Что реально угрожает персональным данным?

Тема защиты персональных данных в нашей стране в уже давно является одной из наиболее горячих. Всему виной вступивший в силу Федеральный Закон №152 «О защите персональных данных» и множество его подзаконных актов.

Все они описывают какие данные именно нужно защищать, и какие действия для этого следует предпринимать. Но, к сожалению, где-то в другой плоскости остается практический вопрос:
«А что или кто же все-таки угрожает этим самым персональным данным?» Давайте в этом разберемся.

По всему миру на миллионах компьютеров хранятся различные типы персональных данных. Подходы к тому, что является персональными данными и что именно нужно защищать часто расходятся, но давайте выделим основные классы:

— платежные данные (в первую очередь, данные банковских карт);

— данные, позволяющие однозначно идентифицировать человека (включая паспортные данные, SSN, данные водительских прав и других документов);

— данные о состоянии здоровья или интимной жизни граждан;

— любая другая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

Хочу обратить внимание, что список выше отличается от приведенного в ФЗ №152! Вопрос, почему в России определение персональных данных отличается от применяемого в других странах, оставим для будущих публикаций.

Давайте обратимся к мировой статистике публичных инцидентов с утечками персональных данных граждан и посмотрим, что реально им угрожает. Нужно понимать, что мы никогда не будем знать абсолютно точной реальной картины по количеству утечек и их деталей просто потому, что очень небольшая часть утечек становится публичными. Но все же, это самые громкие и самые разрушительные мировые утечки и эта выборка интересна.

Наиболее авторитетным независимым источником статистики по утечках персональных данных является Open Security Foundation и их ресурс DataLossDB. Их данные часто использую в своих регулярных отчетах крупные вендоры. Например, корпорация Майкрософт приводила несколько обработанные и "причесанные" данные DataLossDB в отчете Microsoft Security Intelligence Report v7.



Почему я привожу данные из отчета Microsoft, а не из первоисточника? Потому, что статистика DataLossDB слишком детализированная, и для лучшего понимания нужно провести категоризацию более высокого уровня, это и было сделано Microsoft.

Хотя полные итоги 2009 года еще не подведены, но уже понятно, что общий рост количества зарегистрированных инцидентов будет существенным, так как только в первом полугодии их было чуть меньше, чем за весь 2008 год.

Как видно из риснука «Основные причины утечки персональных данных» основной причиной утечки персональных данных в продолжает оставаться потеря и кража оборудования, например, портативных компьютеров или внешних носителей. Это около 40% всех инцидентов, что втрое превышает количество утечек по причине взлома (~13%), не говоря уже про утечки из-за заражения вредоносными программами (~1%) или по причине несанкционированной отправки по e-mail (~2%).

Частой причиной утечки конфиденциальных данных также является неправильное списание/утилизация носителей информации, например, жестких дисков, архивных лент, дисков и т.п. Количество таких инцидентов в 2009 году возросло и они составляют около 13% от общего количества.

Еще около 10% составляют утечки через общедоступные веб сайты. Как правило, это услучайные утечки, когда кто-то по ошибке или халатности выкладывает для публичного доступа конфиденциальные персональные данные.



Что нам говорят эти данные? С моей точки зрения они свидетельствуют о существующем перекосе в оценке угроз персональным данным. Привычные средства защиты, такие как антивирусы, фаерволы или средства фильтрации исходящей информации недостаточны для защиты данных. С другой стороны целый ряд угроз очень часто просто игнорируется. Это касается кражи и потери всевозможных носителей информации и их утилизации.

Многих утечек, пополнивших статистику выше, можно бы было легко избежать, ограничив использование в компании внешних носителей (USB-устройства, CD/DVD и т.п.) и применяя шифрование. При этом шифроваться могут не только жесткие диски ноутбуков, содержимое флешек и карт помяти, но и жесткие диски стационарных компьютеров, и архивные носители (их тоже воруют и теряют).

Что мешает принудительно шифровать, например, жесткие диски на всех корпоративных ноутбуках? Тогда бы угроза их потери или кражи для организации сводилась бы всего лишь к потере стоимости оборудования. Кроме этого шифрование решило бы проблему их утилизации и ликвидировало связанные с этим риски. Все это относится к любым носителям информации.

Если еще раз посмотреть на статистику выше, то будет понятно, что грамотное применение политик шифрования предотвратило бы почти 50% от всех известных инцидентов утечки персональных дынных. Думаю, это заслуживает внимания.