Скандальная история с утечкой информации из базы данных американской торговой сети TJX Cos. обрастает новыми подробностями. Как стало известно, в распоряжении хакеров оказались данные о 45,7 млн. кредитных и дебетовых карт. Этот инцидент обернется для пострадавшей компании многомиллиардными расходами.

Утечка данных, включая номера кредитных карт и сведения о транзакциях, была выявлена в конце января текущего года. В результате действий киберпреступников пострадали тысячи покупателей из Великобритании, Канады, США, Ирландии и Южной Кореи. Было выявлено, что недоброжелатели получили доступ к сведениям о покупках в магазинах США, Канады и Пуэрто-Рико с 2003 г. Само похищение было осуществлено еще летом 2005 г., однако его последствия стали заметны только в этом году. Заметим, что TJX Companies является управляющей компанией одной из крупнейших американских торговых сетей. В ведении TJX находится около 2,5 тыс. розничных магазинов.

По данным InfoWatch, прямые издержки (почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр.) составляют в среднем $54 на каждого пострадавшего. Косвенные издержки — $30. В калькуляцию не вошли расходы на реанимацию имиджа и оплату штрафов, налагаемых со стороны государственных регулирующих органов. Таким образом, TJX угрожают огромные расходы в размере $3,7 млрд. Точный ущерб до сих пор не оценен.

«Век массовых коммуникаций провоцирует массовость сопутствующих инцидентов. 45 млн. кредитных карт, утекших в неизвестном направлении, — случай серьезный, но не из ряда вон выходящий, — комментирует директор по маркетингу InfoWatch Денис Зенкин. — Ранее на этом поприще «отличились» многие другие государственные и коммерческие организации как в России, так и за рубежом».

«Этот случай выявил вопиющий факт невнимательности службы информационной безопасности, — добавляет г-н Зенкин. — Факт взлома системы оставался незамеченным на протяжении полутора лет, что просто неслыханно. Это подтверждает, что в компании не проводился аудит защиты и отсутствовал эффективный контроль данных». Как считает эксперт, для предотвращения подобных инцидентов требуется внедрение комплексной системы защиты, которая позволяла не только контролировать внешние (в том числе хакерские атаки) и внутренние (действия инсайдеров, возможно по сговору с сообщниками извне) ИТ-угрозы, но и проводить анализ движения данных для выявления подозрительной активности. Таким образом можно без труда обнаружить утечку данных, уверен он.

Как считают в «Информзащите», для того чтобы предотвратить или хотя бы существенно уменьшить потери от такого рода угроз, был создан стандарт PCI DSS. Выполнение требований этого стандарта как раз позволяет минимизировать места хранения номеров кредитных карт и обеспечить их защиту, а требуемые стандартом процедуры мониторинга и реагирования на инциденты обеспечивают выявление такого рода взломов на ранних этапах.

Заметим, что одним из наиболее громких скандалов, который окончился банкротством виновника, произошел в середине 2005 г., когда крупнейший американский процессинговый центр платежей по кредитным картам CardSystems Solutions объявил об утечке данных о 40 млн. карт. Не меньший резонанс вызвал скандал прошлого года в Министерстве по делам ветеранов США. Тогда «утекли» данные о почти 30 млн. человек.