Mądry Amerykanin po szkodzie
- 30.06.2008
Tak można by określić wyniki Verizon Data Breach Investigations Report 2008, przedstawiającego analizę 500 przypadków kradzieży danych z dużych firm.
Tak można by określić wyniki Verizon Data Breach Investigations Report 2008, przedstawiającego analizę 500 przypadków kradzieży danych z dużych firm.
skradzionych danych zostało wykorzystanych w ciągu zaledwie kilku dni
Z analizy Verizon wynika, że większość, bo aż 63% poszkodowanych firm, dowiedziała się o wycieku wrażliwych informacji z ich systemu IT dopiero w kilka miesięcy po tym fakcie. Natomiast 75% skradzionych danych zostało wykorzystane w ciągu zaledwie kilku dni. Jednocześnie 70% przedsiębiorstw lub instytucji uzyskało informacje o kradzieży danych z zewnętrznych źródeł - od klientów lub banków, z którymi współpracują. Do tego czasu firmy nie zdawały sobie sprawy, że przechowywane w ich systemach wrażliwe dane wyciekły.
poszkodowanych firm dowiedziała się o wycieku wrażliwych informacji dopiero w kilka miesięcy po tym fakcie.
Raport zaprzecza opinii, że najwięcej włamań do systemów IT jest dokonywanych wewnątrz, a zewnętrzne ataki rzadziej kończą się sukcesem, choć z drugiej strony dotyczy to tylko liczby włamań. Te wewnętrzne przynoszą bowiem znacznie większe szkody. Z analizy wynika, że zdecydowana większość, bo 73% włamań do systemów korporacyjnych miała zewnętrzne źródło, 18% zostało dokonanych bezpośrednio przez zatrudnionych w firmie administratorów IT lub innych pracowników, a 39% - przez partnerów biznesowych. Liczby nie sumują się do 100%, bo niektóre z włamań miały różne źródła. Jeśli chodzi o wewnętrzne włamania, to za połowę z nich odpowiedzialni są byli pracownicy działów IT.
włamań miała zewnętrzne źródło
Wiele firm opracowało dobrą politykę bezpieczeństwa, ale okazuje się, że w praktyce jej nie stosują i nie wymuszają, bo aż 83% wszystkich ataków na firmowe sieci była łatwa do odparcia bez potrzeby stosowania szczególnie zaawansowanych zabezpieczeń. Oprócz tego 85% przypadków wycieku danych było związane nie z celowym, dobrze przygotowanym atakiem skierowanym przeciwko systemowi konkretnej firmy, ale z przypadkowymi włamaniami wykorzystującymi standardowe mechanizmy statystycznego skanowania luk, czy takie popularne i dobrze znane techniki jak phishing. Co więcej, 82% analizowanych luk w systemach bezpieczeństwa było wcześniej opisanych i udokumentowanych, ale pracownicy poszkodowanych firm odpowiedzialni za system IT nie zwrócili na to uwagi lub też nie podjęli żadnych działań.
Najważniejsza rada autorów raportu to konieczność koncentracji osób odpowiedzialnych za bezpieczeństwo systemów korporacyjnych na podstawowych mechanizmach umożliwiających zabezpieczenie danych, takich jak aktywne monitorowanie logów, zanim w firmie zaczną być wdrażane dodatkowe systemy zabezpieczające przed zaawansowanymi atakami wykorzystującymi skomplikowane i trudne do przewidzenia metody.
Oprócz tego większość menedżerów IT odpowiedzialnych za bezpieczeństwo obsesyjnie dba o mechanizmy chroniące system przed atakami zewnętrznymi. Ale w 9 na 10 analizowanych w raporcie przypadków udałoby się uniknąć kradzieży danych, gdyby zadbano o prawidłowe działanie podstawowych mechanizmów ich ochrony w systemie wewnętrznym. "Silna ochrona brzegu sieci jest ważna, ale nie może być najważniejszym elementem, który ma zabezpieczać dane" - konkludują autorzy raportu.