АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

22 июля 2010

Крупнейшая база данных Европы - добро пожаловать на проходной двор!

По информации аналитического центра InfoWatch, безопасность  крупнейшей базы данных Европы, содержащей около 90 миллионов записей, неоднократно нарушалась в течение нескольких лет сотрудниками Судов Ее Величества королевы Великобритании, Министерства труда и пенсионного обеспечения, а также работниками других министерских подразделений. 

В прошлом году власти Великобритании уволили 26 государственных служащих за несанкционированный доступ к данным, содержащимся  в Информационной системе потребителей (ИСП) Министерства труда и пенсионного обеспечения (МинТиП). ИСП насчитывает около 90 миллионов записей, являясь крупнейшей базой данных Европы.

По сообщению британской версии Computer Weekly, с момента создания БД, т.е. с 2005 года,  сотрудники государственного сектора неоднократно попадались на краже или просмотре персональных данных  БД МинТиП. В период с 2009 по 2010 годы МинТиП зарегистрировал  124  случая нарушения системы защиты базы данных сотрудниками консульства.  Как заявляет Министерство юстиции (Минюст), за тот же период отслежены 23 случая несанкционированного доступа к персональным данным БД служащими Судов Ее Величества. На данный момент известно 180 случаев незаконного проникновения в ИСП госслужащих с целью просмотра записей о себе, своих родственниках, знакомых, коллегах и знаменитостях.  Всего же доступ к базе имеют 200 000 человек!

Небезопасная безопасность

По утверждению Минюста, аудит системы безопасности БД пострадавшего министерства проводился регулярно раз в квартал. Однако очевидно, что этого не было достаточно.  Разработанные министерством юстиции  меры по обеспечению безопасности были настолько расплывчаты, что IT-ишники МинТиП не знали, что конкретно они должны сделать для защиты персональных данных, хранящихся в БД. Периодически от них поступали сообщения  о возможной угрозе информации, однако, зачастую спустя несколько месяцев после случившейся утечки.

Первое сообщение об утечке Минюст получил от МинТиП спустя 3 года после того, как сотрудники Судов Ее Величества произвели несанкционированный доступ к БД. На просьбу, направленную в отдел по рискам МинТиП от аналитика Минюста о содействии в расследовании инцидента, спустя несколько недель был получен следующий ответ: «В компетенцию отдела не входит предоставление свидетельских показаний по данному делу».

В итоге, Минюст провел собственное расследование: было уволено 35 человек.  Но уроком для остальных госслужащих это не стало. Доступ к базе постоянно или периодически имеют около 200 000 сотрудников, и всех нарушителей не уволишь. Не помогла и система электронной идентификации личности - инсайдеры успешно ее обходят.

В феврале 2008 года МинТиП отправил запрос в Министерство юстиции, в котором говорилось, что не конкретизированные меры безопасности должны быть пересмотрены. Ведь далеко не каждый сотрудник пользуется возможностью доступа к БД в корыстных целях. Чаще все же - для выполнения служебных обязанностей, например, для подтверждения права граждан на получение бесплатных медикаментов или школьного питания.

В 2009 году в Великобритании был принят Coroners and Justice Act, одним из положений которого явилось ужесточение процедуры проверок Британской комиссией по информации организаций на предмет соблюдения Закона о защите данных (Data Protection Act). Однако необходимые меры безопасности так и не были конкретизированы в данном законе.,

В ходе разбирательств выяснилось, что Минюст не ведет учет количества нарушений и принятых мер по разрешению ситуации. В связи со всеми обстоятельствами, власти Великобритании были вынуждены принять дисциплинарные меры касательно сотрудников британских министерств. В результате из 81 нарушителя лишь 8 были уволены.

Ситуацию комментирует главный аналитик InfoWatch Н. Федотов: «Отрадно то, что нарушения хоть и имеют место, но выявляются; при этом виновные наказываются.  Силы службы безопасности не брошены целиком на сокрытие инцидентов, а меры защиты не сводятся к составлению разнообразных бумаг, как это принято в некоторых других странах.

При таком огромном количестве пользователей (200 тысяч) результат более чем хороший. Этот результат таков: крупнейшая БД Европы до сих пор не продаётся на Савёловском рынке на DVD. Несмотря на перечисленные недостатки защиты, работу службы информационной безопасности Министерства труда следует оценить положительно, а опыт по эксплуатации такой крупной БД следует изучить.

Также хотелось бы отметить, что все упомянутые нарушения связаны с инсайдерами, с превышением ими предоставленных полномочий. Но не упоминается инцидентов с несанкционированным доступом "внешних" нарушителей. Из этого надо сделать вывод, что защита от "внешних" угроз (НСД, перехват на каналах связи, подбор паролей, внедрение троянских программ и т.п.) поставлена у англичан хорошо. Защититься же от внутренних злоумышленников - всегда было более трудной задачей».

Источник

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>