Число инцидентов с персональными данными в России в 2013 году выросло более чем вдвое

200

Таковы данные отчета “Безопасность персональных данных в России в 2013 году. Статистика утечек. Отраслевые особенности” российской компании InfoWatch (специализация – информационная безопасность). По данным еще одного исследования на ту же тему “Утечки конфиденциальной информации компании” компании «ZECURION Aаnalytics», Россия нарастила свою долю инцидентов с персональными данными (ПД) в мировом масштабе: в 2013 году на нашу страну пришлось 6% вместо 4% в 2012-м.

За 2013 год InfoWatch зарегистрировала 109 случаев утечки ПД в России, что в 2,2 раза превышает показатели 2012 года. Скомпрометировано 3,1 миллиона записей. 19% утечек ПД пришлись на государственные органы и силовые структуры. Коммерческие и некоммерческие компании в сфере ЖКХ дали 18%, финансово-кредитные организации – 16%.

utechki po otraslyam RF

          Утечки персональных данных из российских компаний

Это не соответствует картине по миру в целом: чаще всего утечки конфиденциальных данных происходят на предприятиях розничной торговли (16,2%), в медучреждениях (16%) и госсекторе (15,5%). Географическое распределение утечек в целом соответствует прошлогоднему профилю — примерно две трети инцидентов приходятся на США, затем идут британцы и канадцы.

Главным каналом утечек в России оказалась бумажная документация, чуть менее 42%, а через Интернет или по локальной сети ПД уходили в 24% случаев.

utechki po kanalam

           Распределение утечек по каналам

Умышленные и случайные утечки в России распределились почти поровну – 49% и 48% соответственно, в 3% случаев определить случайный или преднамеренный характер действий не удалось. Число утечек, где невозможно определить виновного, составило 15%. Ответственность за утечки в основном лежит на конкретном сотруднике компании. 74% случаев утечек ПД связаны с намеренными или неосторожными действиями рядовых сотрудников, в 9% случаев виноват руководитель.

В мире 36,9% фиксируемых утечек стали следствием человеческих ошибок, а не злого умысла.

InfoWatch полагает, что непропорциональное (более чем на 10% превышение среднемирового уровня) число случайных утечек ПД в России свидетельствует о «бумажной» борьбе компаний за безопасность. Операторам ПД отчета перед регулятором сертификат важнее реально работающей системы защиты.

Еще один фактор, негативно влияющий на статистику утечек – пассивность населения, а именно тех, чьи ПД были скомпрометированы по вине компаний и госорганов. Люди не идут в суд, утечки ПД для обывателя стали обычным делом. Между тем разработчики закона о ПД предусмотрели такую возможность и предполагали, что она станет инструментом эффективного влияния на недобросовестных операторов ПД.

Аналитики ZECURION отмечают, что стоит готовиться к увеличению краж данных из банков. Мошеннические схемы с поддельными банковскими картами и онлайн-банкингом становятся у преступников мэйнстримом.

По мнению ведущего эксперта InfoWatch Андрея Прозорова, важным фактором, который может повлиять на изменение количества инцидентов, является повышение штрафов: «В 2013 году повышения штрафов не произошло, но его мы ожидаем в 2014 году. Высока вероятность того, что, в дополнение к существующим штрафам за невыполнение требований по обработке и защите персональных данных, появятся новые. Скорее всего, операторам придется платить за каждый зафиксированный инцидент, возможно, появится норма, обязывающая операторов персональных данных уведомлять Роскомнадзор и других регуляторов обо всех произошедших инцидентах».

Как сообщал D-Russia.ru в августе прошлого года, Совет Федерации готовит поправки в закон «О персональных данных», направленные на усиление ответственности за утечку такой информации. Соответствующий законопроект внесен в Госдуму 21 января этого года. Впрочем, как следует из пояснительной записки, он направлен на совершенствования правового регулирования отношений в области обработки и защиты персональных данных «путём устранения правовых коллизий, пробелов и внедрения новых подходов, которые отвечают мировым практикам и требованиям времени». Усиления штрафных санкций за утечки конфиденциальной информации законопроект не предусматривает.

Непочетный список самых громких российских утечек 2013 года:

Mail.ru. В начале января 2013 года выяснилось, что все файлы, которыми обмениваются пользователи сервиса ICQ, принадлежащего Mail.ru Group, находятся в открытом доступе. Причина – ошибка разработчиков.

МТС. Ещё одна январская утечка, благодаря которой стали общеизвестны интригующие подробности взаимоотношения сотрудников сотового оператора с контент-провайдерами. Речь шла о возможном прикрытии и санкциях к нечистоплотным провайдерам, использующим вредоносное ПО для неправомерного списывания денег со счетов абонентов, уличенных в фишинге, скрывающих стоимость услуг и т. д. Какие решения принимались в каждом из случаев, можно узнать из переписки, теперь доступной в Рунете. Источник утечки неизвестен.

Сбербанк. Конфиденциальные бумажные документы, выброшенные в обычный мусорный бак — распространённый случай утечки в других странах, однако нечасто на такие «мелочи» обращают внимание в России. Весной прошлого года, наконец, обратили. Жители Зеленограда обеспокоились, когда увидели банковские документы, разносимые ветром по дворам. Как выяснилось, документы пропали из ближайшего отделения Сбербанка — уборщица высыпала толстые стопки ненужных бумаг в обычный мусорный бак. Среди них оказались заявления клиентов на выпуск пластиковых карт, заполненные анкеты, подписанные договоры банковского обслуживания, выписки и прочие документы, которые можно классифицировать как банковскую тайну и персональные данные.

Страховая компания «Цюрих». Впечатляющая утечка информации, случившаяся в первой половине 2013 года, угрожала компании многомиллионными убытками. В руки неизвестных злоумышленников попала база данных более чем миллиона клиентов. Она включала сведения обо всех клиентах, заключавших договоры с января 2012 по февраль 2013 года. Самостоятельно найти источник утечки и устранить её последствия в компании не смогли и обратились за помощью в правоохранительные органы. По одной из версий, базу скопировал уволившийся сотрудник. Воры искали покупателя.

ФосАгро. Бывший начальник отдела продаж одного из крупнейших в мире производителей минеральных удобрений нанёс убытки работодателю на сумму более $2 миллионов. Доказательства вины и убытков были получены при расследовании уголовного дела московской прокуратурой. (Кстати, дело стало одним из первых в уголовно-судебной практике по защите коммерческой тайны организаций). Пользуясь служебным положением, сотрудник передавал конфиденциальную информацию заинтересованным иностранным компаниями, в том числе прямым конкурентам холдинга. Среди информации, которую передавал инсайдер, данные об объёмах производства некоторых материалов, условия продажи продуктов, цены, сведения о взаимоотношениях с клиентами и т. д. Злоумышленник успешно шпионил в течение двух лет,