Университеты беззащитны перед похитителями персональных данных

Опубликовано: 15.01.2007, 16:36 Автор:
Университеты беззащитны перед похитителями персональных данных Университеты стали желанной добычей хакеров, которых привлекают открытость сетей этих учебных заведений, децентрализованная система безопасности и объемы персональной информации миллионов молодых людей.

По словам специалистов по защите данных, примерами того, насколько уязвимы университеты к таким атакам, могут служить недавнее масштабное проникновение в базу данных Калифорнийского университета в Лос-Анджелесе, которое оставалось незамеченным дольше года, и менее значительная утечка информации в Техасском университете.

Среди 300 взломов баз данных, в настоящее время отмеченных Информационным центром по защите прав на конфиденциальную информацию, 50 приходится на университеты. В числе прочего, хакеры проникли в компьютерные системы Университета в Джорджтауне, Университета Огайо, Университета Аляски и Университета в Западном Иллинойсе. 

«Это одна из основных категорий, если не основная», - говорит Бет Гивенс, директор информационного центра.

Проникновение в систему Калифорнийского Университета в Лос-Анджелесе было обнаружено 21 ноября, когда в университете заметили, что какой-то хакер шерстит базу данных по именам и номерам социального страхования. Выяснилось, что хакер работает как минимум с октября 2005 года.

Представители университета говорят, что несанкционированный доступ был получен только к небольшой части документов, содержащих номер социального страхования, - менее 5 процентов от 800 000 документов. Университет поставил в известность ФБР, которое начало соответствующее расследование.

Также руководство университета на прошлой неделе сообщило, что хакеры, возможно, получили доступ к персональной информации 6 тысяч человек, которые работали, поступали учиться или посещали занятия в Университете в Далласе. Взломанные файлы содержат имена и номера социального страхования, сообщает университет. В некоторых случаях также могли быть украдены почтовые адреса, адреса электронной почты и телефонные номера.

В обоих случаях официальные представители университетов подчеркивают, что ничто не указывает на то, что информация была использована для получения фальшивых кредитных карт или совершения преступлений с использованием похищенных персональных данных.

Одной из причин привлекательности для преступников университетских баз данных является то, что номера социального страхования обычно используются как удостоверения личности студентов.

«Пора сделать номера социального страхования более защищенными или перестать использовать их для идентификации личности в рамках университетской системы», - говорит Гивенс.

В соответствии с распоряжением Джима Девиса в Калифорнийском университете Лос-Анджелеса перестали использовать номера социального страхования для идентификации личности студентов.

Кроме того, университет ужесточил меры безопасности, потребовав подключения всех компьютеров к одной сети, чтобы облегчить контроль над ними и оснастить последней версией антивируса и другими программными средствами защиты данных.

На компьютеры, использующиеся в административных целях, установлены программные средства с более жесткой системой защиты, которые обеспечивают мониторинг из центра и обновление ПО защиты данных.

Девис говорит, что университет старается найти баланс между запросами библиотек и других исследовательских ресурсов, которым требуется более открытый доступ к данным, и необходимостью централизованно хранить секретную информацию в безопасном месте.

«Мы изо всех сил стараемся достичь нужного баланса, и для того чтобы защитить информацию, нам действительно нужна реорганизация, - говорит он. - Но мы не хотим нарушать привычную работу университета в том, что касается открытых коммуникаций».

Университеты также нуждаются в свободном общении с другими образовательными учреждениями и общественностью при проведении своих исследований.

«С академической точки зрения, мы хотели бы, чтобы люди могли видеть, кто мы такие и чем мы занимаемся, конечно, в разумных пределах», - говорит Дэвид Фарбер, преподаватель теории вычислительных машин и государственной политики в университете Карнеги-Меллон.

«Университеты серьезно относятся к данной проблеме; тем не менее, важно отделить засекреченные личные данные от учебных, которые находятся в открытом доступе», - говорит Фабер. «С административной точки зрения учебное учреждение – это коммерческое предприятие, и должно работать соответственно», - сказал он.

«Также необходимо ужесточение наказаний за несанкционированный доступ в систему», - говорит Роберт Браунстоун, представитель юридической компании Fenwick & West LLP, расположенной в Силиконовой долине.

Несмотря на некоторые попытки, нет строгих федеральных законов, обязующих университеты уведомлять каждого, чья информация подверглась риску во время несанкционированного доступа в систему. В 33 штатах законодательно  закреплены различные способы уведомления для университетов и корпораций. «Уведомления недостаточно, -  говорит Браунстоун. - В дальнейшем в законе необходимо предусмотреть серьезные штрафы».

«Это как обратная зависимость, - говорит Браунстоун. - Теоретически, компании должны  быть заинтересованы в ужесточении мер безопасности. Но если единственное реальное наказание заключается в том, что нужно выслать уведомление, как строго ни формулируй закон, этого недостаточно».

Номера кредитных карт, номера социального страхования, даты рождения и другие личные данные могут быть проданы на черном рынке и использованы для совершения нелегальных покупок. Молодежь от 18 до 21, обычно имеющая чистую кредитную историю является идеальной добычей для охотников за чужой идентификационной информацией.

Калифорнийский университет в Лос-Анджелесе и Университет Техаса - одни из последних жертв среди университетов, финансовых учреждений, частных компаний и государственных организаций.

Этой весной университет Огайо сообщил о пяти случаях, которые можно рассматривать как кражу данных; речь идет тысячах студентов, выпускников образовательных учреждений, служащих (включая президента). С марта 2005 года могло быть украдено около 173 000 номеров социального страхования – вместе с именами, датами рождения, медицинскими данными и домашними адресами.

В 2005 году база данных университета Южной Калифорнии была атакована хакерами, были похищены данные 270 000 человек.

Источник: Yahoo! News


Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100