В этой статье приводится список наиболее заметных ошибок и промахов в области информационной безопасности за прошедший год. Многие из них связаны с незаконным доступом к государственным или корпоративным данным, но некоторые являются результатом неудачной политики или «пиар-ходов».
Составление такого списка – моя ежегодная традиция. Не все случаи обусловлены действиями хакеров в отношении компаний. Некоторые связаны с государственной деятельностью, и, как мы увидим, государство играет все большую роль в обеспечении информационной безопасности, отчасти в силу необходимости, а отчасти – по политическим соображениям. Каждую историю завершает извлеченный урок, чтобы мы могли учиться на чужих ошибках. Итак, переходим к перечислению крупнейших проколов в области информационной безопасности.
10. Кража данных департамента здравоохранения штата Монтана
Базы данных государственных структур все чаще становятся мишенью хакерских атак. В данном случае у департамента здравоохранения штата Монтана было похищено свыше 1 миллиона записей. Государственные системы зачастую плохо защищают свои данные, и в стремлении широко использовать интернет нередко делают легкодоступной личную информацию. Вывод: будьте осмотрительны в предоставлении государственным учреждениям своих персональных данных и задавайте им вопросы о характере использования таких сведений, как номера социального страхования или идентификационные номера, а также о том, как обеспечивается контроль внешних запросов.
9. Атака на считыватели карт в сети ресторанов P.F. Chang’s
В июне 2014 года сеть ресторанов P.F. Chang’s объявила об утечке данных из системы платежей по кредитным картам, которая продолжалась 8 месяцев. По-прежнему точно неизвестно, где и какое количество данных с карт было украдено, но можно предположить, что немало, судя по тому, что это произошло в 33 местах. Вывод: организуйте на месте надлежащий контроль, предусматривающий проверку целостности файлов, анализ журналов и обнаружение вторжений. В этом случае, даже если хакер проникнет в вашу систему, вы сможете его оперативно перехватить и адекватно отреагировать.
8. Атака на Evernote и Feedly с вымогательством
Атака типа «отказ в обслуживании» сделала названные популярные приложения недоступными для 100 миллионов пользователей. Нападения сопровождались требованием заплатить за прекращение атаки. Компании отказались платить и в итоге вышли победителями, но ожидают, что такого рода атаки с вымогательствами продолжатся и даже станут предприниматься чаще. Вывод: постройте надежную сеть с созданием резервных копий, которая позволит вам пережить атаку типа «отказ в обслуживании» и продолжать работу с клиентами.
7. ФБР против стойкого шифрования персональных устройств
Когда Apple объявила о том, что ее устройства будут защищены столь надежным шифрованием, что даже ФБР не cможет их взломать, ведомство обвинило компанию в создании препятствий для обеспечения соблюдения законов. Однако если открыть ФБР «потайную дверь», то много ли времени понадобится хакерам, чтобы получить к ней доступ и завладеть виртуальной отмычкой к каждому устройству Apple на планете? Вывод: ужесточение контроля на индивидуальном уровне – почти всегда благо, и, как показывает предыдущий пример, не стоит рассчитывать на то, что государство защитит нас от злоумышленников.
6. Атака на J.P. Morgan
Крупнейший банк США наряду с несколькими другими организациями подвергся хакерской атаке, в результате чего злоумышленники получили доступ к финансовой информации десятков миллионов клиентов. Это произошло во время противостояния США и России из-за кризиса на Украине. Взлом стал возможен потому, что одна из систем не была защищена двухфакторной аутентификацией, которой требуют все системы онлайн-банкинга. Вывод: отраслевые стандарты и наиболее прогрессивные методы защиты существуют не просто так. Те, кто ими пренебрегает, окажутся первой мишенью для хакеров. Не будьте самой медлительной антилопой в стаде.
5. ЦРУ против Конгресса
Ранее в 2014 году Диана Файнштейн, председатель комитета по разведке Палаты представителей США, обвинила Центральное разведывательное управление в проникновении в компьютеры тех, кто занимается расследованием применяемых в ЦРУ методов ведения допросов после событий 11 сентября. Это быстро переросло в дискуссию, в ходе которой представители ЦРУ обвиняли членов Палаты представителей в неправомочном обладании секретными документами, а члены Палаты представителей упрекали ЦРУ в незаконном вмешательстве в информационные ресурсы. В этих взаимных претензиях ни одна из сторон не выглядела безупречно, но когда обличающий доклад был, наконец, обнародован, ЦРУ предстало в самом неприглядном свете.
4. Дебаты о чистом нейтралитете
Хотя эта тема не относится к информационной безопасности в узком смысле, продолжающиеся дебаты на тему «чистого нейтралитета» определенно повлияют на способы, применяемые крупными поставщиками для хранения и обработки данных. В этом споре я не встану ни на чью сторону; скажу лишь, что дискуссия, прежде всего, посвящена вопросам прав и ограничений кабельных и крупных телекоммуникационных компаний, а не среднестатистического пользователя. Вывод: каким бы ни был итог дебатов, ваши счета за кабельное телевидение и интернет едва ли уменьшатся, а сети едва ли станут более защищенными.
3. Нападение хакеров на eBay
В начале года eBay сообщил об успешной хакерской атаке, в результате которой были похищены данные 233 миллионов пользователей. Хотя украденная информация содержит в целом ограниченные сведения, репутации компании, услугами которой пользуются миллионы людей, был нанесен серьезный ущерб. Взлом стал возможен в результате компрометации учетных данных сотрудников eBay – вероятно, через фишинговые атаки. Вывод: информируйте коллег о важности кибер-безопасности. Каждый, от работника склада до руководителя (в особенности!), должен регулярно узнавать о том, как его отношение к вопросам безопасности может повлиять на компанию.
2. Взлом Home Depot
Одной из крупнейших за этот год краж персональных данных стала утечка информации о кредитных картах 56 миллионов клиентов Home Depot. По своему масштабу этот инцидент едва уступает произошедшей в 2013 году атаке хакеров на компанию Target, предпринятой с использованием аналогичных методов (вредоносных программ, установленных на терминалы самообслуживания для осуществления платежей по кредитным картам). Оказывается, в связи с происшествием в Target, в Home Depot велась работа по укреплению безопасности, но было уже слишком поздно. Вывод: заниматься усилением безопасности никогда не рано. Второй вывод: следите за актуальностью страховки своей компании от кибермошенничества и объемом страховых выплат на случай ущерба в результате крупной атаки. Страховка Home Depot оказалась недостаточной, и компании придется выплатить десятки миллионов долларов для ликвидации последствий инцидента.
1. Атака на Sony из-за «Интервью»
Это нападение, вероятно, стало самой заметной кибератакой за истекший год, отчасти потому, что произошло тогда, когда киностудия готовилась выпустить фильм, привлекавший всеобщее внимание, а отчасти потому, что в роли предполагаемого злоумышленника выступило государство, в данном случае Северная Корея. Инцидент вырос в проблему национальной безопасности, когда хакеры стали угрожать кинотеатрам, где упомянутый фильм показывали на Рождество. В конце концов фильм все же вышел, но из этой ситуации можно извлечь несколько уроков. Ранее Sony уже подвергалась атакам, когда была выведена из строя игровая сеть PS3, но после этого безопасность не была достаточно усилена. Массивные кэши критически важных данных хранятся в сети незашифрованными; отсутствуют этапы контроля, позволяющие обнаруживать загрузки терабайтных размеров из корпоративной сети. Компания может служить показательным примером плохой заботы о компьютерной безопасности. Но основной вывод, который следует сделать, такой: если уж жизнь подбрасывает тебе кислые лимоны, делай лимонад! В конце концов компания, завернувшись в американский флаг, все же выпустила фильм, завоевав определенные симпатии публики. Возможно, эти симпатии схлынут после того, как зрители увидят то, чему, по-видимому, не суждено стать классикой. Кроме того, компании пришлось прибегнуть к услугам службы потокового видео для показа фильма. Не поймите меня превратно: на ликвидацию последствий ущерба, нанесенного фирме и репутации, уйдут годы, не говоря уже о миллионах долларов утраченной прибыли из-за вынужденного отказа от проката в крупных кинотеатрах. Будем надеяться, что на этот раз Sony усвоит уроки и займется ликвидацией бесчисленных недостатков в системе безопасности, чтобы не стать жертвой вновь. Надеюсь также, что и вы сделаете выводы и проведете этот год без происшествий.