Жучок в рекламном сувенире Промышленный шпионаж стал изощреннее По мнению экспертов, ущерб только немецкой экономики от промышленного шпионажа может составить в этом году порядка 20 млрд евро. На более точные цифры рассчитывать не приходится, так как жертвы охотников за чужими секретами сообщают об инцидентах лишь в 25% случаев. Одно можно сказать наверняка: в глазах иностранных спецслужб и концернов-конкурентов курс технологий Made in Germany снова сильно вырос. В зоне особого внимания находятся фирмы, занимающиеся обработкой информации и коммуникационной техникой, микроэлектроникой, автомобилестроением, авиационной и космической техникой, технологией производства, биотехнологиями и медициной, а также энергетическим и экологическим оборудованием.
"риск Мошенничества" Программа Deloitte, открытая программа "Академии рисков"
Пользователь
Сообщений: Регистрация: 17.01.2017
08.11.2007 11:48:38
Форма и стоимость участия ?
The It Audit Checklist Series
Пользователь
Сообщений: Регистрация: 17.01.2017
08.11.2007 11:44:09
Битая ссылка. Документ не открывается - просьба обновить ссылку или выложить в библиотеку ИВА.
Ждем дополнений. Спасибо
Интересные примеры компьют. преступлений, Cсылки на новости по компьют. преступл.
Хакеры украли из Коммерческого банка США персональную информацию двадцати клиентов.
По словам представителей банка, база данных, которую взломали злоумышленники, содержала имена, адреса, номера социального страхования, телефонные номера и, в некоторых случаях, номера счетов клиентов. Все 20 клиентов, чьи данные были украдены, проживают в штате Миссури (банк занимается обслуживанием жителей четырех американских штатов). В общей сложности взломанная база данных насчитывает около трех тысяч записей. Также стало известно, что взлом банковской информационной системы произошел немногим больше недели назад и расследованием инцидента уже занимается ФБР. Всем клиентам, чьи данные были украдены, банк обязуется предоставить бесплатный мониторинг кредитных счетов в течение ближайших двух лет.
Интересные примеры компьют. преступлений, Cсылки на новости по компьют. преступл.
Пользователь
Сообщений: Регистрация: 17.01.2017
30.10.2007 13:35:16
Количество пострадавших от взлома TJX удвоилось
Дата: 26.10.2007 17:14:50
Ситуация вокруг крупнейшей утечки в истории человечества продолжает активно развиваться. На днях стало известно, что количество скомпрометированных записей в «деле TJX» оказалось примерно в два раза выше, чем было заявлено изначально. Согласно документам, поданным в федеральный суд Бостона (именно там слушается дело TJX), общее число пострадавших в результате утечки составляет 94 млн., а не 45,7 млн. Эксперты аналитического центра InfoWatch предполагают, что эта новость станет не последним откровением в расследовании нашумевшего инцидента.
В документах, поданных рядом банков в суд, указано, что в результате утечки из TJX пострадали 94 млн. приватных записей о кредитных картах: 65 млн. из них принадлежали платежной системе Visa, а 29 млн., соответственно, MasterCard. Совокупные потери Visa и MasterCard в результате утечки уже находятся в промежутке от $68 млн. до $83 млн. Эксперты InfoWatch предполагает, что в будущем эти потери неизбежно вырастут. В официальном заявлении банкиров, в частности, сказано, что «несмотря на огромные расходы на ликвидацию утечки, TJX продолжает замалчивать ее реальные последствия». Руководство самой компании TJX отказалось предоставить какие-либо комментарии. В отличие от банков, отраслевые эксперты выступают с менее категоричной позицией. Директор по технологиям компании Trigeo Network Security Майкл Малуф полагает, что разница в оценках количества пострадавших объясняется тем, что TJX не имел достаточно количества данных (log-файлов) для верной оценки ситуации. Ему вторит исполнительный директор компании Aveksa Дипак Танеха, считающий, что определить точное количество пострадавших весьма непросто, даже имея на руках полные данные логов.
Источник: Cnews.ru
Защита информации от внутренних угроз, Статья. Содержание. Обсуждение
Пользователь
Сообщений: Регистрация: 17.01.2017
29.10.2007 14:37:55
Следует также разделять вынос знаний и вынос данных. От выноса знаний - нет практически никаких способов, кроме работы с конкурентами и недопущению попадания сотрудника напрямую к конкурентам в течении N-ного времени.
Также важно понимать что "вынос в голове" никакими Соглашениями или Техническими средствами не предотвратишь. Тем более что зачастую техническими средствами мы узнаем зачастую о факте выноса информации когда сия информация уже давно за пределами охраняемого периметра. Следовательно надо много и усиленно подгонять "best practice" к реалиям имеющейся грядки.
Главный и существенный факт: то что невзначай или умышленно head manager вынесет и невзначай или специально скажет лицу заинтересованному непосредственно или через тусовку - может многократно по последствиям превысить все мыслимые и немыслимые потери от многолетнего "выноса" инфы рядовыми сотрудниками.
Интересные примеры компьют. преступлений, Cсылки на новости по компьют. преступл.
Пользователь
Сообщений: Регистрация: 17.01.2017
29.10.2007 14:05:28
Проделки инсайдеров: что замалчивают компании
Безопасность 09.10.07, Вт, 14:55,
Первый месяц осени оказался сравнительно бедным на утечки данных. В общей сложности было зафиксировано 19 общеизвестных инцидентов. По сравнению с августом, их количество сократилось более чем в полтора раза, однако общая сумма ущерба, напротив, существенно выросла. От сентябрьских утечек пострадали около 9 млн человек, а долгосрочные издержки на их ликвидацию приближаются к отметке в 2 млрд долларов. Еще одной тенденцией является замалчивание компаниями информации об утечках. В прошедшем месяце обозначился ряд тенденций, первые признаки которых можно было наблюдать и раньше. Прежде всего, продолжилась волна компьютерных краж – в сентябре стабильно пропадали ноутбуки, стационарные компьютеры и другие носители информации. Более половины (11 из 19) инцидентов произошли вследствие краж, а также потерь различного оборудования. В десятке наиболее масштабных утечек нашлось место для семи таких инцидентов. Вторая тенденция менее очевидна. Во второй раз подряд на первом месте рейтинга оказалась компания, потерявшая свою клиентскую базу в результате действий злоумышленников. И эта компания снова долго отвергала факт утечки. И если лидер августа – рекрутинговый сервис Monster.com – осознал плачевность ситуации сравнительно быстро, то брокерская фирма TD Ameritrade тянула с признанием утечки практически календарный год.
Брокерская фирма TD Ameritrade тянула с признанием утечки практически календарный год "Дыра" в защите TD Ameritrade обнаружилась в результате внутреннего расследования. Это расследование было инициировано благодаря клиентам компании, которые прочитали в своей почте спам с "биржевым" содержанием. Интересно, что этот спам рассылался в течение длительного периода - еще с октября прошлого года. Другими словами, взлом сети и проникновение в базу данных могло произойти более года назад. Долгое время TD Ameritrade не прислушивалась к запросам возмущенных клиентов, пока один из них, известный адвокат Скотт Камбер (Scott Kamber), не подал на брокерскую компанию в суд. Это событие произошло в мае нынешнего года, а об утечке стало широко известно только в середине сентября. Такое развитие событий наводит на мысль о том, что TD Ameritrade скрывала факт утечки, до тех пор, пока ее не прижал к стенке суд. Очевидно, что непродуманные действия компании по замалчиванию факта утечки приведут к еще большим репутационным потерям. А репутация, как известно, является одним из основных активов любой финансовой организации. По итогам сентября в группу особого риска попали медицинские компании (5 инцидентов), государственные учреждения (4 инцидента) и учебные заведения (5 инцидентов). Однако наиболее масштабные утечки обычно происходят с розничными сетями или финансовыми организациями с серьезной клиентской базой. Впрочем, и государственные структуры часто теряют базы данных с огромным количеством записей. "Студенческие" и "медицинские" утечки пока не настолько масштабны.
Топ-10 утечек корпоративных данных, сентябрь, 2007
№ Инцидент Дата занесения в базу Количество пострадавших Ущерб 1 Неизвестные взломали корпоративную сеть компании TD Ameritade и похитили приватную информацию о 6,3 млн клиентах 14 сентября 6,3 млн человек 1,2 млрд долл. 2 Кадровое агентство, оказывавшее услуги компании GAP, потеряло ноутбук с приватными данными соискателей 28 сентября 800 тыс человек 260 млн долл. 3 Работник администрации г. Колумбус, штат Огайо, потерял резервные ленты с персональными данными госслужащих 13 июня* 1,3 млн человек 239 млн долл 4 Министерство соцобеспечения Пенсильвании (Pennsylvania Public Welfare Department) не уследило за двумя настольными компьютерами, которые хранились в собственном офисе 11 сентября 375 тыс человек 35 млн долл. 5 Ноутбук с приватными данными, принадлежащий компании Gander Mountain, был украден у одного из ее сотрудников 11 сентября 112 тыс человек 23 млн долл. 6 Курьерская служба потеряла компакт-диск, содержащий базу медицинской программы Tenncare 12 сентября 67 тыс человек 10 млн долл. 7 Инсайдер из компании Pfizer скопировал конфиденциальную базу данных на собственный ноутбук. Таким образом, концерн допустил третью утечку за три месяца 4 сентября 34 тыс человек 9 млн долл. 8 Приватные данные "ипотечных" клиентов банка ABN Amro обнаружились в P2P-сети Gnutella 21 сентября 5 тыс человек 900 тыс долл. 9 В учебном госпитале им. Джона Хопкинса (John Hopkins Hospital) пропал настольный компьютер с приватными данными 1 сентября 6 тыс человек 560 тыс долл. 10 Неизвестные грабители украли ноутбук инструктора калифорнийского колледжа Де Анца (De Anza College). На компьютере находились приватные данные студентов ВУЗа 6 сентября 4,5 тыс человек 330 тыс дол. Источник: InfoWatch, 2007 * - предварительная информация об инциденте была известна еще в июне, однако окончательные данные о количестве пострадавших появились только в сентябре В сентябре в очередной раз "отличилась" компания Pfizer, допустившая уже третью утечку за последние три месяца. Она же оказалась и самой масштабной – в результате халатности сотрудника Pfizer пострадали 34 тыс человек. Этот сотрудник скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году, не согласовав своих действий с руководством. Что происходило с данными на ноутбуке до сих пор точно неизвестно. В Америке продолжают ловить инсайдеров и кардеров, многие из которых являются выходцами из стран бывшего Советского Союза. В начале месяца американские блюстители порядка поймали некоего Грегори Копылоффа (или Григория Копылова?), который воровал приватную информацию через P2P-сеть. А в конце месяца другой выходец из России Роман Карелов признался в использовании конфиденциальных данных для оформления дорогостоящих покупок в Интернет-магазинах. Общая сумма ущерба, которую нанес Карелов находится в интервале от 200 до 400 тыс долларов. Как подсчитывать убытки? Ущерб от утечек определяется по-своему в каждом конкретном случае. Тем не менее, существует общая методика, с помощью которой можно посчитать ориентировочные убытки. В основе схемы лежит общее число пострадавших людей либо скомпрометированных документов, и характер утечки. Далее оценивается предварительный ущерб.
В сентябре в очередной раз "отличилась" компания Pfizer, допустившая уже третью утечку за последние три месяца Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались раскрыты. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях одни только почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела. Рассмотрим для ясности пример с утечкой из компании GAP. Напомним, что ноутбук этой компании с приватными данными был украден неизвестными злоумышленниками, и в результате кражи пострадали 800 тыс граждан США, Пуэрто-Рико и Канады, пытавшихся устроиться на работу GAP. После обнаружения утечки, GAP предприняла комплекс мер для ее ликвидации. Во-первых, был создан специальный сайт, призванный помочь пострадавшим гражданам. Во-вторых, всем жертвам инцидента предлагается услуга Triple Advantage от компании ConsumerInfo.com, которая включает в себя кредитный мониторинг, а также страхование риска компрометации данных в течение одного года. В-третьих, пострадавшим уже высылаются уведомления и предоставляется бесплатная телефонная линия для консультаций. Согласно данным сайта ConsumerInfo.Com, стоимость одного месяца кредитного мониторинга составляет 11,95 долл., года – 143,4 долл. Таким образом, общие расходы GAP на бесплатное предоставление подобных услуг составят примерно 114 млн долл. Для подсчета остальных прямых издержек обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". Согласно расчетам Ponemon Institute, средние расходы на выявление и исследование инцидента, а также уведомление пострадавших составляют 11,27 и 25,19 долл. на одну учетную запись. Таким образом, в масштабах утечки получается сумма в 29 млн долл. Далее следует учесть ущерб от потери привлекательности бренда и дальнейшие мероприятия по ликвидации утечки. По данным Ponemon Institute, средние издержки от снижения привлекательности бренда и дальнейших мероприятий по ликвидации составляют 98,32 и 47,29 долл. на каждого пострадавшего соответственно. Для конкретной утечки – 116 млн долл. Итого имеем 29 млн долл. - предварительные расходы, 114 млн долл. – расходы на кредитный мониторинг, 116 млн долл. – дальнейшие мероприятия по ликвидации и репутационные потери. В результате, получается сумма примерно в 260 млн долл. Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.
Алексей Доля
Кто прошел через ИТ-аудит или аудит ИС?, Аудируемые, поделитесь опытом!
Пользователь
Сообщений: Регистрация: 17.01.2017
24.10.2007 15:54:48
Дмитрию Трутневу пламенный привет. Банк в прошлом году прошел Итаудит. Опытом делиться думаю запретят ))
А Вам спасибо за части по Cobit 4.0 )) на локальном языке
Интересные примеры компьют. преступлений, Cсылки на новости по компьют. преступл.
Пользователь
Сообщений: Регистрация: 17.01.2017
23.10.2007 10:23:51
Софт-клуб / Новости IT
22.08.2007 09:38
Работу Интернета прервали пули
В минувший понедельник в Соединенных Штатах произошло очередное происшествие - после повреждения в Кливленде магистрального кабеля сразу несколько крупных американских интернет-провайдеров сообщили о серьезных сбоях в своих сетях, а некоторые более мелкие провайдеры полностью оказались блокированными, сообщает CyberSerurity.ru.
Кабель был поврежден оружейными выстрелами, и провайдеры утверждают, что это саботаж, так как в нерабочем состоянии оказался его участок длиной более километра. Первыми о сбое сообщили представители TeliaSonera AB - 19 августа в 7 часов вечера по времени тихоокеанского побережья США. После этого была практически парализована работа одного из крупнейших хостинг провайдеров США Level 3 Communications. Местная телекоммуникационная компания Cogent Communication также столкнулась с проблемами. Масса пользователей не могла зайти на свои сайты и проверить электронную почту. В настоящее время кабель полностью заменен, а неполадки практически полностью устранены. Обрывы и повреждения кабелей происходят относительно часто. Например, в конце сентября 2005 года обрыв кабеля затруднил работу Рунета (правда, говорят, что трудности со связью были вызваны разногласиями между российскими операторами). А в августе 2006 года кабель, проходящий по дну Черного моря, был перерезан сборщиками металлолома с украинского корабля. Не менее курьезен и другой случай: в мае нынешнего года работа сверхскоростной сети передачи данных Abilene Network была прервана пожаром, который вызвала непотушенная сигарета, выброшенная бомжом.
