Mądry Amerykanin po szkodzie

Tak można by określić wyniki Verizon Data Breach Investigations Report 2008 przedstawiającego analizę 500 przypadków kradzieży danych z dużych firm. Raport ten powinien być obowiązkową lekturą dla każdego menedżera ds. bezpieczeństwa IT.

Raport Verizon Business to interesująca i pouczająca lektura, bo wykorzystuje nie badania ankietowe, czy statystyczne, a analizę 500 rzeczywistych i dobrze udokumentowanych przypadków wycieku danych z różnego typu dużych firm, które miały miejsce w ciągu ostatnich czterech lat. Spowodowały one dostanie się w ręce przestępców ok. 230 mln rekordów z baz danych zawierających informacje wrażliwe. Autorzy raportu przedstawili nie tylko suche liczby, ale pokusili się też o zaprezentowanie listy najważniejszych, ich zdaniem, wniosków i rad, których przestrzeganie może istotnie zmniejszyć ryzyko utraty danych, i to najczęściej bez konieczności dużych inwestycji w zabezpieczenie infrastruktury IT.

Wszyscy wiedzą, ale...

Choć wiele wniosków z tej analizy jest powtarzanych w licznych wypowiedziach ekspertów ds. bezpieczeństwa, to niektóre mogą się wydawać zaskakujące, jak choćby ten, że zdecydowanie więcej udanych ataków zostało przeprowadzonych nie wewnątrz, a z zewnątrz lokalnej sieci. Druga ważna konkluzja dotyczy praktycznej efektywności systemów zabezpieczeń. Aż 90% włamań udałoby się uniknąć, gdyby w poszkodowanych firmach przestrzegane były podstawowe zasady bezpieczeństwa oraz ustalonej wcześniej polityki jej egzekwowania. Najbardziej zaawansowane i kosztowne systemy zabezpieczeń nie są do tego potrzebne. Choć są niezbędne, aby zmniejszyć prawdopodobieństwo sukcesu profesjonalnych i precyzyjnie skierowanych ataków, których jednak jest stosunkowo niewiele.

Rodzaje skutecznych ataków

Rodzaje skutecznych ataków

Z analizy Verizon wynika, że większość, bo aż 63% poszkodowanych firm, dowiedziała się o wycieku wrażliwych informacji z ich systemu IT dopiero w kilka miesięcy po tym fakcie. Natomiast 75% skradzionych danych zostało wykorzystane w ciągu zaledwie kilku dni. Jednocześnie 70% przedsiębiorstw lub instytucji uzyskało informacje o kradzieży danych z zewnętrznych źródeł - od klientów lub banków, z którymi współpracują. Do tego czasu firmy nie zdawały sobie sprawy, że przechowywane w ich systemach wrażliwe dane wyciekły.

Co najbardziej bulwersujące, to fakt, że nawet gdy informacja o kradzieży została ujawniona, załatanie luki w systemie IT, w blisko połowie analizowanych przypadków, trwało co najmniej kilka tygodni, a zaledwie 37% firm udało się zabezpieczyć go w ciągu kilku dni, czasami kilku godzin.

Wewnętrzni włamywacze kradną rzadziej

Raport zaprzecza opinii, że najwięcej włamań do systemów IT jest dokonywanych wewnątrz, a zewnętrzne ataki rzadziej kończą się sukcesem, choć z drugiej strony dotyczy to tylko liczby włamań. Te wewnętrzne przynoszą bowiem znacznie większe szkody. Z analizy wynika, że zdecydowana większość, bo 73% włamań do systemów korporacyjnych miała zewnętrzne źródło, 18% zostało dokonanych bezpośrednio przez zatrudnionych w firmie administratorów IT lub innych pracowników, a 39% - przez partnerów biznesowych. Liczby nie sumują się do 100%, bo niektóre z włamań miały różne źródła. Jeśli chodzi o wewnętrzne włamania, to za połowę z nich odpowiedzialni są byli pracownicy działów IT.

73% włamań miała zewnętrzne źródło

63% poszkodowanych firm dowiedziała się o wycieku wrażliwych informacji dopiero w kilka miesięcy po tym fakcie

75% skradzionych danych zostało wykorzystanych w ciągu zaledwie kilku dni

Autorzy raportu zastrzegają się jednak, że liczb tych nie należy traktować bezkrytycznie, bo osoby działające wewnątrz systemu z reguły znacznie bardziej dbają o ukrycie swoich działań niż zewnętrzni hakerzy. Jednocześnie wewnętrzne ataki były bardziej efektywne i przyniosły znacznie większe szkody, bo spowodowały kradzież średnio aż 375 tys. rekordów z baz danych, podczas gdy w zewnętrznym ataku przeciętnie wyciekało tylko 30 tys. rekordów zawierających wrażliwe informacje.


Zobacz również