Данните за компрометиране на сигурността в редица компании и организации през 2007 година са много тревожни

Кредитни карти
Време за четене: 8 минути

Поставяте кредитната си карта в често използвания от Вас банкомат, за да изтеглите желаната сума. Избирате сума. Въвеждате ПИН код. За съжаление, на екрана се изписва съобщение, че не разполагате с достатъчно средства. Вие знаете със сигурност, че в сметката Ви има достатъчно пари, но може би грешите… Статистиката за 2007 г., показва, че броя на кражбите на лични данни, данни за кредитни и дебитни карти, а също и на конфиденциална служебна информация, е нараснал значително. Новите похвати използвани от хакери и фишъри нанасят големи финансови и други загуби на бизнеса и частните лица.

В цифровата ера, в която живеем, използването на електронни устройства и компютърна техника ни дава много нови възможности и предимства. Електронните услуги ни спестяват време и ресурси, помагат ни да оптимизираме работните процеси, да комуникираме бързо и евтино. Изпращането и получаване на данни и банкирането онлайн са ежедневие за модерния човек. Заедно с тези предимства обаче, както пред нас като потребители, така и пред всички компании и организации, предоставящи електронни услуги, стоят редица предизвикателства, свързани със защитата и предпазването на личните и корпоративни данни.

Цифрите за пробиви в сигурността и кражби на потребителски данни вариращи от регистрационни данни на сайтове, имена и email адреси до цели бази данни на търговски вериги, банки и институции, определено са тревожни. Само за САЩ в периода от януари 2005 г. до началото на ноември 2007 г. са били компрометирани или откраднати лични данни на над 215 милиона физически и юридически лица. Често става дума за чисто физическо открадване или загубване на цели компютри, сървъри, лаптопи, хард дискове, изнасяне на данни през email, CD и DVD, USB Flash памети, iPod и др., но при кражби на огромни количества данни, хакерите използват уязвимости в сървъри и мрежи, които не са били забелязани и отстранени от администраторите навреме.

Какво се случва в България?

Бързото нарастване на броя физически и юридически лица използващи онлайн банкиране и различни Интернет услуги в България, неминуемо ще доведе в даден момент до чести опити на хакери и престъпни групи, да пробият в системите на всяка достъпна организация онлайн или офлайн. Това е само въпрос на време и новините и статиите от последния месец, само потвърждават това:

  • Бизнесмен от Враца стана жертва на виртуален банков обир
  • Над 50 българи ужилени от нова система за точене на банкови сметки
  • Парите ни в банките – лесна плячка за хакери
  • Троянски коне пробиват стотици компютри

Примери за пробиви в сигурността и кражби на данни

За да бъдем наясно за каква опасност става дума, би било добре, да разгледаме накратко някои от най-фрапиращите случаи на онлайн кражби в САЩ, които бяха оповестени и следени в пресата през 2007 г. до днес:

17 януари 2007 г.: Откраднати лични данни на над 94 милиона клиенти
Атакувани: Магазините TJ (TJX), включващи TJMaxx, Marshalls, Winners, HomeSense, AJWright, TKMaxx, и вероятно Bob’s Stores в САЩ и Пуерто Рико. Магазините Winners and HomeGoods в Канада и вероятно TKMaxx във Великобритания и Ирландия.
Какво се е случило? TJX Companies Inc. са установили „неразрешен достъп“ в техните компютърни системи, които съхраняват и обработват потребителски транзакции, включително данни за над 45,700,000 кредитни и дебитни карти, чекове, и данни за върнати над 455,000 стоки, включващи данни за шофьорска книжка на клиента, военен номер и номер на социалната осигуровка. По-късно е установено, че хакери са имали достъп до системите им още от 2003 г. Според открити по-късно следи, от магазина са били източени $8,000,000 по схемата за „карти-сертификати за подаръци“. Скоро, банковите асоциации на три щата започват процеси срещу TJX, които трябва да заплатят разходите за преиздаване на кредитни и дебитни карти на клиентите, което струва десетки милиони долари. През април 2007 г. се доказва, че тъй като TJX е използвал несигурни безжични връзки, не е имал инсталирани защитни стени и актуален софтуер за сигурност, крадците са можели безпрепятствено да събират данните, предавани от ръчни устройства и скенери в обектите на веригата. Заведени са още 21 процеса от американски и канадски банки във връзка с преиздаването на откраднати кредитни карти. През юли 2007 г. американските тайни служби успяват да открият част откраднатите данни за кредитни карти (около 200,000), които трябва със сигурност да бъдат заменени. Сред крадците са кибер престъпници от Източна Европа и кубинци, живеещи във Флорида, САЩ. Разследването продължава. През това време TJX предлага наблюдение на сметките на само 455,000 от засегнатите 46 милиона клиенти. TJX покрива разходите за нови шофьорски книжки на клиентите си, предоставя ваучери за $30 на всеки клиент, който подаде документи за неговите загубено време и пари, свързани с пробива в сигурността. TJX планира да предприеме специална 3-дневна отстъпка от 15% за всички клиенти през 2008 г., за да възвърне доверието им. Цената на подценената сигурност се оказва значителна за TJX.

– – – – –

19 май 2007 г.: Откраднати са данни за над 300,000 лиценза и кандидати
Атакувани: Отделът за финансови и професионални регулации в Илиноис
Какво се е случило? Била е използвана уязвимост в компютърния сървър в офиса на отделът за финансови и професионални регулации в Илиноис, като хакерите са си осигурили достъп до номера на социални осигуровки, данъчни номера, клиентски адреси за банкиране и адреси на недвижими имоти.

– – – – –

3 юли 2007 г.: 8,5 милиона лични данни на клиенти са откраднати от Certegy Check Services, Inc.
Атакувани: Fidelity National Information Services, Certegy Check Services Inc.
Какво се е случило? Служител в едно от подразделенията на Certegy Check Services, Inc. Е откраднал клиентски данни съдържащи информация за кредитни карти, банкови сметки и друга лична информация. По случая е заведен процес за небрежност при използване на данни.

– – – – –

20 юли 2007 г.: Фирмата в договорни отношения с Пентагона е изложила на опасност и твърде вероятно е допуснала кражба на 580,000 лични данни
Атакувани: Пентагона САЩ и техен доставчик SAIC
Какво се е случило? Многократно е била изпращана некриптирана информация онлайн, съдържаща имена, адреси, рождени дати, номера за социално осигуряване и здравна информация за военния персонал и техните близки.

– – – – –

23 юли 2007 г.: На web сървъра на FoxNews е открита уязвимост, която е позволявала извличането на лични данни на над 1,5 милиона регистрирани потребители
Атакувани: Новинарски канал FoxNews
Какво се е случило? Дупка в сигурността на уеб сървъра на Fox News е изложила на опасност в публичното пространство чувствителна информация, включваща данни за вход в сайта, имена, телефонни номера и email адреси на поне 1,5 милиона потребители

– – – – –

23 август 2007 г.: Monster обявяват, че данните на около 1,6 милиона търсещи работа са били откраднати.
Атакувани: Monster.com
Какво се е случило? Открадната е информация за имена, адреси, телефонни номера и email адреси. На 29 август 2007 г. хакери открадват още 146,000 имена, телефонни номера и email адреси от USAJOBS.gov, като използват системата за споделяне на данни на Monster.com към USAJOBS.gov.

– – – – –

14 септември 2007 г.: Хакната е една от базите данни на Ameritrade и е открадната контактна информация за повече от 6.3 милиона клиенти.
Атакувани: TD Ameritrade Holding Corp.
Какво се е случило? Говорителят на базираната в Омаха компания е заявил, че са откраднати контактни данни, но изглежда, че чувствителната информация, съдържаща номера на социални осигуровки и сметки не е била открадната. Фирмата, обаче, признава, че са били откраднати имена, e-mail адреси, телефонни номера и домашни адреси по време на пробива в сигурността. Клиенти на компанията са получавали СПАМ в следствие на откраднатите email адреси.

– – – – –

4 октомви 2007 г.: Номера на социални осигуровки на около 450,000 лицензирани професионалисти са били пуснати в мрежата по невнимание от масачузетското подразделение за професионално лицензиране.
Атакувани: Massachusetts Division of Professional Licensure
Какво се е случило? Информацията била изпратена под формата на компютърни 28 дискове до 23 агенции, които да използват информацията за маркетингови и промоционални цели. Подобни дискове обикновено съдържали данни за имена и адреси, лицензирани от Division of Professional Licensure и Division of Health Professions Licensure. Този път, обаче, поради невнимание включвали и номерата на социалните осигуровки.

Компютърната сигурност не е самоцел на мрежовите администратори, а необходимост за запазване на бизнеса и клиентите

Както можете да забележите, целите на хакерски атаки и кражба на лична информация и банкови данни са различни и могат да бъдат от местния супермаркет използващ безжичен баркод четец и устройства за кредитни карти, през писмото приканващо Ви да промените банковите данни с прикачен троянски кон, до банковия клон, в който някой е подхвърлил „случайна“ картичка с прикрепена USB Flash памет и надпис „Снимки от най-якото парти на годината!“, която най-вероятно е заразена с троянски кон или рууткит.

Когато се говори за компютърна сигурност, много компании и частни лица погрешно предполагат, че след като имат закупен антивирусен софтуер, те са достатъчно защитени. Всъщност те не могат да бъдат по-далеч от истината. Антивирусният софтуер се справя само една заплаха или само с един от възможните подходи за кражба и унищожаване на информация. За пълна компютърна и мрежова сигурност са необходими допълнителни действия на активна и проактивна защита, като:

  • постоянно проследяване на потока от данни, който влиза и излиза от организацията чрез крайните устройства (USB Flash, iPod, CDs и др.) в компютърната мрежа
  • бързо внедряване на последните кръпки на операционните системи и инсталираните продукти (patches)
  • редовно подробно преглеждане и архивиране на файловете със събития (log файлове)
  • цялостно архивиране на данните разположени на сървъри и работни станции
  • ограничаване на достъпа на отделните потребители, само до нивото на секретност, отговарящо на позицията им в организацията
  • справяне с phishing и SPAM писмата
  • ограничаване на достъпа до определени сайтове и ресурси в мрежата
  • и много др.

Като се има предвид, че превенцията при защитата на данните във всяка една организация е много по-евтина от евентуалното открадване или загубване на лични и конфиденциални данни, обикновено сигурността би трябвало да бъде приоритет на ръководителите, собствениците или акционерите. Те са тези, които са най-заинтересовани от техните капитали, вложения и усилия за запазване на клиентите. За съжаление, поради недостатъчна информираност или по други причини, това често не е така. Последиците при открадване на лични и фирмени данни са винаги с неприятни последствия и могат да бъдат много и различни. Някои от тях са:

  • огромна загуба на доверие към организацията
  • разходи за разследване, проследяване на транзакции и др.
  • възстановяване на загуби на потребителите
  • разходи по преиздаване на кредитни карти
  • промяна на идентификационни номера и потребителски имена и пароли
  • и много др.

Заключение

Сигурността на информацията е съвкупност от множество фактори. Подценяването на компютърната и мрежова защита в определена организация, е не по-малко опасно от подценяването на физическата защита, осигурявана от хора-гардове и електронни системи за сигурност като камери, аларми или датчици за пожар. Проникването дори и на един хакер или зловреден код в компютърната мрежа на компания, банка, верига магазини, държавна, военна или друга организация, може да бъде фатално за съхранените данни и секретните документи. Внедряването на хардуер и софтуер с цел зашита и сигурност, е инвестиция, която не само се изплаща многократно веднага и във времето, но спомага за запазване на доброто име на организацията пред клиентите и потребителите, докато държи хакерите и проблемите при бедствия и аварии настрана. Бих препоръчал на всеки собственик или управител на компания или организация да прочете тази статия, не защото е написана точно от мен, а защото е много вероятно сред всички изброени случаи и съвети да намери полезна насока в решаването на редица проблеми със сигурността, които при други обстоятелства биха стрували много повече.

Автор:
инж. Ивайло Тинчев

Може да харесате още...