| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJE MOBILNE | KARIERA | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Wycieki danych 2007-2008. Jak było i jak będzie.

Wycieki danych 2007-2008. Jak było i jak będzie.

Raport zawiera podsumowanie globalnych incydentów naruszenia bezpieczeństwa IT, jakie miały miejsce w zeszłym roku. Celem projektu było zbadanie wszystkich wycieków poufnych danych (łącznie z wyciekami danych osobistych), o których informowały media. Przeanalizowaliśmy wycieki z całego świata we wszystkich typach korporacji.

W przypadku integracji systemu zapobiegania wyciekom danych w organizacji, istotnym czynnikiem będzie różnica między danymi statycznymi dotyczącymi "celowych" i "przypadkowych" wycieków. Na przykład, po zainstalowaniu systemu kontroli ruchu internetowego (niebieskie sektory: 27% przypadkowych i 18% celowych), w pierwszym przypadku system może zapobiec 27% incydentów, w drugim o wiele mniej niż 18%.


Przestępca działa celowo i często wie o istnieniu systemu zapobiegania włamaniom. Z tego względu próbuje wykorzystać inne, niekontrolowane kanały. Ponieważ dyskretne wykorzystanie takich systemów zapobiegania jest praktycznie niemożliwe, skuteczność zapobiegania celowej kradzieży danych będzie niższa niż dla tych samych obszarów w diagramie dotyczącym wyciekom "przypadkowym".


Różnica między celowymi i przypadkowymi incydentami jest jasna. Jedynym obszarem, który może być problematyczny, jest kradzież komputera. Rozgraniczenie jest następujące. Jeżeli złodziej chciał ukraść dane, mamy do czynienia z kradzieżą celową. Jeżeli chciał ukraść cenny sprzęt, kradzież danych jest sprawą drugorzędną i zaliczymy ją do wycieków przypadkowych. Na szczęście media prawie zawsze informują o prawdziwych intencjach złodzieja.

 

 Rozkład wycieków ze względu na cel


W poprzednim badaniu mieliśmy podobny rozkład (77% i 23%). Różnicę między wynikami z roku 2006 i 2007 można przypisać wahaniom statystycznym. Nie jesteśmy zainteresowani znalezieniem potencjalnych przyczyn tej różnicy.


Nawet jeśli nie będziemy zwalczać wewnętrznych złodziei i skupimy się całkowicie na zapobieganiu przypadkowych wycieków danych, możemy zmniejszyć całkowitą liczbę wycieków o trzy czwarte, co znacznie obniża koszty. Samo zapobieganie przypadkowym wyciekom pozwala zaoszczędzić znaczną sumę pieniędzy, co jest wystarczającym powodem zintegrowania systemu zapobiegania.


Zatajanie

Do wielu wycieków, o których informują media, dochodzi podczas przenoszenia danych. Powszechne są również przypadki, gdy wycieki są widoczne dla osób z zewnątrz. Wyciek może być na przykład widoczny dla klientów firmy lub indeksowany przez wyszukiwarki.


Przypadki zgłaszania takich incydentów są nieliczne, ponieważ większość firm woli przemilczeć fakt, że doszło do takiego wycieku. Łatwiej to zrobić bez zewnętrznych świadków. W niektórych krajach zgłaszanie wycieku jest obowiązkowe, nawet jeśli nie powstała żadna szkoda. Mimo to wyciek można ukryć.


W rezultacie, znaczna liczba wycieków poufnych danych nie jest zgłaszana, szczególnie gdy dotyczy tylko jednej organizacji. Dlatego też statystyki takich incydentów nie są wiarygodne.


Trendy

Na rynku rozwiązań do wykrywania i zapobiegania wyciekom informacji wyróżniono następujące trendy:


Brak standardów i ujednoliconego podejścia

Chociaż wiele firm oferuje oprogramowanie do zapobiegania wyciekom danych, do tej pory nie opracowano jednego standardu takiego oprogramowania, zarówno na poziomie standardów prawnych, jak i praktyk biznesowych. Również klienci mają różne wymagania techniczne odnośnie takich rozwiązań.

Należy jednak pamiętać, że stworzenie standardów na podobnych rynkach (ochrona antywirusowa i antyspamowa) zajęło kilka lat.


Nieskuteczność rozwiązań czysto technicznych

Każdy problem należy rozwiązać przy użyciu odpowiednich metod. Ponieważ problem wycieków danych ma charakter społeczno-ekonomiczny, rozwiązanie musi opierać się na środkach społeczno-ekonomicznych. Metody techniczne mogą stanowić jedynie narzędzia egzekwowania polityki. Rozwiązanie problemu wycieków danych przy pomocy środków czysto technicznych jest niemożliwe. Każde rozwiązanie techniczne będzie posiadało "przeciw-rozwiązanie" itd.


Problem dodatkowo komplikują kwestie prawne. We wszystkich państwach istnieje ochrona prywatności osób. W niektórych z nich prawa te są niezbywalne, co oznacza, że nie można się ich zrzec. Wprowadzenie systemu zapobiegania wyciekom danych, który nie koliduje z prawem lokalnym jest trudne. Oprócz inżynierów wymaga to udziału ekspertów z dziedziny prawa już na początkowym etapie projektu.


Mimo to na rynku dostępne są w większości proste rozwiązania techniczne, które polegają na podstawowym filtrowaniu i monitorowaniu całego ruchu przychodzącego i wychodzącego z chronionej sieci. Naturalnie, zarówno wewnętrzni złodzieje jak i lojalni pracownicy mogą łatwo obejść takie prymitywne rozwiązania. Ponadto, często powodują naruszenie konstytucyjnych praw pracowników. Czysto techniczne rozwiązania mogą również zantagonizować pracowników lub osłabić ich lojalność. Takie rozwiązania mogą spowodować szkody zamiast zapewnić ochronę.


Kwestie organizacyjne, finansowe i prawne mogą zostać rozwiązane, jeżeli ochrona przed wyciekami wyjdzie od tych właśnie obszarów - jeśli projekt będzie rozwijany przez odpowiednich ekspertów, a nie tylko speców technicznych. Aspekt techniczny tego zagadnienia jest drugorzędny.


Brak kompleksowego rozwiązania

Należy zauważyć, że twórcy oprogramowania do zapobiegania wyciekom danych rzadko stosują kompleksowe podejście. Zwykle rozwiązanie chroni tylko jeden lub dwa kanały wycieków danych, głównie ruch WWW oraz pocztowy.

Chociaż kontrolowanie jednego lub dwóch kanałów może w pewnym stopniu zapobiec przypadkowej utracie danych, jest ono całkowicie bezużyteczne przeciwko złodziejom.


Integracja i implementacja

Na pierwszy rzut oka wydaje się, że zintegrowanie rozwiązania do ochrony przed wyciekami danych z kanałami komunikacyjnymi i oprogramowaniem jest korzystne. Obecnie jednak na rynku nie ma żadnego zintegrowanego rozwiązania. Najbliższy takiego rozwiązania jest interfejs programowy do aktywowania oprogramowania prewencyjnego (łącznie z zapobieganiem wycieków danych). Jednak interfejsy te rzadko spotykamy w zaporach sieciowych, routerach, punktach dostępowych itd.


Jednak programiści aktywnie pracują nad tym zagadnieniem. Niektórzy z nich zakupili produkty służące do zapobiegania wyciekom danych w celu zaimplementowania ich do produktów ogólnych.


W pełni zintegrowanego rozwiązanie prawdopodobnie nie będzie jeszcze dostępne przez kilku najbliższych lat. Podobne produkty, na przykład antywirusowe lub antyspamowe, nie zostały jeszcze zintegrowane z serwerami pocztowymi i systemami operacyjnymi.


Kaspersky Lab Polska

 

reklama

Polecamy artykuły

Autor:

Źródło:

INFOR

Zdjęcia


Personel i Zarządzanie 4/201730.03 zł

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Pomysł na biznes

Eksperci portalu infor.pl

noRisk

noRisk to firma, która świadczy usługi prawne w zakresie wsparcia przy uzyskiwaniu odszkodowania.

Zostań ekspertem portalu Infor.pl »