Cyber
breaches at financial firms increasingly are inside jobs
By Aliya
Sternstein 09/14/2011
Bài được đưa lên
Internet ngày: 14/09/2011
Lời
người dịch: Một nguy cơ khó chống đối với các tội
phạm về an ninh KGM trong khu vực các dơ quan tài chính,
ngân hàng là những người bên trong nội bộ. “Những
thiệt hại đã giáng vào các hãng tài chính từ các giám
đốc, các nhân viên bán hàng và các nhân sự phi kỹ
thuật khác trung bình khoảng 800.000 USD cho mỗi tổ chức,
theo Chương trình của CERT, một trung tâm nghiên cứu do
Liên bang cấp vốn toàn phần, nằm tại Viện Kỹ thuật
Phần mềm thuộc Đại học Carnegie Mellon... “Một cựu
quản trị viên hệ thống đã quét sạch nhiều tỷ tệp
trong các máy chủ của một viện tài chính trên khắp thế
giới vào lúc 9 giờ sáng; và gần đây một cá nhân đã
sao chép mã nguồn có chứa các thuật toán buôn bán sở
hữu độc quyền cho các máy chủ nằm ngoài nước Mỹ
sau khi viết thư đề nghị bỏ việc... Năm ngoái, Dịch
vụ Bí mật đã bắt 1.200 kẻ tội phạm KGM bị tình nghi
được cho là có trách nhiệm về hơn 500 triệu USD bị
mất do lừa gạt, A.T. Smith, trợ lý giám đốc của cơ
quan Dịch vụ Bí mật, nói”.
Không ngạc nhiên, sự
suy sụp của nền kinh tế đang đẻ ra sự gia tăng trong
các lỗ hổng không gian mạng (KGM) trong các hãng dịch vụ
tài chính, những ngày một gia tăng những thủ phạm là
các nhân viên của chính các ngân hàng, các chuyên gia hàn
lâm đã nói với Quốc hội hôm thứ tư.
Những
thiệt hại đã giáng vào các hãng tài chính từ các giám
đốc, các nhân viên bán hàng và các nhân sự phi kỹ
thuật khác trung bình khoảng 800.000 USD cho mỗi tổ chức,
theo Chương trình của CERT, một trung tâm nghiên cứu do
Liên bang cấp vốn toàn phần, nằm tại Viện Kỹ thuật
Phần mềm thuộc Đại học Carnegie Mellon.
“Sức ép liên tục
của nền kinh tế hiện nay lên không gian làm việc đang
gây ảnh hưởng và làm trầm trọng tiềm năng cho mối đe
dọa bên trong nội bộ”, Giám đốc Chiến lược của
CERT Gregory Shannon đã chứng thực tại một cuộc điều
trần của tiểu ban Tin dụng Tiêu dùng và các Viện Tài
chính Dịch vụ Tài chính Quốc nội.
Nhiều nhà làm luật
đã thể hiện sự lo lắng rằng công chúng nói chung không
nhận thức được về tất cả những tội phạm KGM, đặc
biệt các chủ doanh nghiệp nhỏ không có được những
tài nguyên cho những sự tăng cường an ninh ở mức doanh
nghiệp.
CERT của Đại học
Carnegie Mellon gần đây đang hợp tác với Bộ Ngân sách
và Dịch vụ Bí mật Mỹ, với sự đỡ đầy từ Bộ An
ninh Nội địa, phát triển một mô hình chống lại các
mối đe dọa nhằm vào việc bảo vệ khu vực tài chính.
Not
surprisingly, the economic downturn is spawning a rise in cyber
breaches at financial services firms, but increasingly the culprits
are the banks' own employees, academic experts told Congress on
Wednesday.
Damages
inflicted on financial firms by managers, sales staff and other
non-technical personnel averaged about $800,000 per organization,
according to the CERT Program, a federally-funded research center at
Carnegie Mellon University's Software Engineering Institute.
"The
continued stress of the current economy on the workplace is impacting
and exacerbating the potential for insider threat," CERT Chief
Scientist Gregory Shannon testified at a House Financial Services
Financial Institutions and Consumer Credit subcommittee hearing.
Many
lawmakers expressed concern that the general public is unaware of all
manner of cybercrime, especially small business owners who do not
have the resources for corporate-level security reinforcements.
Carnegie
Mellon's CERT currently is collaborating with the U.S. Secret Service
and Treasury Department, with sponsorship from the Homeland Security
Department, to develop an insider threat model aimed at defending the
financial sector.
Hỗ trợ trong phần
tấn công, FBI đang nghiên cứu hơn 400 trường hợp được
báo cáo về những người lấy đi các tài khoản của các
doanh nghiệp trong đó các tin tặc đã đinh truyền không
có phép từ các tài khoản ngân hàng của các doanh nghiệp,
Gordon Snow, trợ lý giám đốc bộ phận KGM của FBI, đã
nói với các nhà làm luật. Các trường hợp đang diễn
ra có liên quan tới một sự thổi mất khoảng 85 triệu
USD đối với các công ty nạn nhân.
“Các tổ chức đang
làm việc cật lực để xây dựng các bức tường xung
quanh hạ tầng mạng của họ để giữ mọi người ở
bên ngoài tường nhưng đang có khó khăn về phòng thủ
theo thời gian chống lại những mối đe dọa tiềm tàng
đã có bên trong hàng rào”, Shannon đã thừa nhận.
Hầu hết một nửa
tất cả những kẻ tấn công bên trong nội bộ trong các
hãng dịch vụ tài chính có âm mưu với những kẻ tòng
phạm bên ngoài trong các khai thác của họ, trong khi một
bên thứ 3 giao kết với các đồng nghiệp khác để thực
hiện các tội phạm, ông bổ sung. Các nhân viên cũng đã
ăn cắp sở hữu trí tuệ và tiến hành phá hoại trực
tuyến.
“Một cựu quản trị
viên hệ thống đã quét sạch nhiều tỷ tệp trong các
máy chủ của một viện tài chính trên khắp thế giới
vào lúc 9 giờ sáng; và gần đây một cá nhân đã sao
chép mã nguồn có chứa các thuật toán buôn bán sở hữu
độc quyền cho các máy chủ nằm ngoài nước Mỹ sau khi
viết thư đề nghị bỏ việc”, Shannon thừa nhận.
Năm ngoái, Dịch vụ
Bí mật đã bắt 1.200 kẻ tội phạm KGM bị tình nghi được
cho là có trách nhiệm về hơn 500 triệu USD bị mất do
lừa gạt, A.T. Smith, trợ lý giám đốc của cơ quan Dịch
vụ Bí mật, nói.
Dịch vụ Bí mật
cuối tuần trước đã mở một văn phòng tại Bắc Kinh,
bổ sung cho 23 đơn vị ở nước ngoài mà cơ quan này đã
thành lập để tăng cường quan hệ hợp tác với các
điều tra viên nước ngoài. Trong khi được giả thiết
một cách rộng rãi rằng Trung Quốc đỡ đầu cho gián
điệp KGM tại Mỹ, thì nhận diện các kẻ trộm nằm ở
khắp thế giới đã trở thành một sự tiêu hao về kinh
tế cho cả 2 nước. Các quan chức Liên bang đã nói rằng
việc cộng tác với Trung Quốc về giả mạo trực tuyến
có thể giúp giảm ngăn cách số khác, như khác biệt về
quan điểm về sự tự do thể hiện.
Aiding
on the offensive side, the FBI is investigating more than 400
reported cases of corporate account takeovers in which hackers have
attempted unauthorized transfers from businesses' bank accounts,
Gordon Snow, FBI cyber division assistant director, told lawmakers.
The ongoing cases have dealt a collective blow of about $85 million
to the victimized companies.
"Organizations
are working hard to build walls around their network infrastructure
to keep people out but are having a difficult time defending against
potential menaces that are already on the inside of the fence,"
Shannon testified.
Almost
half of all inside attackers at financial services firms conspired
with outside accomplices on their exploits, while a third consorted
with other colleagues to commit the crimes, he added. Employees also
have taken to stealing intellectual property and conducting online
sabotage.
"One
former system administrator wiped out billions of files on a
financial institution's servers all over the world at 9 a.m. one
morning; and recently an individual copied source code containing
proprietary trading algorithms to servers outside the U.S. after
submitting his letter of resignation," Shannon testified.
Pilfered
code can cost businesses millions of dollars, allow competitors' to
make money off the firms' leaked business strategies, or grant rivals
a heads-up on their closely-held forthcoming financial decisions,
Snow said.
Last
year, the Secret Service arrested 1,200 suspected cybercriminals
allegedly responsible for more than $500 million in fraud losses,
said A.T. Smith, Secret Service assistant director. To nab the
crooks, the agency combed through 867 terabytes of data, which agents
say is equivalent to nearly four times the amount of data in the
archives of the Library of Congress.
The
Secret Service last weekend opened an office in Beijing, adding to
the 23 overseas outposts the agency has established to forge
partnerships with foreign investigators. While it is widely presumed
that China sponsors cyber espionage in America, identity thieves
located all over the world have become an economic drain on both
countries. Federal officials have
said that cooperating with China to tackle online fraud could
help bridge other digital divides, such as differing views on freedom
of expression.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.