Беспечность - главный враг вашей кредитки
Как считают эксперты, в большинстве случаев кража ценных данных (в том числе информации о кредитных картах) происходит не из-за коварности хакеров, а по беспечности сотрудников компаний, которые хранят конфиденциальные данные в незашифрованном виде. Наиболее громкий случай произошел с недавно в Управлении по делам бывших военнослужащих США, где были утеряны данные 26,5 млн ветеранов и военнослужащих, хранившиеся на ноутбуке, украденном из дома работника Управления в пригороде Вашингтона.Эксперты по безопасности считают, что данные можно защитить простейшими мерами на случай попадания ноутбука в плохие руки. К этим мерам относится шифрование информации, что делает ее практически нечитаемой без надлежащего пароля.
По данным некоммерческой организации Privacy Rights Clearing House, наблюдающей за случаями воровства данных, с июня 2005 г. произошло минимум 29 известных эпизодов утери или кражи ноутбуков с такими данными, как номера социального страхования, медицинские карты и адреса миллионов людей. Пока нет свидетельств того, что ворованные данные были использованы для подмены личности и в других ненадлежащих целях. В большинстве случаев объектом кражи был сам ноутбук, а не хранящаяся в нем информация.
Иногда совершенно нет причин для того, чтобы хранить столько информации на одном компьютере, к тому же предназначенном для выноса из офиса. В других случаях работникам разрешается хранить данные в ноутбуках, но при этом они не выполняют предписанные процедуры для обеспечения сохранности данных. Наконец, работники нарушают правила, вынося личные данные из офиса и не защищая их с помощью цифровых инструментов.
Переносные компьютеры обычно защищаются паролями на этапе загрузки, но данные на их жестких дисках при этом остаются легко доступными. Шифрование позволяет закодировать информацию, сделав ее бесполезной для вора, не имеющего цифрового ключа для дешифрования.
Существует большое разнообразие инструментов для шифрования, включая программное обеспечение и специализированные микросхемы. Однако многие неохотно пользуются такими средствами, так как утеря ключа осложняет доступ к информации, а программы шифрования замедляют его, говорит Алан Паллер (Alan Paller), директор по исследованиям SANS Institute. Это положение может измениться, когда производители компьютеров начнут продавать ноутбуки со встроенными средствами шифрования. Операционная система Microsoft Windows Vista, которая в конце этого года выйдет для предприятий и в начале следующего – для потребителей, должна упростить пользователям шифрование их данных.
Во многих штатах США ныне установлено требование, согласно которому компании и организации, хранящие личную информации, обязаны информировать общественность о случаях утечки данных. Однако эти законы не требуют уведомлять общественность, если утраченные данные были зашифрованы.
Компании, где уже были отмечены случаи воровства ноутбуков, реагируют принятием более строгих мер безопасности. Так, в компании Ernst & Young имеется 30 тыс. ноутбуков, которыми пользуются ее консультанты. По информации представителя компании Чарли Перкинса (Charlie Perkins), все содержимое этих компьютеров шифруется. Однако в феврале, когда данная политика еще только начала реализовываться, из автомобиля сотрудника был украден ноутбук с незашифрованной информацией. Вместе с ним были украдены имена, адреса и информация о кредитных картах около 243 тыс. клиентов сети Hotels.com, обслуживаемой Ernst & Young. По словам г-на Перкинса, пока нет свидетельств неправомерного использования этой информации.
Конечно, меры безопасности будут работать, только если они реально выполняются. В ряде случаев ноутбуки терялись или воровались, когда работники нарушали корпоративные правила, оставляя компьютеры в припаркованных автомобилях и в своих домах. Иногда данные, которые должны были быть зашифрованными работником, оказывались незашифрованными.
2 июня представители розничной продуктовой сети Royal Ahold NV сообщили, что их подрядчик Electronic Data Systems утерял ноутбук с личной информацией на неназванное количество пенсионеров и бывших работников компаний Ahold. По информации представителя EDS Кевина Лайтфута (Kevin Lightfoot), работник EDS сдал ноутбук в багаж перед авиаперелетом. По прибытии рейса ноутбука уже не было. Работник подвергся дисциплинарному наказанию за нарушение корпоративной политики путем сдачи компьютера в багаж.
В январе инвестиционная консультативная компания Ameriprise Financial сообщила об утрате внутренних идентификационных номеров счетов 158 тыс. клиентов в результате кражи ноутбука из автомобиля работника. Работник должен был зашифровать данные, которые содержались в двух файлах, однако он этого не сделал, за что и был впоследствии уволен.