Baner bezpieczeństwo informacji OK

Czas podsumowań    

Koniec mijającego roku i początek nowego, to zwykle okres rozliczeń i podsumowań. Nie inaczej jest w obszarze bezpieczeństwa informacji. Jak co roku zabraliśmy się więc, do przeczesywania Internetu w poszukiwaniu zestawień przedstawiających trendy w obszarze bezpieczeństwa informacji. I tak w nasze ręce trafił raport podsumowujący ogólnoświatowe wycieki danych z pierwszej połowy 2015 roku sporządzony przez InfoWatch Analytical Cener. Pełen raport w języku angielskim można znaleźć na stronie http://infowatch.com/. Raport jest dość obszernym, dlatego postanowiliśmy przedstawić Państwu w pigułce najważniejsze wnioski.

Czy jest bezpieczniej?

  • W pierwszej połowie 2015 roku Centrum Analiz InfoWatch zarejestrowało 723 poważne wycieki informacji ujawnionych w mediach światowych. Jest to 10% więcej niż w pierwszym półroczu 2014 roku.
  • Atakiem padły światowe marki między innymi takie jak: Apple, DreamWorks, Google, HBO, Kia Motors, Lenovo, Lufthansa, Microsoft, NVIDIA, PayPal, Samsung, Starbucks, Toyota czy Twitter.
 
  • Wycieki dotknęły również organów administracji publicznej na czele z Agencją Bezpieczeństwa Narodowego Stanów Zjednoczonych i Centralną Agencją Wywiadowczą.
  • Firmy transportowe, serwisy internetowe oraz instytucje opieki zdrowotnej stanowią największe źródła wycieków danych personalnych.
  • W pierwszej połowie 2015 roku miało miejsce 8 „megawycieków” stanowiących 83% wszystkich utraconych danych. W wyniku każdego z nich organizacje straciły ponad 10 milionów rekordów danych.
  • Najczęstszym kanałem wycieku danych w pierwszej połowie 2015 roku była Sieć Internet. Na kolejnych miejscach niechlubnego rankingu znalazły się dokumenty papierowe, utrata sprzętu przetwarzającego dane (zagubienie, kradzież), poczta e-mail, masowe pamięci przenośne, urządzenia mobilne oraz rozmowa. W pozostałych przypadkach nie udało się zidentyfikować źródła wycieku.

Rysunek 1

Jakie były źródła wycieków?    

Przyczyną  32% wycieków danych były zewnętrzne ataki – wzrost w stosunku do pierwszej połowy 2014 o 9 %.

Źródłem zdecydowanej większości jest jednak wnętrze organizacji. Stosunek liczby wycieków zamierzonych do przypadkowych jest stosunkowo równy, jednak zauważalny jest wzrost liczby wycieków niezamierzonych!
  Wykres 1
Jakie dane wyciekały najczęściej?    

Obraz2

  90% wycieków stanowiły dane osobowe i płatnicze.
W badanym okresie ujawniono ponad 262 miliony rekordów z baz danych, wliczając w to informacje bankowe.
Jakie dane wyciekały najczęściej?    
Ponad połowa wszystkich wycieków zarejestrowanych w pierwszej połowie  2015 roku była przypadkowa. Zależność ta zmieniła się w stosunku do zeszłego roku. Nie oznacza to nic innego, jak brak świadomości pracowników oraz rosnącą liczbę zagrożeń wykorzystującą naszą niewiedzę. Niestety coraz częściej dajemy się złapać na pułapki cyberprzestępców.    Obraz31
Przypadek, czy zamierzone działania?
 Obraz4  

Organizacje rządowe w pierwszej połowie 2015 roku odnotowały spadek udziału wycieku danych o 12% w stosunku do roku ubiegłego, podczas gdy udział wycieków z firm komercyjnych wzrósł z 62,4% do 75%.

Nie wiemy, czy wynika to z doskonalenia zabezpieczeń urzędów, czy spadku ich atrakcyjności. Obserwując incydenty w Polsce śmiemy twierdzić, że na naszym podwórku sytuacja ma się inaczej.

Co zrobić, żeby nie znaleźć się w tych statystykach?  
W mojej opinii odpowiedź jest prosta – budować świadomość! Oczywiście trudno wyobrazić sobie łańcuch zabezpieczeń organizacji bez rozwiązań technologii informatycznej, jednakże żadne z nich nie będzie funkcjonowało poprawnie bez wystarczającego poziomu świadomości pracowników organizacji.Należy pamiętać, że w znaczniej większości przypadków, aby atak (cyber)przestępca był skuteczny, konieczne jest wykonanie pewnej czynności przez użytkownika. To nasza nieostrożność, ciekowość i pokusa jest wodą na młyn dla osób odpowiedzialnych za 32% wycieków inicjowanych z zewnątrz organizacji. To my klikamy w atrakcyjne linki przesłane pocztą e-mail, pobieramy pdf’y z życzeniami świątecznymi, to my przeglądamy memy i media społecznościowe, korzystamy z pendrivów dołączonych do materiałów promocyjnych i logujemy się do darmowych sieci w McDonaldzie.  To my chcąc być mili wpuszczamy intruzów bo budynków (Przecież nie wypada zapytać o identyfikator! A może to nowy dyrektor albo jego gość?), pozostawiamy pracowników serwisów w naszych pomieszczeniach (Przecież ich znamy i są tacy mili!), czy zostawiamy ważną dokumentacją na biurkach po skończonej pracy (Rano nie będzie trzeba wszystkiego wyciągać, a przecież sprzątający na pewno podpisali jakieś świstki o zachowaniu poufności!).

Reasumując – dbajmy o świadomość swoich współpracowników. Zwracajmy sobie uwagę i zarządzajmy incydentami! Informujemy siebie nawzajem o najpopularniejszych zagrożeniach! Jeżeli wdrożyliście Państwo pewne zasady bezpieczeństwa – zacznijcie je egzekwować - przenieśmy je z zapisów procedur do rzeczywistego stosowania! Jeśli nie – zachęcam do rozważenia ich implementacji.

Gdybyśmy przestrzegali podstawowych zasad bezpieczeństwa – nie byłoby tych statystyk!

Zapraszamy bezpieczeństwo ciągłość ryzyko

 

Zachęcam do kontaktu!

Jakub Wietrzyński

Konsultant Blue Energy

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.