Аналитический Центр InfoWatch представил ежегодное глобальное исследование утечек информации за 2013 год.
За этот период было скомпрометировано более 561 млн записей, в том числе финансовые и персональные данные. Обнародованный ущерб, который компании понесли вследствие утечек информации, составил 7,79 млрд долларов. При этом отмечается, что в СМИ освещается не более 4-8% от истинного числа утечек.
По сравнению с предыдущим годом количество зафиксированных инцидентов в мире возросло на 22%; это самый высокий прирост, начиная с 2008 года. Авторы исследования связывают данную тенденцию с повышением прозрачности темы защиты данных в «развитых» с позиции ИБ странах и более широким освещением инцидентов в СМИ. Кроме того, компании изменили отношение к средствам защиты данных. Теперь технические решения используются не только для того, чтобы формально выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. В итоге это позволяет компаниям все лучше детектировать инциденты.
Таким образом, предсказуемо, что в первой тройке по числу утечек присутствуют США (1 место) и Великобритания (3 место) – в этих странах компании обязаны предавать огласке все произошедшие утечки. Хотя Россия таких требований к компаниям не предъявляет, и, как результат, большое число утечек остается «в тени», это не мешает нашей стране занимать вторую строчку в списке. Число «российских» инцидентов в 2013 году выросло на 78% и составило около 12% от общего числа мировых утечек информации.
В 2012 году аналитики InfoWatch отмечали «бум» утечек из государственных организаций. В 2013 государственные органы не изменили своего отношения к проблеме – доля утечек в госсекторе по всему миру выросла и составила 31%.
Своеобразным барометром уровня защищенности информации в той или иной отрасли являются утечки персональных данных. Если говорить о лидерах по утечкам ПДн в 2013 году, то ими стали опять-таки госорганы и силовые структуры. За это время из организаций этой категории утекло 247 млн записей. На втором месте оказались представители сферы ИТ и телекома (в основном, операторы), которые не уберегли 157 млн записей абонентов. Третье место осталось за торговыми компаниями и сегментом HoReCa.
Эти же сегменты возглавляют список лидеров по размеру ущерба (включая затраты на ликвидацию последствий утечек, судебные разбирательства, компенсационные выплаты), понесенного в результате утечек персональных данных. Исключением стали торговые компании и сфера HoReCa, чей ущерб достаточно невелик. А вот медицинские учреждения вышли по сумме потерь на второе место ($1 633,92 млн) после государственных ($2 507,52 млн).
Аналитики InfoWatch обращают внимание на еще один важный факт: в большинстве отраслей компании среднего размера (до 500 ПК) как по совокупному ущербу, так и по количеству утекших записей ПДн не отстают от крупных. Огромное число утечек происходит из СМБ-организаций. Это говорит о том, что вопрос защиты ПДн от утечек для среднего бизнеса сегодня так же актуален, как и для крупного.
В целом, хотя доля ПДн в общей массе утекающей информации несколько сократилась, в 85% случаев были скомпрометированы именно они. Любопытно, что по сравнению с 2012 годом компании в три раза чаще сталкивались с утечками коммерческой тайны и ноу-хау.
В большинстве случаев (в общей сложности около 54%) виновниками утечек информации в 2013 году были сотрудники компаний – действующие или бывшие. Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). Топ-менеджмент, главы отделов и департаментов, напротив, были более аккуратны с информацией и лояльны работодателю – они были виновны только в 6,7% инцидентов.
Утечки информации, совершенные со злым умыслом, происходили примерно так же часто, как и те, что были вызваны халатностью сотрудников. При этом доля инцидентов, в которых определить умысел невозможно, сократилась. Авторы исследования связывают это с более широким распространением технических средств защиты от утечек (в том числе решений класса DLP), которые позволяют точно определить виновника и сценарий инцидента.
«Российские компании и граждане все чаще сталкиваются с тем, что давно стало реальностью для более зрелых в плане информационной безопасности западных стран, – считает Сергей Хайрук, аналитик компании InfoWatch. — Например, мошенничество с использованием персональных данных еще три-четыре года назад было распространено большей частью в США. Сегодня и в нашей стране никого не удивляют сообщения о «краже личности» – сотрудники банков оформляют кредиты, используя украденные паспортные данные россиян. Глобальный характер киберпреступности сводит на нет все разговоры о возможности «собственного» пути развития ИБ в различных странах. Необходимо уже сейчас понять, что и в России, и по миру в целом ситуация с защитой персональных данных и иной конфиденциальной информации изменится к лучшему лишь в том случае, если компании будут отвечать рублем и репутацией за факт утечки, а не за нарушение подчас искусственных требований регуляторов».