A Нарушение данных - это преднамеренная или непреднамеренная передача защищенной или частной / конфиденциальной информации ненадежным Окружающая среда. Другие термины для этого явления включают непреднамеренное раскрытие информации, утечку данных, утечку информации, а также утечку данных . Инциденты варьируются от согласованных атак черных шляп или лиц, которые взламывают для какой-то личной выгоды, связанной с организованной преступностью, политическим активистом или национальным правительствам по неосторожной утилизации бывшего в употреблении компьютерного оборудования или носителей данных и невзламываемых источников.
Определение: «Нарушение данных - это нарушение безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные копируются, передаются, просматриваются, крадутся или используются лицом, не уполномоченным на это». Нарушения данных могут включать финансовую информацию, такую как данные кредитной карты или банковские реквизиты, личная медицинская информация (PHI), личная информация (PII), коммерческая тайна корпораций. или интеллектуальная собственность. Большинство утечек данных связаны с чрезмерно раскрытыми и уязвимыми неструктурированными данными - файлами, документами и конфиденциальной информацией.
Нарушения данных могут быть довольно дорогостоящими для организаций с прямыми расходами (исправление, расследование и т. Д.) И косвенными расходы (репутационный ущерб, обеспечение кибербезопасности жертв скомпрометированных данных и т. д.)
Согласно некоммерческой потребительской организации Privacy Rights Clearinghouse в общей сложности 227 052 199 отдельных записей, содержащих конфиденциальную личную информацию, были связаны с нарушениями безопасности в Соединенных Штатах в период с января 2005 года по май 2008 года, за исключением инцидентов, когда конфиденциальные данные, по-видимому, фактически не были раскрыты.
Многие юрисдикции приняли законы об уведомлении об утечке данных, требующие от компании, которая подверглась утечке данных, информировать клиентов и предпринимать другие меры для устранения возможных травм.
Содержание
- 1 Определение
- 2 Доверие и конфиденциальность
- 3 Инсайдер против внешних угроз
- 4 Утечка медицинских данных
- 5 Последствия
- 6 Крупные инциденты
- 6,1 2005
- 6,2 2006
- 6,3 2007
- 6,4 2008
- 6,5 2009
- 6,6 2010
- 6,7 2011
- 6,8 2012
- 6,9 2013
- 6,10 2014
- 6,11 2015
- 6.12 2016
- 6.13 2017
- 6.14 2018
- 6.15 2019
- 7 См. Также
- 8 Ссылки
- 9 Внешние ссылки
Определение
Нарушение данных может включать инциденты например, кража или потеря цифровых носителей, таких как компьютерных лент, жестких дисков или портативных компьютеров, содержащих такие носители, на которых такая информация хранится в незашифрованном виде, размещая такую информацию в всемирной паутине или на компьютере, иным образом доступном из Интернета без надлежащих мер безопасности, передача такой информации в систему, которая не является полностью открытой, но не соответствует требованиям или формально для обеспечения безопасности при согласовании такого уровня, как незашифрованное электронное письмо, или передача такой информации в информационные системы потенциально враждебного агентства, такого как конкурирующая корпорация или иностранное государство, где оно может подвергаться более интенсивным методам дешифрования.
ISO / IEC 27040 определяет нарушение данных как: нарушение безопасности, которое приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым защищенным данным, хранятся или обрабатываются иным образом.
Доверие и конфиденциальность
Понятие доверенной среды несколько изменчиво. Уход доверенного сотрудника с доступом к конфиденциальной информации может стать утечкой данных, если сотрудник сохраняет доступ к данным после прекращения доверительных отношений. В распределенных системах это также может происходить при выходе из строя сети доверия. Качество данных - это один из способов снижения риска утечки данных, отчасти потому, что оно позволяет владельцу данных оценивать данные по важности и обеспечивать лучшую защиту более важных данных.
Большинство таких инцидентов, публикуемых в СМИ, связаны с частной информацией о физических лицах, например номера социального страхования. Потеря корпоративной информации, такой как коммерческая тайна, конфиденциальная корпоративная информация и детали контрактов, или правительственная информация часто не сообщается, поскольку нет веских причин для этого в отсутствие потенциального ущерба для частных лиц, и гласность вокруг такого события может быть более разрушительной, чем потеря самих данных.
Инсайдер против внешних угроз
Те, кто работает внутри организации, являются основными причина утечки данных. Согласно отчету Verizon о расследовании утечек данных за 2013 год, оценки нарушений, вызванных случайными ошибками «человеческого фактора», варьируются от 37% до 14%. Категория внешних угроз включает хакеров, киберпреступные организации и субъектов, спонсируемых государством. Профессиональные ассоциации менеджеров ИТ-активов активно работают с ИТ-специалистами, обучая их лучшим методам снижения рисков как для внутренних, так и для внешних угроз ИТ-активам, программному обеспечению и информации. Несмотря на то, что предотвращение защиты может предотвратить высокий процент попыток, в конечном итоге мотивированный злоумышленник, скорее всего, найдет путь в любую данную сеть. Одна из 10 самых популярных цитат генерального директора Cisco Джона Чемберса гласит: «Есть два типа компаний: те, которые были взломаны, и те, которые не знают, что были взломаны». Специальный агент ФБР по киберспецоперациям Лео Таддео предупредил по телевидению Bloomberg: «Идея о том, что вы можете защитить свой периметр, теряет актуальность, и обнаружение становится критически важным».
Утечка медицинских данных
Некоторые знаменитости оказались жертвами несоответствующих нарушений доступа к медицинским картам, хотя в большей степени на индивидуальной основе, а не в результате, как правило, гораздо более серьезных нарушений. Учитывая серию утечек медицинских данных и отсутствие общественного доверия, в некоторых странах приняты законы, требующие принятия мер безопасности для защиты безопасности и конфиденциальности медицинской информации при ее электронном обмене и предоставления пациентам некоторые важные права на мониторинг своей медицинской документации и получение уведомлений об утере или несанкционированном получении медицинской информации. США и ЕС ввели обязательные уведомления об утечке медицинских данных. Нарушения медицинской информации, подлежащие регистрации, становятся все более распространенными в Соединенных Штатах.
Средняя цена утечки данных в Германии
Последствия
Хотя такие инциденты создают риск кражи личных данных или других серьезные последствия, в большинстве случаев длительных повреждений нет; либо нарушение безопасности устраняется до того, как информация станет доступной для недобросовестных людей, либо вор интересуется только украденным оборудованием, а не данными, которые оно содержит. Тем не менее, когда такие инциденты становятся общеизвестными, нарушающая сторона обычно пытается уменьшить убытки, предоставляя жертве подписку, например, на новые кредитные карты или другие инструменты. В случае с Target расходы на нарушение в 2013 году Target привели к значительному падению прибыли, которая, по оценкам, упала примерно на 40 процентов в 4-м квартале года. В конце 2015 года Target опубликовал отчет, в котором утверждался общий убыток в размере 290 миллионов долларов из-за сборов, связанных с утечкой данных.
Взлом Yahoo, раскрытый в 2016 году, может быть одним из самых дорогих на сегодняшний день. Это может снизить цену его приобретения Verizon на 1 миллиард долларов. Позже Verizon сообщила Yahoo о пересмотре условий сделки, согласившись снизить окончательную цену с 4,8 до 4,48 млрд долларов. Согласно DNV GL, международному органу по сертификации и классификационному обществу, базирующемуся в Норвегии, киберпреступность обходится энергетическим и коммунальным компаниям в среднем в 12,8 млн долларов в год из-за потери бизнеса и повреждения оборудования. Согласно исследованию Ponemon, утечки данных обошлись медицинским организациям в 6,2 миллиарда долларов за последние два года (предположительно, в 2014 и 2015 годах).
В сфере здравоохранения у более 25 миллионов человек были украдены медицинские услуги, что привело к кража личных данных более чем 6 миллионами человек, а наличные потери потерпевших приближаются к 56 миллиардам долларов.
Известно, что получить информацию о прямых и косвенных потерях стоимости в результате утечки данных крайне сложно. Распространенный подход к оценке воздействия утечки данных - изучение реакции рынка на такой инцидент в качестве косвенного показателя экономических последствий. Обычно это осуществляется с помощью исследований событий, в которых оценка экономического воздействия события может быть построена с использованием цен на ценные бумаги, наблюдаемых в течение относительно короткого периода времени. Было опубликовано несколько исследований, таких как исследования, с разными результатами, в том числе работы Каннана, Риса и Шридхара (2007), Чавушоглу, Мишры и Рагхунатана (2004), Кэмпбелла, Гордона, Леба и Лея (2003), а также Шатца и Башруш (2017).
Основные инциденты
Известные инциденты включают:
2005 г.
- Ameriprise Financial, украденный ноутбук, 24 декабря, 260 000 записей о клиентах
- ChoicePoint, февраль, 163 000 записей о потребителях
2006
- Скандал с поисковыми данными AOL (иногда именуемый «Данные Вальдес » из-за его размер)
- Департамент по делам ветеранов, май, 28 600 000 ветеранов, резервов и военнослужащих
- Ernst Young, май, 234 000 клиентов Hotels.com (после аналогичной потери данных о 38 000 сотрудников клиентов Ernst Young в феврале)
- Boeing, декабрь, 382 000 сотрудников (после аналогичных потерь данных о 3 600 сотрудников в апреле и 161 000 сотрудников в ноябре 2005 г.)
2007
- Д. A. Davidson Co. 192 000 имен клиентов, учетные записи клиентов и номера социального страхования, адреса и даты рождения
- Потеря Accenture
- TJ Maxx данных о штатах Огайо и Коннектикут за 2007 год, данные для 45 миллионов кредитные и дебетовые счета
- Скандал с данными о пособиях на детей в Великобритании в 2007 году
- CGI Group, август, 283000 пенсионеров из Нью-Йорка
- The Gap, сентябрь, 800000 соискателей работы
- , декабрь, 268000 доноров крови
- , декабрь, 337000 избирателей
2008
- В январе 2008 года GE Money, подразделение General Electric, раскрыли, что магнитная лента, содержащая 150 000 номеров социального страхования и информацию о 650 000 розничных покупателей, как известно, отсутствует в хранилище Iron Mountain Incorporated. Дж. К. Пенни входит в число 230 пострадавших розничных торговцев.
- Horizon Blue Cross и Blue Shield of New Jersey, январь, 300 000 членов
- , февраль, 321 000 доноров крови
- Британский гражданин Утечка из списка членов партии
- В начале 2008 года Countrywide Financial (с тех пор приобретенная Bank of America ) якобы стала жертвой утечки данных, когда, согласно В новостях и судебных документах сотрудник Рене Л. Реболло-младший украл и продал до 2,5 миллионов личных данных клиентов, включая номера социального страхования. Согласно юридической жалобе: «Начиная с 2008 года - случайно после того, как они продали свои ипотечные портфели в рамках незаконных и мошеннических« пулов секьюритизации », и по совпадению после того, как их ипотечный портфель в результате этого оказался в массовом дефолте, Countrywide узнала, что финансовая информация потенциально миллионы клиентов были украдены определенными агентами, сотрудниками или другими лицами по всей стране ". В июле 2010 года Bank of America урегулировал более 30 связанных групповых исков, предложив бесплатный кредитный мониторинг, страховку от кражи личных данных и возмещение убытков 17 миллионам потребителей, пострадавших от предполагаемой утечки данных. Урегулирование было оценено в 56,5 миллионов долларов, не включая судебные издержки.
2009
- В декабре 2009 года была взломана база данных паролей RockYou!, содержащая 32 миллиона имен пользователей и паролей в виде открытого текста, что еще больше затруднило использование ненадежных паролей для любых целей.
- В мае 2009 года скандал с парламентскими расходами Соединенного Королевства был раскрыт The Daily Telegraph. Жесткий диск, содержащий отсканированные квитанции членов парламента Великобритании и коллег в Палате лордов, был предложен различным британским газетам в конце апреля, и The Daily Telegraph наконец приобрела его. Они публиковали детали частями с 8 мая. Хотя Парламент планировал опубликовать эти данные, они должны были быть отредактированы, а детали, которые отдельные члены считали «конфиденциальными», не использовались. Газета опубликовала неотредактированные отсканированные изображения, в которых были показаны подробности претензий, многие из которых, по всей видимости, нарушали правила и предполагали широко распространенное злоупотребление системой щедрых расходов. Возникшая в результате буря в СМИ привела к отставке спикера палаты общин, а также судебному преследованию и тюремному заключению нескольких депутатов и лордов за мошенничество. Система расходов была пересмотрена и ужесточена, став более приравненной к схемам частного сектора. Столичная полицейская служба продолжает расследование возможных случаев мошенничества, а Королевская прокуратура рассматривает возможность дальнейшего судебного преследования. Несколько депутатов и лордов извинились и полностью, частично или полностью восстановили свои места и сохранили свои места. Другие, кого опозорили в СМИ, не предложили себя для переизбрания на всеобщих выборах в Соединенном Королевстве 2010. Несмотря на то, что это дело насчитывало менее 1500 человек, это дело получило самое широкое освещение в СМИ из всех случаев утечки данных (по состоянию на февраль 2012 года).
- В январе 2009 года Heartland Payment Systems объявила, что это было " жертва нарушения безопасности в своей системе обработки ", возможно, часть" глобальной операции по кибер-мошенничеству ". Это вторжение было названо крупнейшим преступным нарушением данных карт за всю историю: по оценкам, было скомпрометировано до 100 миллионов карт от более чем 650 финансовых компаний.
2010
- В течение года Челси Мэннинг опубликовала большие объемы секретных военных данных.
2011
- В апреле 2011 года Sony испытала утечку данных в своей PlayStation Network. По оценкам, информация 77 миллионов пользователей была скомпрометирована.
- В марте 2011 года компания RSA пострадала от взлома своего хранилища исходных ключей системы токенов SecurID, где исходные ключи для их двухфакторной аутентификации были украдены, что позволило злоумышленникам реплицировать аппаратные токены, используемые для безопасного доступа в корпоративных и государственных средах.
- В июне 2011 года Citigroup раскрыла утечку данных в своей кредитной карте., затронувшее примерно 210 000 или 1% учетных записей их клиентов.
2012
- Летом 2012 года старший писатель Wired.com Мэт Хонан заявил, что «хакеры уничтожили всю мою цифровую жизнь за час» взломав его пароли Apple, Twitter и Gmail, чтобы получить доступ к его дескриптору Twitter, и в процессе утверждает, что хакеры уничтожили все его устройства, удалив все его сообщения и документы, включая все фотографии, которые он когда-либо делал. его 18-месячной дочери. Подвиг был достигнут d с комбинацией информации, предоставленной хакерам службой технической поддержки Amazon посредством социальной инженерии, и системой восстановления паролей Apple, которая использовала эту информацию. В связи со своим опытом Мэт Хонан написал статью, в которой объясняет, почему пароли не могут обеспечить безопасность пользователей.
- В октябре 2012 года правоохранительные органы обратились в Департамент доходов Южной Каролины (DoR) с доказательствами того, что личная информация (PII)) трех человек были похищены. Позже сообщалось, что около 3,6 миллиона номеров социального страхования были скомпрометированы вместе с 387 000 записей о кредитных картах.
2013
- В октябре 2013 года Adobe Systems обнаружила, что их корпоративная база данных была взломана и около 130 был украден миллион пользовательских записей. По данным Adobe, «более года система аутентификации Adobe криптографически хэширует пароли клиентов с использованием алгоритма SHA-256, включая обработку паролей и повторение хеширования более 1000 раз. Эта система не была объект атаки, который мы публично раскрыли 3 октября 2013 года. Система аутентификации, участвовавшая в атаке, была резервной системой и должна была быть выведена из эксплуатации. Система, участвовавшая в атаке, использовала шифрование Triple DES для защиты всех информация о пароле сохранена ».
- В конце ноября - начале декабря 2013 года Target Corporation объявила о краже данных примерно с 70 миллионов и дебетовых карт. Это второе по величине нарушение кредитных и дебетовых карт после утечки данных TJX Companies, когда было затронуто почти 46 миллионов карт.
- В 2013 году Эдвард Сноуден опубликовал серию секретных документов, раскрывающих широко распространенный шпионаж со стороны США Агентства национальной безопасности и аналогичных агентств в других странах.
2014
- В августе 2014 года почти 200 фотографий знаменитостей были украдены из учетных записей Apple iCloud и размещены на сайте доски изображений 4chan. Расследование, проведенное Apple, показало, что изображения были получены «в результате целенаправленной атаки на имена пользователей, пароли и секретные вопросы». Однако Apple ужесточила безопасность iCloud с помощью двухфакторной аутентификации после взлома знаменитостей. [1]
- В сентябре 2014 года Home Depot подверглась утечке данных с 56 миллионами номеров кредитных карт..
- В октябре 2014 года в Staples произошла утечка данных 1,16 миллиона платежных карт клиентов.
- В ноябре 2014 года и в течение нескольких недель после, Sony Pictures Entertainment подверглась утечке данных, включая личную информацию о сотрудниках Sony Pictures и их семьях, переписку между сотрудниками, информацию о зарплатах руководителей в компании, копии (ранее) неизданных фильмов Sony и другую информацию. Причастные к этому хакеры утверждают, что они забрали у Sony более 100 терабайт данных.
2015
- В октябре 2015 года британский телекоммуникационный провайдер TalkTalk пострадал от утечки данных, когда группа 15-летних хакеров украла информацию о его 4 миллион клиентов. Курс акций компании существенно упал из-за проблемы - примерно на 12% - в основном из-за плохой огласки вокруг утечки.
- В июле 2015 года на веб-сайте для взрослых Ashley Madison появились данные нарушение, когда группа хакеров украла информацию о 37 миллионах пользователей. Хакеры пригрозили раскрыть имена пользователей и подробности, если Эшли Мэдисон и другой сайт EstablishedMen.com не закроют навсегда.
- В феврале 2015 года Anthem подвергся утечке данных почти 80 миллионов записей, включая личную информацию, такую как имена, номера социального страхования, даты рождения и другие конфиденциальные данные.
- В июне 2015 года Управление персонала правительства США пострадало от утечка данных, в результате которой были взломаны и украдены записи 22,1 миллиона нынешних и бывших федеральных служащих США.
2016
- В феврале 2016 года 15-летний британский хакер Кейн Гэмбл раскрыл личные данные более чем 20 000 сотрудников ФБР, включая имена сотрудников, должности, номера телефонов и адреса электронной почты. Судья заявил, что Гэмбл участвовал в «политически мотивированном кибертерроризме».
- В марте 2016 года веб-сайт Комиссии по выборам на Филиппинах был искажен хактивистами. группа "Анонимные Филиппины ". Более серьезная проблема возникла, когда группа под названием LulzSec Pilipinas на следующий день загрузила всю базу данных COMELEC на Facebook.
- В апреле 2016 года средства массовой информации публиковали информацию, украденную в результате успешной сетевой атаки в Центральной Америке. юридическая фирма Mossack Fonseca, и полученные в результате «Панамские документы » разошлись по всему миру. Возможно, это оправданное оправдание незаконной или неэтичной деятельности, тем не менее, это иллюстрирует влияние раскрытия секретов. Премьер-министр Исландии был вынужден уйти в отставку, и в таких отдаленных странах, как Мальта, произошли серьезные перестановки на политических постах. Множественные расследования были немедленно начаты в странах по всему миру, включая пристальный взгляд на международные или оффшорные банковские правила в США. Очевидно, что последствия огромны для способности организации - будь то юридическая фирма или правительственный департамент - хранить секреты.
- В сентябре 2016 года Yahoo сообщила, что до 500 миллионов учетных записей в 2014 году были взломаны в результате очевидной утечки данных, "спонсируемой государством". Позже в октябре 2017 года сообщалось, что было взломано 3 миллиарда учетных записей, что составляет каждую учетную запись Yahoo в то время.
2017
- Убежище 7, методы взлома ЦРУ раскрыты в данные нарушения. Просочившиеся документы под кодовым названием Vault 7, датированные 2013–2016 гг., Подробно описывают возможности ЦРУ по ведению электронного наблюдения и кибервойны, такие как способность взломать операционные системы большинства смартфонов (включая Apple iOS и Google Android ), а также другие операционные системы, такие как Microsoft Windows, macOS и Linux. Джошуа Адам Шульте, бывший сотрудник ЦРУ, был обвинен в передаче секретов взлома ЦРУ на WikiLeaks.
- Equifax, Июль 2017 г., 145 500 000 записей о потребителях, крупнейшая известная утечка данных в истории на тот момент, что привело к потенциалу крупнейшего коллективного иска в истории. По состоянию на начало октября 2017 г. города Чикаго и Сан Франциско и Содружество Массачусетс подали принудительные меры против Equifax после утечки данных в июле 2017 года, в которой хакеры предположительно использовали уязвимость y в программном обеспечении с открытым исходным кодом, используемом для создания онлайн-портала Equifax для разрешения споров потребителей. Хакеры располагали информацией не только жителей США, но также Великобритании и Канады.
- США - Южная Корея секретные военные документы, октябрь 2017 г., южнокорейский депутат заявил, что северокорейские хакеры воруют более 235 гигабайт военных документов было взято из Объединенного центра обработки данных обороны в сентябре 2016 г. Утечка документов, в том числе из Южной Кореи и США Оперативный план военного времени.
- Paradise Papers, ноябрь 2017 г.
2018
- Скандал с данными Facebook и Cambridge Analytica в марте.
- В марте Google обнаружил уязвимость, открывающую доступ к личная информация почти полумиллиона пользователей. Хотя они исправляли уязвимость, они не раскрывали уязвимость пользователей до тех пор, пока о проблеме не сообщили в The Wall Street Journal через 6 месяцев после этого.
- 1 августа Reddit раскрыл, что они были взломаны. Хакер смог взломать учетные записи сотрудников, даже если они использовали SMS на основе Двухфакторной аутентификации. Reddit отказался раскрыть количество затронутых пользователей.
- 29 марта Under Armour раскрыло утечку данных 150 миллионов учетных записей на MyFitnessPal, скомпрометированные данные, состоящие из имена пользователей, адреса электронной почты пользователей и хешированные пароли. Under Armour были уведомлены о взломе в течение недели с 19 по 25 марта и что утечка произошла где-то в феврале.
- 1 апреля было сообщено, что утечка данных произошла на Saks Fifth Avenue / Лорд и Тейлор. Данные около 5 миллионов держателей кредитных карт могли быть скомпрометированы в магазинах в Северной Америке.
- 20 июля было сообщено о утечке данных на SingHealth, one крупнейших медицинских организаций Сингапура, произошло 4 июля, когда было скомпрометировано около 1,5 миллиона личных данных (включая данные некоторых министров, в том числе премьер-министра Сингапура Ли Сянь Лун ). На пресс-конференции министры назвали утечку данных «наиболее серьезным нарушением личных данных».
- 7 сентября было сообщено, что British Airways испытала кражу данных около 380 000 записей клиентов, включая полные банковские реквизиты.
- 19 октября Центры услуг Medicare и Medicaid (CMS) США сообщили об утечке данных, в результате которой были обнаружены файлы 75 000 человек.
- 3 декабря Quora сообщила об утечке данных, которая затронула данные 100 миллионов пользователей.
2019
- 16 июля Национальное налоговое агентство Болгарии, филиал Министерства финансов страны.
- 17 июля Medico Inc, поставщик медицинских услуг, обеспечивающий обработку данных о выставлении счетов и страховании, утек почти в 14 000 документов.
- 25 июля Комитет по избирательной кампании сенатора-демократа раскрыл примерно 6,2 миллиона адресов электронной почты в неправильно настроенном хранилище Amazon S3.
- В сентябре личные данные всего 17-миллионного населения Эквадора с умершими людьми была взломана после того, как компания маркетинговой аналитики Novestrat управляла незащищенным сервером, утекла полные имена, даты, места рождения, образования, номера телефонов и национальные идентификационные номера.
См. также
Ссылки
Внешние ссылки
- "База данных о потере данных »- исследовательский проект, направленный на документирование известных и зарегистрированных случаев потери данных во всем мире.
- "Нарушения, затрагивающие 500 или более человек ", о нарушениях было сообщено в США. Департамент здравоохранения и социальных служб (HIPAA ) юридическими лицами