REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Wycieki danych 2007-2008. Jak było i jak będzie.

Wycieki danych 2007-2008. Jak było i jak będzie.

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
23 lipca 2008, 12:19
Kaspersky Lab Polska
inforCMS

REKLAMA

REKLAMA

Raport zawiera podsumowanie globalnych incydentów naruszenia bezpieczeństwa IT, jakie miały miejsce w zeszłym roku. Celem projektu było zbadanie wszystkich wycieków poufnych danych (łącznie z wyciekami danych osobistych), o których informowały media. Przeanalizowaliśmy wycieki z całego świata we wszystkich typach korporacji.

Baza wycieków jest prowadzona od 2004 r. przez centrum analityczne InfoWatch (marka należąca do Kaspersky Lab). Do dzisiaj zgromadzono dane o kilku tysiącach wycieków. Baza ta posłużyła za podstawę analizy.

REKLAMA


Źródło wycieków danych

REKLAMA


W 2006 roku specjaliści nie dostrzegli wyraźnych prawidłowości geograficznych związanych z występowaniem wycieków danych. Nie oznacza to jednak, że takie prawidłowości nie istnieją. Jeżeli większość informacji o wyciekach pochodzi z mediów, uwzględnienie państwa pochodzenia znacząco zniekształca rezultaty analizy wycieków.

Każde państwo posiada odrębne ustawy o mediach, własne reguły i praktyki dotyczące poufności danych, nie wspominając o problemach związanych z barierą językową. Z tego powodu analiza ta nie zawiera rozkładu wycieków danych ze względu na kraj.


Poniższy diagram pokazuje rozkład wycieków ze względu na typ organizacji. W zeszłym roku dokonaliśmy podziału na organizacje rządowe i prywatne. W tym roku oprócz instytucji rządowych i prywatnych korporacji uwzględniliśmy również organizacje not-for-profit (głównie instytucje edukacyjne).

Dalszy ciąg materiału pod wideo

 

Rozkład wycieków ze względu na typ organizacji


W podobnym badaniu przeprowadzonym przez InfoWatch w 2006 roku odsetek instytucji rządowych wynosił 34%, natomiast organizacji prywatnych 66%. W 2007 roku udział instytucji rządowych spadł do 22%. Ponieważ nic nie wskazywało na to, że zmieniły się polityki dotyczące upubliczniania wycieków, oznacza to, że instytucje rządowe zwiększyły swoje wewnętrzne środki bezpieczeństwa.

REKLAMA


Ogólnie, w instytucjach rządowych łatwiej jest wprowadzić niezbędne środki bezpieczeństwa, ponieważ łatwiej jest obejść problemy prawne. Obejmują one istniejący w większości krajów ogólny zakaz przeglądania wiadomości przekazywanych za pośrednictwem kanałów komunikacyjnych. Metody obejścia takiego zakazu różnią się w zależności od państwa, jednak znacznie łatwiej zastosować je przez instytucję rządową.


Innym powodem spadku liczby wycieków danych rządowych jest wzrost świadomości kwestii związanych z ochroną poufnych danych. Media, a co za tym idzie opinia publiczna, zainteresowane są upublicznieniem wszystkich wycieków danych, nie tylko tych najgroźniejszych dotyczących rządu, ale również takich, które nie spowodują żadnych szkód.


Liczba organizacji przetwarzających poufne dane wzrosła - w większości są to struktury pozarządowe.


Należy zwrócić uwagę na dość wysoki odsetek instytucji edukacyjnych. Z jednej strony, w instytucjach tych nie istnieje żaden czynnik motywujący do ochrony danych klienta (w tym przypadku dane dotyczące studentów); z drugiej strony, dyscyplina pracowników instytucji edukacyjnych jest znacznie mniejsza niż dyscyplina urzędników państwowych. Oba te czynniki powodują, że spadek liczby wycieków danych dotyczących studentów jest w najbliższej przyszłości wysoce nieprawdopodobny.


Dział analityczny firmy InfoWatch przewiduje wzrost ogólnej liczby wycieków danych w ciągu następnych trzech lat. Udział wycieków z instytucji rządowych nadal będzie powoli spadał, głównie z powodu wzrostu liczby organizacji, które przetwarzają dane osobowe.


Różnica między środkami bezpieczeństwa stosowanymi przez sektor rządowy i prywatny jest pomijalna i taka pozostanie w najbliższej przyszłości.


Charakter wycieków


Poniższy diagram przedstawia rozkład wycieków ze względu na typ danych. Tajemnice handlowe i know-how zostały zaliczone do jednej kategorii, ponieważ w większości państw traktowane są jako to samo (mimo że w Rosji know-how technicznie stanowi własność intelektualną). Co więcej, uchwycenie takich różnic prawnych na podstawie analizy mediów jest często niemożliwe. Kategoria "inne" obejmuje tajemnice rządowe oraz przypadki, gdy typ danych nie jest znany.

Rozkład wycieków ze względu na typ poufnych danych


W podobnym badaniu firmy InfoWatch z 2006 roku odsetek danych osobowych był niewiele niższy (81%) w porównaniu z 93% obecnie. Według nas, wzrost ten przekracza margines błędu statystycznego i odzwierciedla rzeczywisty wzrost liczby wycieków danych osobowych. Wartość takich danych wzrasta z każdym rokiem. Wraz z postępującą "wirtualizacją" gospodarki i rozwojem e-biznesu istnieje coraz więcej sposobów dokonywania kradzieży tożsamości, a co za tym idzie wzrasta zapotrzebowanie na dane osobowe.


Zwiększa się również wartość innych typów poufnych danych, jednak w porównaniu z danymi osobowymi wzrost ten jest znacznie wolniejszy.


Przewidujemy, że wartość danych osobowych nadal będzie rosła. Jednak ze względu na zwiększenie wewnętrznych środków bezpieczeństwa ogólna liczba wycieków nie wzrośnie.


Kanały wycieków


Znając potencjalne kanały wycieku danych, niezwykle ważne jest rozwinięcie organizacyjnych środków bezpieczeństwa oraz środków opartych na oprogramowaniu.

Poniższy diagram pokazuje rozkład wycieków ze względu na nośnik użyty do przeniesienia danych poza system danych.

 

Rozkład wycieków ze względu na nośnik


W porównaniu z 2006 rokiem, znacznie spadł odsetek urządzeń przenośnych (z 50% w 2006 roku do 39% w 2007 roku), wzrósł natomiast odsetek kanałów internetowych (z 12% w 2006 roku do 25% w 2007 r.). Udział procentowy innych nośników mieści się w granicach błędu statystycznego, dlatego uznano, że nie zmienił się. Wraz ze wzrostem liczby wycieków za pośrednictwem Internetu wzrasta zapotrzebowanie na systemy zapobiegania wyciekom danych online.


Warto zauważyć, że w roku 2006 odnotowano tylko jeden przypadek wycieku za pośrednictwem poczty elektronicznej. Wydawałoby się, że kanał ten jest najbardziej dostępny i najłatwiejszy do wykorzystywania. Jednak przepływ poczty elektronicznej można równie łatwo kontrolować, co wykorzystać.


Oprócz poważnych systemów zabezpieczających przed wewnętrznymi złodziejami na rynku dostępny jest szeroki wachlarz prymitywnych zabezpieczeń ruchu pocztowego. Zwykle są one zorientowane tylko na wiadomości, ponieważ łatwo je przeglądać i archiwizować. Zniechęca to przed wykorzystywaniem tego kanału do przekazywania poufnych danych. Przypadkowe wysłanie poufnych danych za pośrednictwem poczty elektronicznej też jest trudne.

Podczas tworzenia i integracji systemów zabezpieczających przed wyciekami istotne jest, aby kanały wycieków były "najbardziej popularne".


Jeżeli podane wyżej statystyki podzielimy na celowe i przypadkowe wycieki, okazuje się, że zarówno Internet, jak i urządzenia przenośne stanowią najpopularniejsze kanały przypadkowych wycieków danych. Często chodzi o przypadkową kradzież laptopa (dane nie są zamierzonym celem) lub przypadkowe współdzielenie plików. W przypadku celowej kradzieży danych, do najpowszechniejszych kanałów należą: "inny" oraz "niewykryty" (np. kradzież komputera stacjonarnego lub dysku twardego).

 

Rozkład wycieków ze względu na nośnik z uwzględnieniem wycieków celowych (pierwszy diagram) i przypadkowych (drugi diagram)

 

W przypadku integracji systemu zapobiegania wyciekom danych w organizacji, istotnym czynnikiem będzie różnica między danymi statycznymi dotyczącymi "celowych" i "przypadkowych" wycieków. Na przykład, po zainstalowaniu systemu kontroli ruchu internetowego (niebieskie sektory: 27% przypadkowych i 18% celowych), w pierwszym przypadku system może zapobiec 27% incydentów, w drugim o wiele mniej niż 18%.


Przestępca działa celowo i często wie o istnieniu systemu zapobiegania włamaniom. Z tego względu próbuje wykorzystać inne, niekontrolowane kanały. Ponieważ dyskretne wykorzystanie takich systemów zapobiegania jest praktycznie niemożliwe, skuteczność zapobiegania celowej kradzieży danych będzie niższa niż dla tych samych obszarów w diagramie dotyczącym wyciekom "przypadkowym".


Różnica między celowymi i przypadkowymi incydentami jest jasna. Jedynym obszarem, który może być problematyczny, jest kradzież komputera. Rozgraniczenie jest następujące. Jeżeli złodziej chciał ukraść dane, mamy do czynienia z kradzieżą celową. Jeżeli chciał ukraść cenny sprzęt, kradzież danych jest sprawą drugorzędną i zaliczymy ją do wycieków przypadkowych. Na szczęście media prawie zawsze informują o prawdziwych intencjach złodzieja.

 

 Rozkład wycieków ze względu na cel


W poprzednim badaniu mieliśmy podobny rozkład (77% i 23%). Różnicę między wynikami z roku 2006 i 2007 można przypisać wahaniom statystycznym. Nie jesteśmy zainteresowani znalezieniem potencjalnych przyczyn tej różnicy.


Nawet jeśli nie będziemy zwalczać wewnętrznych złodziei i skupimy się całkowicie na zapobieganiu przypadkowych wycieków danych, możemy zmniejszyć całkowitą liczbę wycieków o trzy czwarte, co znacznie obniża koszty. Samo zapobieganie przypadkowym wyciekom pozwala zaoszczędzić znaczną sumę pieniędzy, co jest wystarczającym powodem zintegrowania systemu zapobiegania.


Zatajanie

Do wielu wycieków, o których informują media, dochodzi podczas przenoszenia danych. Powszechne są również przypadki, gdy wycieki są widoczne dla osób z zewnątrz. Wyciek może być na przykład widoczny dla klientów firmy lub indeksowany przez wyszukiwarki.


Przypadki zgłaszania takich incydentów są nieliczne, ponieważ większość firm woli przemilczeć fakt, że doszło do takiego wycieku. Łatwiej to zrobić bez zewnętrznych świadków. W niektórych krajach zgłaszanie wycieku jest obowiązkowe, nawet jeśli nie powstała żadna szkoda. Mimo to wyciek można ukryć.


W rezultacie, znaczna liczba wycieków poufnych danych nie jest zgłaszana, szczególnie gdy dotyczy tylko jednej organizacji. Dlatego też statystyki takich incydentów nie są wiarygodne.


Trendy

Na rynku rozwiązań do wykrywania i zapobiegania wyciekom informacji wyróżniono następujące trendy:


Brak standardów i ujednoliconego podejścia

Chociaż wiele firm oferuje oprogramowanie do zapobiegania wyciekom danych, do tej pory nie opracowano jednego standardu takiego oprogramowania, zarówno na poziomie standardów prawnych, jak i praktyk biznesowych. Również klienci mają różne wymagania techniczne odnośnie takich rozwiązań.

Należy jednak pamiętać, że stworzenie standardów na podobnych rynkach (ochrona antywirusowa i antyspamowa) zajęło kilka lat.


Nieskuteczność rozwiązań czysto technicznych

Każdy problem należy rozwiązać przy użyciu odpowiednich metod. Ponieważ problem wycieków danych ma charakter społeczno-ekonomiczny, rozwiązanie musi opierać się na środkach społeczno-ekonomicznych. Metody techniczne mogą stanowić jedynie narzędzia egzekwowania polityki. Rozwiązanie problemu wycieków danych przy pomocy środków czysto technicznych jest niemożliwe. Każde rozwiązanie techniczne będzie posiadało "przeciw-rozwiązanie" itd.


Problem dodatkowo komplikują kwestie prawne. We wszystkich państwach istnieje ochrona prywatności osób. W niektórych z nich prawa te są niezbywalne, co oznacza, że nie można się ich zrzec. Wprowadzenie systemu zapobiegania wyciekom danych, który nie koliduje z prawem lokalnym jest trudne. Oprócz inżynierów wymaga to udziału ekspertów z dziedziny prawa już na początkowym etapie projektu.


Mimo to na rynku dostępne są w większości proste rozwiązania techniczne, które polegają na podstawowym filtrowaniu i monitorowaniu całego ruchu przychodzącego i wychodzącego z chronionej sieci. Naturalnie, zarówno wewnętrzni złodzieje jak i lojalni pracownicy mogą łatwo obejść takie prymitywne rozwiązania. Ponadto, często powodują naruszenie konstytucyjnych praw pracowników. Czysto techniczne rozwiązania mogą również zantagonizować pracowników lub osłabić ich lojalność. Takie rozwiązania mogą spowodować szkody zamiast zapewnić ochronę.


Kwestie organizacyjne, finansowe i prawne mogą zostać rozwiązane, jeżeli ochrona przed wyciekami wyjdzie od tych właśnie obszarów - jeśli projekt będzie rozwijany przez odpowiednich ekspertów, a nie tylko speców technicznych. Aspekt techniczny tego zagadnienia jest drugorzędny.


Brak kompleksowego rozwiązania

Należy zauważyć, że twórcy oprogramowania do zapobiegania wyciekom danych rzadko stosują kompleksowe podejście. Zwykle rozwiązanie chroni tylko jeden lub dwa kanały wycieków danych, głównie ruch WWW oraz pocztowy.

Chociaż kontrolowanie jednego lub dwóch kanałów może w pewnym stopniu zapobiec przypadkowej utracie danych, jest ono całkowicie bezużyteczne przeciwko złodziejom.


Integracja i implementacja

Na pierwszy rzut oka wydaje się, że zintegrowanie rozwiązania do ochrony przed wyciekami danych z kanałami komunikacyjnymi i oprogramowaniem jest korzystne. Obecnie jednak na rynku nie ma żadnego zintegrowanego rozwiązania. Najbliższy takiego rozwiązania jest interfejs programowy do aktywowania oprogramowania prewencyjnego (łącznie z zapobieganiem wycieków danych). Jednak interfejsy te rzadko spotykamy w zaporach sieciowych, routerach, punktach dostępowych itd.


Jednak programiści aktywnie pracują nad tym zagadnieniem. Niektórzy z nich zakupili produkty służące do zapobiegania wyciekom danych w celu zaimplementowania ich do produktów ogólnych.


W pełni zintegrowanego rozwiązanie prawdopodobnie nie będzie jeszcze dostępne przez kilku najbliższych lat. Podobne produkty, na przykład antywirusowe lub antyspamowe, nie zostały jeszcze zintegrowane z serwerami pocztowymi i systemami operacyjnymi.


Kaspersky Lab Polska

 

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Ten głos zaboli polityków. "Do 2030 roku zabraknie nam prądu, firmy uciekną za granicę"
25 kwi 2025
Ponad 80 proc. specjalistów pozytywnie ocenia szkolenia z cyberbezpieczeństwa przeprowadzane w firmie
24 kwi 2025

Szybki rozwój technologii oraz zwiększone ryzyko cyberataków przyczyniają się do rosnącego zainteresowania bezpieczeństwem IT. Zdaniem szkolonych menadżerów, szkolenia z cyberbezpieczeństwa przeprowadzane w firmie: są nie tylko potrzebne, ale i skuteczne.
Dłużnicy wykorzystują brak znajomości prawa u wierzycieli i specjalnie zwlekają z zapłatą za faktury, traktując zwłokę jako formę bezpłatnego kredytu. Powinni i mogą jednak słono za to zapłacić
24 kwi 2025

Słaba znajomość podstawowych przepisów prawa finansowego u przedsiębiorców sprawia, że dłużnicy celowo przeciągają płatności, zyskując w ten sposób darmowy, nieoprocentowany kredyt. Dzieje się to w czasie, gdy zatory płatnicze w polskich przedsiębiorstwach cały czas rosną, a utrata płynności finansowej jest realnym zagrożeniem dla małych i średnich firm.
Czy wspólnik mniejszościowy zawsze jest na straconej pozycji?
23 kwi 2025

Wspólnik posiadający mniejszościowy pakiet udziałów w spółce z o.o. nie musi już na starcie znajdować się na przegranej pozycji w potencjalnym sporze ze wspólnikiem większościowym. Kluczowe jest, aby taki udziałowiec znał swoje prawa w spółce oraz aktywnie i umiejętnie z nich korzystał, co w ostatecznym rozrachunku może przyczynić się do skutecznej obrony interesu wspólnika mniejszościowego i zachowania przez niego wpływu na spółkę.

REKLAMA

Polski Akt o Dostępności – jakie zmiany czekają przedsiębiorców?
23 kwi 2025

Od 28 czerwca 2025 r. produkty i usługi wprowadzane na rynek będą musiały spełniać określone wymogi i być dostosowane również do osób z niepełnosprawnościami. To oznacza wiele zmian również dla małych i średnich przedsiębiorstw.
Polski Akt o Dostępności – jak się przygotować?
23 kwi 2025

Już pod koniec czerwca wchodzi w życie Polski Akt o Dostępności. Nowe przepisy oznaczają dla przedsiębiorców nie tylko obowiązki, ale i nowe możliwości. Kogo dotyczą te zmiany? Co czeka konsumentów, a co przedsiębiorców? Skąd można wziąć pieniądze na ich wprowadzenie?
Zaprojektuj z nami swoją pierwszą innowację – poznaj bezpłatną usługę Innovation Coach i weź udział w wydarzeniu w Łodzi
23 kwi 2025

W dobie dynamicznych zmian technologicznych i rosnącej konkurencji, przedsiębiorcy coraz częściej poszukują sposobów na wdrażanie innowacji w swoich firmach. Nie każdy jednak wie, od czego zacząć, jak zdobyć fundusze na rozwój, czy jak skutecznie przejść przez proces planowania i realizacji innowacyjnego projektu.
Odroczenie terminu płatności składek ZUS. Kto i na jakich zasadach może skorzystać z odroczenia terminu płatności składek?
22 kwi 2025

Odroczenie terminu płatności składek ZUS. Kto i na jakich zasadach może skorzystać z odroczenia terminu płatności składek? W ubiegłym roku z odroczenia terminu płatności składek najczęściej korzystali mali płatnicy.

REKLAMA

Przewodnik po spółce w Delaware – wszystko, co musisz wiedzieć zanim założysz firmę w USA
22 kwi 2025

Założenie spółki w Stanach Zjednoczonych, a w szczególności w stanie Delaware, to marzenie wielu przedsiębiorców – zarówno z Polski, jak i z całego świata. Delaware od dekad uważany jest za światowe centrum dla biznesu dzięki swojej wyjątkowej legislacji, przyjaznemu klimatowi dla przedsiębiorców oraz elastycznym strukturze prawnej. Ale czy spółka w Delaware to dobry wybór dla każdego? I co warto wiedzieć zanim złożysz wniosek o rejestrację?
Europejski Akt Dostępności zacznie obowiązywać od 28 czerwca 2025 roku. Za niespełnienie wymagań dyrektywy wysokie kary
22 kwi 2025

Zbliża się termin, od którego wszystkie firmy świadczące określone usługi lub sprzedające wybrane produkty będą musiały zapewnić ich dostępność dla osób z niepełnosprawnościami. Od 28 czerwca 2025 r. niespełnienie wymagań może wiązać się z wysokimi grzywnami oraz utratą reputacji.

REKLAMA