Переход к новым технологиям дает много преимуществ. Собственно, этому и посвящено большинство материалов в этом номере. И информационная безопасность занимает в этом ряду технологий особое место, поскольку сам вопрос защиты информации возникает каждый раз, когда мы пытаемся развивать информационную составляющую других важнейших направлений, будь то транспорт, здравоохранение или энергетика.
Появляется масса издержек, связанных с безопасностью данных, в том числе и чувствительной информации, разглашение которой может привести к самым серьезным последствиям. А это, в свою очередь, ведет к недоверию потенциальных потребителей услуг и тормозит внедрение новых технологий.
И данные уже реально утекают. Причем на учреждения здравоохранения, образования, а также органы власти приходилось, по итогам 2010 г., в общей сложности 58% всех подобных инцидентов. Обычно в результате такой утечки оказываются скомпрометированными персональные данные. Так, например, по данным некоммерческой организации Privacy Rights Clearinghouse, с 2005 г. в США в общедоступный Интернет было выложено около полумиллиарда историй болезни. Причем наряду с медицинской информацией к посторонним могли попасть номера карточек социального страхования, что дает самые широкие возможности потенциальному злоумышленнику.
И действительно, эта информация нередко используется для всяческих махинаций. Так, в мае 2011 г. в США была разоблачена группировка мошенников, которая путем манипуляций с налогами похитила более миллиона долларов за три месяца. При этом активно использовались номера социального страхования, похищенные разными способами. Несколькими месяцами позже был выявлен случай мошенничества с кредитами, для которого также использовались похищенные персональные данные. И такое мошенничество в США чрезвычайно распространено. Впрочем, в Европе и России правила проверки личности строже, и такого рода преступления невозможны. Кроме того, в обоих случаях речь шла о сотрудниках банков, которые использовали свое служебное положение.
Иногда утекают данные не только пациентов, но и сотрудников учреждений. Так было, например, в компании «Шведский медицинский центр» из американского Сиэтла, где на открытые ресурсы попали данные о 20 тыс. действующих и бывших сотрудников.
Бывает и так, что в руках злоумышленников оказываются данные граждан целых стран. Таких случаев отмечено как минимум два: в Британии и Турции. Впрочем, дело ограничилось лишь рассылкой персонализированного спама. Но все еще впереди…
Надо отметить, что отказ от использования новых технологий тоже не гарантирует сохранности данных. И тому есть несколько примеров. Например, в прошлом году расследовалось дело об афере, связанной с продажей онкобольным пищевых добавок по завышенным ценам. Тогда выяснилось, что махинаторы заполучили сведения о пациентах одного из профильных медучреждений у его сотрудников. Причем эти данные хранились в традиционном виде, на обычных карточках. Ну а дел о мошенничествах, когда для оформления подставных фирм или кредитов использовались паспортные данные или номера страхования случайных людей, насчитывается уже не одна сотня, в том числе и у нас.
Почему такое становится возможным? Есть три причины:
- полное отсутствие каких‑либо средств защиты;
- имеющиеся средства защиты, не соответствующие реальной ситуации с информационными угрозами;
- действия сторонних лиц или компаний.
Надо сказать, что эти причины работают вне зависимости от того, автоматизирована деятельность учреждения или нет. Другое дело, что автоматизация облегчает не только легитимное использование данных, но и работу злоумышленника тоже. Как и возможный его «улов» в случае удачного сбыта украденных данных, благо устойчивый спрос на похищенную информацию есть.
Полное отсутствие средств защиты более характерно как раз для тех учреждений, где автоматизацией не занимаются совсем или она находится на зачаточном уровне. А это бывает, увы, нередко. Бюджетные учреждения в небогатых регионах часто не имеют средств на более насущные вещи. Не надо напоминать о том, сколько школ, поликлиник и больниц находятся в аварийном состоянии, сколько из них не имеют водопровода и канализации, как обстоит дело с лекарствами и питанием больных.
Однако случается и так, что защита отсутствует в результате обычного разгильдяйства. Например, утечка информации в Шведском медицинском центре была обусловлена тем, что сотрудник работал с ней на незащищенном личном компьютере, в результате чего данные были проиндексированы поисковыми системами и стали доступны всем желающим.
Сюда же можно отнести случаи, связанные с нарушением регламентов и инструкций по уничтожению информации в случае продажи или утилизации ПК и серверов. А даже в военных структурах, например, блока НАТО, эти правила нарушаются в каждом втором случае. Когда на средствах защиты информации экономят, данные, часто весьма и весьма критичные, могут попасть в чужие руки вместе с компьютером. А ПК, особенно портативные, или носители информации тоже могут быть потеряны или банально украдены. Таких случаев было отмечено немало. Например, не так давно в лондонском филиале медицинской страховой системы NHS стало известно о потере ноутбуков и носителей информации, где содержалось в общей сложности более 8 млн записей. Имеют место и технические ошибки. Любой из пользователей электронной почты хотя бы раз отправлял письмо не по адресу. Именно так произошло в апреле текущего года в Шотландии, когда группе госслужащих, выходящих на пенсию, выслали электронное письмо, содержащее персональные данные всех их коллег. А в той же NHS допустили утечку вследствие того, что отправили медицинскую информацию по факсу не на тот номер.
Также вполне типична ситуация, когда средства защиты имеются, но они неадекватны информационным угрозам. Так, от представителей аудиторов в области информационной безопасности приходилось слышать, что в 80% случаев в системах защиты остаются бреши — например, вследствие того, что у сетевого оборудования не изменены заводские пароли, которые хорошо известны злоумышленникам. То же самое относится к стандартным учетным записям серверов баз данных и бизнес-приложений. И это еще более усугубляется недостаточным уровнем квалификации и дисциплины сотрудников в бюджетных учреждениях. Далеко не везде есть полноценные ИТ‑службы. Впрочем, их сотрудники также представляют собой потенциальное слабое звено и вполне могут воспользоваться своим бесконтрольным доступом ко всем информационным ресурсам, в том числе и в противозаконных целях, причем долгое время оставаясь незамеченными. Вполне возможно, именно так произошли громкие утечки данных, в том числе из российских компаний и госучреждений.
Действия внешних компаний также часто служат причиной утечки. Это могут быть аутсорсинговые компании, телекоммуникационные операторы, почта, курьерские службы. Там средства защиты порой или отсутствуют, или неадекватны угрозам. При этом повлиять на соблюдение ими всех норм и правил крайне трудно, если не невозможно в принципе. И это ведет к утечкам, в том числе громким. Например, британская почта несколько лет назад потеряла диск, где находились данные на несколько миллионов граждан. В текущем году одна из канадских курьерских служб потеряла три диска с персональными данными клиентов банка Scotiabank. В конце прошлого года стало известно о том, что сотрудница телекоммуникационной компании Sprint-Nextel передавала информацию, изъятую из журналов звонков агентов управления по борьбе с наркотиками, главе преступной группировки. Утечка данных привела к гибели потенциальных свидетелей обвинения. Важность этого канала будет только расти, поскольку внедрение облачных технологий, а это новая фаза развития аутсорсинга, — дело самого ближайшего будущего.
Однако все эти проблемы вполне решаемы. Рецепты защиты данных хорошо известны. Да, они требуют внедрения организационных и технических мер. Да, соблюдение всех регламентов и политик часто ведет к некоторым неудобствам. Да, приходится тратить время на всякого рода тренинги. Да, эти меры требуют известных затрат материальных ресурсов и времени. Но иначе вся автоматизация будет дискредитирована.