Отчетите за нежелано проникване в секретни и лични данни са нараснали драстично през 2008 година. Докладът на Центъра за изследване кражбата на лични данни достига 656 отчетени прониквания до края на 2008 година, съобщиха Identity Theft Resource Center, ITRC, цитирани от Бизнес Софтуер Дистрибутор (http://www.bsd.bg), водещ дистрибутор на софтуер за защита и сигурност на информацията. Статистиката за проникванията показва нарастване от 47% спрямо общия брои силно значими прониквания за предходната година, които са били от 446.
Разгледано като категории по типа на пострадалата организация, подреждането от 2007 г. до 2008 г. в петте наблюдавани от Центъра групи не се е променило. Финансовият, банковият и кредитният бранш остават най-силно ориентираните групи по отношение на защита на данните за последните три години. Категорията Държавни/Военни институции е намаляла почти с 50% от 2006 година, като се премества от най-голям брой прониквания (първо място) до позиция на трети в подреждането (трето място). Както показва таблицата, бизнес общността все пак се нуждае да подобри и подсили мерките за сигурност на данните.
|
|
2008 – брой прониквания |
2008 |
2007 |
2006 |
|
Бизнес |
240 |
36.6% |
28.9% |
21% |
|
Образователни |
131 |
20% |
24.8% |
28% |
|
Държавни/Военни |
110 |
16.8% |
24.6% |
30% |
|
Здравни/Медицински |
97 |
14.8% |
14.6% |
13% |
|
Финансови/Кредитни |
78 |
11.9% |
7% |
8,00% |
Според докладите на ITRC, само 2.4% от всички прониквания използват кодиране или други силни методи за защита. Само 8.5% от отчетените прониквания са имали защита чрез парола. Очевидно е че голямата част от данните, до които е получен неоторизиран достъп, нямат нито криптиране, нито парола.
ITRC проследява пет категории според метода на загуба на данните: данни на преносим носител, случайно излагане, кражба от вътрешно лице, подизпълнители и хакване. Проникванията от подизпълнители, макар и да се счита като единично проникване, в някои случаи засяга десетки компании. Важно е да се отбележи, че броят на отчетените прониквания не отразява пълния брой на засегнатите компании по веригата.
|
За 2008 г. |
Финансови |
Бизнес |
Образование |
Държавни/ |
Медицински |
|
Кражба от вътрешно лице |
2.4% |
5.6% |
1.8% |
3.4% |
2.4% |
|
Хакване |
3.5% |
6.1% |
2.7% |
0.8% |
0.8% |
|
Данни на преносим носител |
1.7% |
7.3% |
3% |
4.3% |
4.4% |
|
Случайно излагане |
0.8% |
3.0% |
6.1% |
3.0% |
1.5% |
|
Подизпълнител |
0.8% |
3.5% |
1.5% |
2.3% |
2.3% |
За съжаление, тези тенденции продължават да измъчват частни фирми и държавни структури, независимо от информационните кампании относно по-безопасното обработване на информация, новите закони и правилници. Атаките със зловредни програми, хакване и кражбите от вътрешни лица са отговорни за 29.6% от пробивите, които попълват статистиката. Кражбата от вътрешно лице, сега на ниво от 15.7%, се е покачило повече от два пъти между 2007 и 2008 година. От друга страна, данните на преносим носител и случайното излагане, и двете от които са категории, породени от човешка грешка, показват забележимо подобрение, но все още формират 35.2% от посочената статистика.
Електронните пробиви (82.3%) продължават да превъзхождат силно пробивите на хартиен носител (17.7%). Макар и да има 35.7 милиона записа, които потенциално са били с нарушена поверителност съгласно уведомителните писма и информация, дадена от засегнатите компании, 41.9% не са отчетени или не са обявени, което прави общия брой на засегнатите записи ненадеждно число за използване в който и да е точен доклад.
Въз основа на докладите за пробивите от последните 3 години, ITRC силно препоръчва на всички агенции и компании:
- Да намалят до възможна най-малка възможна степен личния състав с достъп до лична идентифицираща информация.
- Да изискват всички преносими устройства за съхранение на данни, съдържащи идентифицираща информация, да криптират чувствителните данни.
- Да ограничат броя хора, които могат да изнасят информация извън работното място и да налагат политика за безопасни процедури за съхранение и транспорт.
- Когато изпращат данни или архивирани записи от едно място на друго, да криптират всички данни, преди те да напуснат изпращача и да създадат сигурни методи за съхранение на информацията, независимо дали тя е електронна и или на хартия.
- Надлежно да унищожават всички документи на хартия преди тяхното отстраняване. Ако те са в хранилище, което трябва да бъде освободено, да се уверят, че всички документи са премахнати.
- Да се уверяват, че сървърът и/или която и да е работна станция с чувствителна информация е винаги обезопасена. В допълнение на физическата сигурност, трябва да обновяват софтуера за антивирусна, спайуер и малуер защита поне веднъж на седмица, както и софтуерът да може да се обновява колкото е нужно между зададените по график дати.
- Да обучават служителите си на безопасно обработване на информацията докато то стане тяхна втора природа.
Докладите, използвани в тази публикация, са на разположение на сайта на ITRC на адрес: http://www.idtheftcenter.org/artman2/publish/lib_survey/ITRC_2008_Breach_List.shtml
По-подробна статистика (на английски) можете да получите като изберете някой от файловете по-долу:
- ITRC_Breach_Report_2008_final.pdf
- ITRC_Breach_Stats_Report_2008_final.pdf
- ITRC_Breach_Stats_-_Hacking_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Subcontractor_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Insider_Theft_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Paper_vs_Electronic_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Accidental_Exposure_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Known_vs_Unknown_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Data_On_The_Move_Summary_2008_final.pdf
- ITRC_Breach_Stats_-_Paper_vs_Electronic_w_Category__Summary_2008_final.pdf
Повече информация за методите за защита на вашите мрежи и сървъри чрез софтуерни продукти за сигурност, можете да намерите на сайта на Бизнес Софтуер Дистрибутор (http://www.bsd.bg)
Относно ITRC
Центърът за изследване кражбата на лични данни (Identity Theft Resource Center® (ITRC)) некомерсиална организация, създадена за да подкрепя жертвите на кражба на лични данни при разрешаване на техните дела, и да разширява обществената информираност и съзнание за разбиране на явлението кражба на лични данни. Непрекъсната мисия за ITRC е да помага на жертвите, да образова потребителите, да изследва кражбата на лични данни и да повишава общественото и корпоративното съзнание относно този проблем. В допълнение, ITRC има цялостна програма за отговор на пробив, която да помогне на компаниите да се подготвят при пробив, или да отговорят при настъпване на излагане на данни. Посетете www.idtheftcenter.org .
Финансирането на този проект е осигурено чрез стипендия от Калифорнийската фондация за защита на потребителите. ITRC благодари на Databreaches.net за неговото неоценимо съдействие при намиране на източници на информация, използвани в доклада за проникване, и на Регионалното Бюро в Мериленд и Ню Хемпшир и Бюрото за неприкосновеност на потребителите при публикуване на уведомителните писма.
За Бизнес Софтуер Дистрибутор
Бизнес Софтуер Дистрибутор е дистрибутор на качествен и достъпен софтуер за малки, средни и големи фирми и организации, доставян от водещи световни производители като AVG Technologies, GFI Software, Acronis, Diskeeper Corporation, EMS, Entensys, I.R.I.S. и др. Предлаганите софтуерни решения включват антивирусна защита и сигурност, архивиране и възстановяване на данни, управление и наблюдение на сървъри, мрежи и бази данни, системни инструменти, графични програми и др. Бизнес Софтуер Дистрибутор разпространява всички софтуерни продукти, чрез мрежата си от риселъри в цялата страна, като сред крайните потребители на софтуера са министерства, областни и общински администрации, банки, застрахователни дружества, телекомуникационни компании, производствени предприятия и много други. За повече информация, моля, посетете сайта им на адрес http://www.bsd.bg