Wyciek informacji z Urzędu Skarbowego w Busku-Zdroju
W styczniu bieżącego roku Polska (niestety) doczekała się swojego skandalu związanego z wyciekiem poufnych informacji. Dyskietka z danymi 1249 podatników została wysłana do redakcji „Gazety”. Motyw działania sprawcy nie jest znany, przypuszczalnie chciał on zwrócić uwagę na brak dostatecznych zabezpieczeń w Urzędzie Skarbowym w Busku-Zdroju.
„Zrobiłam naradę z osobami zajmującymi kierownicze stanowiska, w której zwróciłam uwagę na odpowiedzialność za wszelkie dane, które są w urzędzie. Badamy, jak dyskietka mogła wejść w czyjeś posiadanie. Myślę, że to badanie zakończy się ujawnieniem tej osoby ” mówi Grażyna Skawińska, naczelniczka US w Busku
Plik z danymi zawierał między innymi imię i nazwisko, jakiś numer identyfikacyjny, adres i rodzaj prowadzonej działalności gospodarczej. To najprawdopodobniej spis podatników płacących podatek zryczałtowany na terenie Urzędu Skarbowego w Busku-Zdroju w 1999 roku.
Więcej informacji w „Gazecie”.
Rosną wydatki na bezpieczeństwo IT
Po serii nie napawających optymizmem informacji dotyczących wycieku informacji, kradzieży danych i zagrożeniach bezpieczeństwa pojawia się światełko w tunelu. Wydatki związane z bezpieczeństwem IT w największych przedsiębiorstwach w USA ora z Europie wzrosną w porównaniu do ubiegłego roku. Planowany wzrost nie jest jednak imponujący, ponieważ wynosi 0,9%, dzięki czemu wydatki na bezpieczeństwo IT pochłoną 12,6% budżetów działów IT. Jednak w dobie dużego spowolnienia gospodarczego i drastycznych ograniczeń budżetowych w wielu firmach na całym świecie ten wynik jest wciąż optymistyczny.
Dane te pochodzą z badania przeprowadzonego przez firmę Forrester Research przeprowadzonego na grupie 942 IT managerów, których firmy znajdują się w Stanach Zjednoczonych i Europie.
Co drugi pracownik kradnie firmowe dane
Niepokojące statystyki dotyczące bezpieczeństwa informacji w firmach zostały ujawnione w badaniu przeprowadzonym w styczniu w Stanach Zjednoczonych. 59% z 1000 przebadanych pracowników, którzy zostali zwolnieni w 2008 roku, przyznało się do kradzieży danych firmowych. Najczęstszym łupem badały listy e-mailowe, dane pracowników oraz bazy danych klientów. Nic dziwnego, w końcu takie informacje mogą stanowić kartę przetargową w poszukiwaniu pracy u niezbyt uczciwego pracodawcy.
Okazuje się, że większości z tych kradzieży dało się uniknąć, gdyby firmy uprzednio wprowadziły politykę ochrony informacji i skutecznie zabezpieczyły swoje sieci komputerowe. Do tego celu służą liczne programy ochraniające sieci komputerowe i zapewniające bezpieczeństwo portów USB oraz CD/DVD w firmach. Godnym polecenia jest program Endpoint Protector firmy CoSoSys, producenta jednych z najbardziej innowacyjnych rozwiązać chroniących sieci korporacyjne przed kradzieżą i wyciekiem danych.
Ze wspomnianego badania wynika, iż 53% respondentów nagrywało firmowe dane na nośniki CD lub DVD, a 42% z nich na przenośne pamięci USB.
Co nas czeka w 2009 roku?
Wiele wskazuje na to, iż tempo rozwoju cyberprzestępczości nieprzerwanie rośnie. Zagrożenia, które czekają na nas niemal na każdym kroku stają się coraz bardziej zaawansowane technologicznie, przez co niebezpieczne. W ubiegłym roku do najpopularniejszych zagrożeń należały ataki na przeglądarki internetowe – szkodliwe oprogramowanie negatywnie wpływające na działanie serwerów DNS umożliwiało przekierowanie na niemalże dowolną stronę internetową. Nie mniej popularne okazały się być ataki koni trojańskich wykradających poufne dane z komputerów użytkowników.
Na pewno jesteście ciekawi na jakie zagrożenia będziemy najczęściej narażeni w 2009 roku. Eksperci z Trend Micro opracowali obszerną listę, która ukazuje kierunek, w jakim rozwija się cyberprzestępczość.
Na pierwszym miejscu znajdziemy zagrożenia internetowe opierające się na wielu narzędziach, co utrudnia ich wykrycie. Zagrożenia hybrydowe będą wykorzystywały najnowsze dostępne techniki i technologie, np. takie jak koń trojański wpływający na działanie systemu DNS.
Na drugim miejscu listy znalazły się ataki za pomocą ransomware czyli ataki celem uzyskania okupu. W tym przypadku najbardziej narażone są małe i średnie przedsiębiorstwa, które najprawdopodobniej nie posiadają odpowiedniego zabezpieczenia sieci.
W czołówce zagrożeń zobaczymy również ataki na użytkowników systemów Mac OS. Jako, że komputery typu Macintosh najczęściej sprzedawane są bez programu antywirusowego, ich rosnący udział w rynku sprawia, iż stają się łakomym kąskiem dla cyberprzestępców.
Na szkodliwe oprogramowanie będą również narażone produkty testowe Microsoftu: Windows 7, Surface, Silverlight i Azure. Cyberprzestępcy zastosują bardziej profesjonalne podejście do planowania ataków wykorzystujących nowo odkryte luki (zero-day attacks), chcąc zakłócić miesięczny harmonogram publikowania poprawek do produktów firmy Microsoft (Patch Tuesday).
Jeśli chcecie poznać pełną listę zagrożeń wg Micro Trend polecam zapoznanie się z całym artykułem.
Odnoszę wrażenie, iż cyberprzestępcy przestali atakować wyłącznie dla szpanu, rozwoju umiejętności bądź adrenaliny, lecz stworzyli nieźle prosperujący cyberbiznes, który może przynosić im realne pieniądze. Nam jednak nie pozostaje nic innego niż upewnić się, iż odpowiednio chronimy nasze komputery – zarówno prywatne, jak i korporacyjne, aby nie stać się cyberofiarą.
Kolejny odcinek komiksu
Wczoraj ukazał się czwarty odcinek zabawnej serii komisków mającej na celu uświadomienie zagrożeń związanych z bezpieczeństwem informacji, na jakie jesteśmy narażeni każdego dnia. Tym razem tematem przewodnim okazało się zagrożenie związane z wtargnięciem złośliwego oprogramowania. Autorem komiksów jest firma CoSoSys, której celem jest edukacja na temat potrzeby ochrony danych.
Trzeba przyznać, że to dość oryginalny i niekonwencjonalny sposób edukacji dojrzałego użytkownika komputerów. Osobiście uważam, że pomysł jest ciekawy i nietuzinkowy przez co wzbudza zainteresowanie wielu osób.
Jeśli chcecie poznać wcześniejsze odcinki komiksów zachęcam do odwiedzenie strony.
Nieskuteczna polityka bezpieczeństwa
To już nie pierwszy raz, gdy dowiadujemy się, iż pracownicy są najczęstszą przyczyną utraty danych w przedsiębiorstwach. Ci sami ludzie, powszechnie uważani za najcenniejszy zasób każdego przedsiębiorstwa nierzadko przyczyniają się do utraty innych cennych zasobów. Badanie firmy Kroll Ontrack wykazało, iż w 40% przebadanych firm została wprowadzona polityka bezpieczeństwa danych określająca sposoby ich użytkowania i przetwarzania. Niestety ponad połowa pracowników tych samych firm przyznaje, iż nie przestrzega zasad polityki bezpieczeństwa. Po co, więc tworzyć nieskuteczne prawo? Być może problem tkwi w nieświadomości pracowników o zagrożeniach, na jakie narażają swoje firmy?
Większość pracowników przyznaje, iż zapisuje dane firmowe na prywatnych pamięciach USB. W ten sposób administratorzy sieci nie mają najmniejszego wpływu na to jakie dane firmowe i na jakie urządzenia są kopiowane. A co w przypadku zgubienia pamięci USB?
„Przeprowadzone przez naszą firmę badanie ujawnia, że implementacja odpowiednich procedur związanych z bezpieczeństwem danych niestety nie gwarantuje ochrony kluczowych informacji firmy. Fakt ten, poparty wprowadzeniem ważnych z punktu widzenia bezpieczeństwa danych regulacji prawnych wzmacnia przekonanie, że firmy muszą być nieustannie przygotowane na utratę kluczowych danych na poziomie indywidualnego pracownika” – dodaje Paweł Odor.
Zainteresowanych poznaniem całego artykułu zapraszam pod wskazany link.
Nasi stali Czytelnicy zapewne wiedzą, iż zwracamy szczególną uwagę na istotę bezpieczeństwa USB i promujemy aktywną postawę wobec zabezpieczania sieci komputerowych przed kradzieżą i wyciekiem danych. Zamiast wprowadzania coraz to nowych przepisów i reguł administratorzy powinni proaktywnie chronić kluczowe informacje w firmach. Jednym ze sposobów minimalizacji ryzyka utraty danych poprzez przenośne urządzenia magazynujące jest kontrola portów USB w sieciach korporacyjnych. Z gotowymi rozwiązaniami przychodzą nam producenci security software, np. firma CoSoSys ze swoim oprogramowaniem Endpoint Protector. Kontrola nad portami USB wcale nie oznacza spadku efektywności pracy, lecz pozwala na śledzenie kopiowanych plików oraz wymuszenie szyfrowania danych zapisywanych na urządzeniach peryferyjnych.
Skoro rynek oferuje nam wiele efektywnych rozwiązań, czemu z nich nie skorzystać? Oby jak najmniej przedsiębiorstw musiało przypominać sobie staropolskie powiedzenie „mądry Polak po szkodzie”.
Pracownicy niosący zagrożenie?
Granica między pracą zawodową a rozrywką przed komputerem jest co najmniej niewyraźna. Internet jest bardzo często niezbędnym narzędziem pracy. Jednak komu, od czasu do czasu, nie zdarza się zerknąć na portal społecznościowy, YouTube lub wysłać prywatnej korespondencji podczas wykonywania obowiązków służbowych?
Badanie przeprowadzone przez FaceTime Communications wskazuje w jaki sposób pracownicy najczęściej korzystają z Internetu i jakie niesie to za sobą konsekwencje dla ich działów. Do najczęstszych form aktywności nie związanej z wykonywanymi obowiązkami należą prywatna korespondencja (wysyłanie wiadomości email), surfowanie po stronach www, sprawdzanie rachunków i zakupy online. Co znalazło się na kolejnych miejscach? Dowiedz się tutaj.
Aktywność w sieci niesie ze sobą zagrożenia. 73% ankietowanych menadżerów IT przyznało, że miało do czynienia z co najmniej jednym, związanym z surfowaniem po stronach www, atakiem złośliwego oprogramowania.
Niestety tuż obok zagrożeń zewnętrznych związanych z nieostrożnością pracowników oraz atakami złośliwego oprogramowania, przedsiębiorstwa są narażone na niebezpieczeństwa wewnętrzne związane z kradzieżą i wyciekiem danych.
W celu ochrony przed zagrożeniami korporacje przyznają się do śledzenia aktywności swoich pracowników w sieci. Prawie 80% pracodawców monitoruje firmową pocztę, a 65% odwiedzane strony www. 40% właścicieli firm jest zainteresowanych plikami przekazywanymi siecią peer-to-peer, 38% rozmowami prowadzonymi przez komunikatory internetowe, a 36% sprawdza poczynania swoich podwładnych na portalach społecznościowych.
Niestety wciąż niewiele przedsiębiorstw zabezpiecza się przed zgubnym działaniem przenośnych urządzeń magazynujących o dużej pojemności. Brak kontroli nad portami USB w sieciach korporacyjnych prowadzi do niekontrolowanego transferu danych, często poufnych, między urządzeniami USB, iPod’ami, kartami pamięci etc. Z badania firmy SanDisk wynika, iż 77% ankietowanych pracowników używa osobistych dysków flash USB do celów biznesowych. W przypadku zgubienia przez pracownika takiego urządzenia cenne informacje firmowe stają się łupem przypadkowych osób. Aby zapobiegać tego typu incydentom przedsiębiorstwa powinny kontrolować kopiowanie i przesyłanie danych firmowych, jednocześnie szyfrując dane przechowywane na urządzeniach magazynujących. Jednym ze sposobów ochrony jest oprogramowanie Endpoint Protector firmy CoSoSys, dzięki któremu administrator sieci zezwala lub zabrania korzystania z określonych urządzeń peryferyjnych, jednocześnie ściśle określając jakiego rodzaju pliki mogą być kopiowane.
Naszym zdaniem każdy pracodawca powinien znaleźć złoty środek między zaufaniem do pracowników, a stosowanymi formami zabezpieczeń sieci komputerowych. Z jednej strony zbyt natarczywa inwigilacja źle wpłynie na morale i motywację do pracy, z drugiej strony pracodawca musi przewidzieć to czego pracownik zazwyczaj nie przewidzi lub, co gorsza, ochronić firmę przed złymi zamiarami pracowników. Tu właśnie przychodzi z pomocą wspomniane wyżej oprogramowanie.
Kradzież na wielką skalę
Firma Heartland Payment Systems w Princeton, New Jersey, padła ofiarą hakerskich ataków. Łupem hakerów stały się dane wielu milionów ludzi, gdyż firma rozlicza ok 100 milionów transakcji dokonanych za pomocą kart kredytowych w ok. 175 tys. sklepów i restauracji w Stanach Zjednoczonych. Niebezpiecznie cenną zdobyczą dla hakerów są numery kart kredytowych wraz z nazwiskami ich posiadaczy.
Przestępstwo wykryto dzięki czujności koncernów kart kredytowych – Visa i Mastercard, które to zarejestrowały „nietypowe” transakcje. Gdyby nie szybka reakcja nie wiadomo o ile większe straty mogłyby dotknąć użytkowników kart kredytowych.
Kradzież tożsamości – ogromna dynamika
Najświeższe dane opublikowane przez PandaLabs alarmują, iż w ciągu ostatniego roku komputery ponad 10 milionów użytkowników internetu na całym świecie zostały zainfekowane przez niebezpieczne aplikacje służące do kradzieży danych.
Wyniki badań przeprowadzonych przez PandaLabs wskazują, iż 1,07% przebadanych komputerów było zainfekowanych złośliwym kodem służącym do kradzieży tożsamości. Co ciekawe, program antywirusowy nie zawsze stanowi wystarczające zabezpieczenie, ponieważ 35% zainfekowanych komputerów posiadało aktywną ochronę antywirusową. Niestety prognozy nie są optymistyczne – specjaliści przewidują, iż tempo infekcji będzie wzrastać o kolejne 336% każdego miesiąca w ciągu bieżącego roku.
Zastanawialiście się kiedyś czy sami jesteście narażeni na tego typu ryzyko? Czy może już staliście się ofiarą cyberprzestępców? Jeśli jesteście aktywnymi użytkownikami bankowości online, portali społecznościowych oraz chętnie robicie zakupy przez internet, niestety znajdujecie się w grupie podwyższonego ryzyka.
Konsekwencje związane z utratą tożsamości to głównie straty finansowe, które w przypadku wycieku haseł do kont bankowych mogą być bardzo duże. Według badania opublikowanego przez niezależną firmę badawczą Javelin Strategy & Research średni koszt jednej kradzieży tożsamości w Stanach Zjednoczonych wyniósł 496 dolarów. Generuje to łączny szacowany koszt ryzyka infekcji szkodliwym oprogramowaniem w wysokości ok. 1,5 miliarda dolarów tylko w USA.
