| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJE MOBILNE | KARIERA | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Wycieki danych 2007-2008. Jak było i jak będzie.

Wycieki danych 2007-2008. Jak było i jak będzie.

Raport zawiera podsumowanie globalnych incydentów naruszenia bezpieczeństwa IT, jakie miały miejsce w zeszłym roku. Celem projektu było zbadanie wszystkich wycieków poufnych danych (łącznie z wyciekami danych osobistych), o których informowały media. Przeanalizowaliśmy wycieki z całego świata we wszystkich typach korporacji.

Baza wycieków jest prowadzona od 2004 r. przez centrum analityczne InfoWatch (marka należąca do Kaspersky Lab). Do dzisiaj zgromadzono dane o kilku tysiącach wycieków. Baza ta posłużyła za podstawę analizy.


Źródło wycieków danych


W 2006 roku specjaliści nie dostrzegli wyraźnych prawidłowości geograficznych związanych z występowaniem wycieków danych. Nie oznacza to jednak, że takie prawidłowości nie istnieją. Jeżeli większość informacji o wyciekach pochodzi z mediów, uwzględnienie państwa pochodzenia znacząco zniekształca rezultaty analizy wycieków.

Każde państwo posiada odrębne ustawy o mediach, własne reguły i praktyki dotyczące poufności danych, nie wspominając o problemach związanych z barierą językową. Z tego powodu analiza ta nie zawiera rozkładu wycieków danych ze względu na kraj.


Poniższy diagram pokazuje rozkład wycieków ze względu na typ organizacji. W zeszłym roku dokonaliśmy podziału na organizacje rządowe i prywatne. W tym roku oprócz instytucji rządowych i prywatnych korporacji uwzględniliśmy również organizacje not-for-profit (głównie instytucje edukacyjne).

 

Rozkład wycieków ze względu na typ organizacji


W podobnym badaniu przeprowadzonym przez InfoWatch w 2006 roku odsetek instytucji rządowych wynosił 34%, natomiast organizacji prywatnych 66%. W 2007 roku udział instytucji rządowych spadł do 22%. Ponieważ nic nie wskazywało na to, że zmieniły się polityki dotyczące upubliczniania wycieków, oznacza to, że instytucje rządowe zwiększyły swoje wewnętrzne środki bezpieczeństwa.


Ogólnie, w instytucjach rządowych łatwiej jest wprowadzić niezbędne środki bezpieczeństwa, ponieważ łatwiej jest obejść problemy prawne. Obejmują one istniejący w większości krajów ogólny zakaz przeglądania wiadomości przekazywanych za pośrednictwem kanałów komunikacyjnych. Metody obejścia takiego zakazu różnią się w zależności od państwa, jednak znacznie łatwiej zastosować je przez instytucję rządową.


Innym powodem spadku liczby wycieków danych rządowych jest wzrost świadomości kwestii związanych z ochroną poufnych danych. Media, a co za tym idzie opinia publiczna, zainteresowane są upublicznieniem wszystkich wycieków danych, nie tylko tych najgroźniejszych dotyczących rządu, ale również takich, które nie spowodują żadnych szkód.


Liczba organizacji przetwarzających poufne dane wzrosła - w większości są to struktury pozarządowe.


Należy zwrócić uwagę na dość wysoki odsetek instytucji edukacyjnych. Z jednej strony, w instytucjach tych nie istnieje żaden czynnik motywujący do ochrony danych klienta (w tym przypadku dane dotyczące studentów); z drugiej strony, dyscyplina pracowników instytucji edukacyjnych jest znacznie mniejsza niż dyscyplina urzędników państwowych. Oba te czynniki powodują, że spadek liczby wycieków danych dotyczących studentów jest w najbliższej przyszłości wysoce nieprawdopodobny.


Dział analityczny firmy InfoWatch przewiduje wzrost ogólnej liczby wycieków danych w ciągu następnych trzech lat. Udział wycieków z instytucji rządowych nadal będzie powoli spadał, głównie z powodu wzrostu liczby organizacji, które przetwarzają dane osobowe.


Różnica między środkami bezpieczeństwa stosowanymi przez sektor rządowy i prywatny jest pomijalna i taka pozostanie w najbliższej przyszłości.


Charakter wycieków


Poniższy diagram przedstawia rozkład wycieków ze względu na typ danych. Tajemnice handlowe i know-how zostały zaliczone do jednej kategorii, ponieważ w większości państw traktowane są jako to samo (mimo że w Rosji know-how technicznie stanowi własność intelektualną). Co więcej, uchwycenie takich różnic prawnych na podstawie analizy mediów jest często niemożliwe. Kategoria "inne" obejmuje tajemnice rządowe oraz przypadki, gdy typ danych nie jest znany.

Rozkład wycieków ze względu na typ poufnych danych


W podobnym badaniu firmy InfoWatch z 2006 roku odsetek danych osobowych był niewiele niższy (81%) w porównaniu z 93% obecnie. Według nas, wzrost ten przekracza margines błędu statystycznego i odzwierciedla rzeczywisty wzrost liczby wycieków danych osobowych. Wartość takich danych wzrasta z każdym rokiem. Wraz z postępującą "wirtualizacją" gospodarki i rozwojem e-biznesu istnieje coraz więcej sposobów dokonywania kradzieży tożsamości, a co za tym idzie wzrasta zapotrzebowanie na dane osobowe.


Zwiększa się również wartość innych typów poufnych danych, jednak w porównaniu z danymi osobowymi wzrost ten jest znacznie wolniejszy.


Przewidujemy, że wartość danych osobowych nadal będzie rosła. Jednak ze względu na zwiększenie wewnętrznych środków bezpieczeństwa ogólna liczba wycieków nie wzrośnie.


Kanały wycieków


Znając potencjalne kanały wycieku danych, niezwykle ważne jest rozwinięcie organizacyjnych środków bezpieczeństwa oraz środków opartych na oprogramowaniu.

Poniższy diagram pokazuje rozkład wycieków ze względu na nośnik użyty do przeniesienia danych poza system danych.

 

Rozkład wycieków ze względu na nośnik


W porównaniu z 2006 rokiem, znacznie spadł odsetek urządzeń przenośnych (z 50% w 2006 roku do 39% w 2007 roku), wzrósł natomiast odsetek kanałów internetowych (z 12% w 2006 roku do 25% w 2007 r.). Udział procentowy innych nośników mieści się w granicach błędu statystycznego, dlatego uznano, że nie zmienił się. Wraz ze wzrostem liczby wycieków za pośrednictwem Internetu wzrasta zapotrzebowanie na systemy zapobiegania wyciekom danych online.


Warto zauważyć, że w roku 2006 odnotowano tylko jeden przypadek wycieku za pośrednictwem poczty elektronicznej. Wydawałoby się, że kanał ten jest najbardziej dostępny i najłatwiejszy do wykorzystywania. Jednak przepływ poczty elektronicznej można równie łatwo kontrolować, co wykorzystać.


Oprócz poważnych systemów zabezpieczających przed wewnętrznymi złodziejami na rynku dostępny jest szeroki wachlarz prymitywnych zabezpieczeń ruchu pocztowego. Zwykle są one zorientowane tylko na wiadomości, ponieważ łatwo je przeglądać i archiwizować. Zniechęca to przed wykorzystywaniem tego kanału do przekazywania poufnych danych. Przypadkowe wysłanie poufnych danych za pośrednictwem poczty elektronicznej też jest trudne.

Podczas tworzenia i integracji systemów zabezpieczających przed wyciekami istotne jest, aby kanały wycieków były "najbardziej popularne".


Jeżeli podane wyżej statystyki podzielimy na celowe i przypadkowe wycieki, okazuje się, że zarówno Internet, jak i urządzenia przenośne stanowią najpopularniejsze kanały przypadkowych wycieków danych. Często chodzi o przypadkową kradzież laptopa (dane nie są zamierzonym celem) lub przypadkowe współdzielenie plików. W przypadku celowej kradzieży danych, do najpowszechniejszych kanałów należą: "inny" oraz "niewykryty" (np. kradzież komputera stacjonarnego lub dysku twardego).

 

Rozkład wycieków ze względu na nośnik z uwzględnieniem wycieków celowych (pierwszy diagram) i przypadkowych (drugi diagram)
reklama

Polecamy artykuły

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Dr n.prawnych Roman Ziembiński

Od ponad 20 lat doradza i asystuje w prowadzeniu postępowań upadłościowych i naprawczych oraz przejmuje tymczasowy zarząd kryzysowy w wielu firmach krajowych i zagranicznych.

Zostań ekspertem portalu Infor.pl »
Notyfikacje
Czy chcesz otrzymywać informacje o najnowszych zmianach? Zaakceptuj powiadomienia od mojafirma.Infor.pl
Powiadomienia można wyłączyć w preferencjach systemowych
NIE
TAK