными жителей штата Джорджия. Почта этот диск благополучно потеряла, и кто-то теперь владеет личной информацией почти что трех миллионов жителей штата. На данный момент ущерб оценен в 510 млн. USD.

Конечно, от действий инсайдеров не застрахована ни одна организация. Однако далеко не все утечки конфиденциальных данных - результат целенаправленных действий внутренних злоумышленников. Часто срабатывает простейший "человеческий фактор" - сотрудники теряют носители информации (чаще всего CD или DVD) или ноутбуки (последние еще часто крадут). Скандал разгорается обычно в случае, когда хранившиеся на носителе ценные файлы не были зашифрованы.

На третьем месте по распространенности, по оценке специалистов InfoWatch, находятся утечки данных через WWW. Как правило, хакеров провоцируют обнаруженные ими на сайтах уязвимости, которые позволяют получить доступ к данным. Но еще чаще, как отмечают исследователи, конфиденциальная информация попросту оказывается в свободном пользовании. Бывает, что администраторы сайтов выкладывают ценные данные в открытый доступ по ошибке, а бывает, что приватные данные размещают временно, но потом забывают убрать. Выходит так, что поисковые машины оперативно индексируют содержимое доступных страниц и сохраняют данные в своем кэше. В результате информация оказывается доступна пользователям интернета даже после того, как оригинальную страницу убрали с сервера.

Ну и, наконец, последний серьезный канал утечки - неправильная утилизация документов с конфиденциальной информацией. Причем эта проблема в равной степени относится и к электронным носителям, и к бумагам.

Виктор ДЕМИДОВ