Российская компания-разработчик систем защиты корпоративной информации выпустила аналитический отчет по утечкам конфиденциальной информации в первом полугодии 2015 года.
За отчетный период в мире обнародовано (в СМИ и иных источниках) и зарегистрировано аналитическим центром InfoWatch 723 случая утечки конфиденциальной информации, что на 10% превышает количество утечек, зарегистрированных за аналогичный период 2014 года.
По данным компании, на долю средних и малых компаний (до 500 ПК) пришлось 86% утечек, при доле крупных – 9%. Среди крупных компаний, столкнувшихся с утечками, специалисты называют Apple, AT&T, British Airways, Google, HTC, JP Morgan Chase, Kia Motors, Lenovo, Lufthansa, Microsoft, Morgan Stanley, NVIDIA, PayPal, PwC, Samsung, Starbucks, Tele2, Toyota, Twitter, Uber, United Airlines, Yahoo, ВТБ-24, МТС, РЖД, СОГАЗ и др.
Специалисты InfoWatch, по их словам, за весь период наблюдений впервые столкнулись с ситуацией, когда объем данных, скомпрометированных компаниями среднего размера, в несколько раз превысил объем данных, скомпрометированных крупными компаниями. Однако в некоторых областях (торговля, медицина), такая ситуация наблюдалась еще год-два назад. Современные средства защиты от утечек слишком дороги для среднего бизнеса, что выливается в огромные объемы скомпрометированных данных — записи о сотрудниках, клиентах и пр., констатируют специалисты.
Наибольший объем скомпрометированных данных пришелся на высокотехнологичные компании (включая интернет-сервисы). Со знаком минус «отличились» госорганы, торговые компании, медицина.
В первом полугодии 2015 года авторы исследования выявили две разнонаправленные тенденции на каналах, которые можно контролировать с помощью технических средств защиты. Сокращается доля утечек по каналам «потеря оборудования» (минус 3 п.п.), «электронная почта» (минус 4 п.п.), «бумажные документы» (минус 4 п.п.). Доли утечек через съемные носители, через мобильные устройства, текстовые и видеосообщения остались на уровне первого полугодия 2014 года.
С другой стороны, выросла доля «сетевого» канала (+1 п.п.). Наблюдался рост числа случаев, когда невозможно точно определить, по какому каналу «ушла» информация. Доля таких утечек (категория «не определено») составила 31%, рост к данным 2014 года — 10 п.п.
Доля утечек не всегда отражает размер опасности, связанный с конкретным каналом, отмечают авторы доклада. Так, по каналу «мобильные устройства» регистрируется 0,4% утечек. Но достаточно одного случая утечки критически важной информации по данному каналу, чтобы у организации возникли серьезные проблемы.
В первой половине 2015 года доля утечек из государственных организаций снизилась на 12 п.п. и составила 17%. До 75% выросла доля утечек из коммерческих компаний.
90% утечек связаны с компрометацией персональных данных. За исследуемый период скомпрометированы более 262 миллионов записей, в том числе платежная информация.
За первое полугодие 2015 году зафиксировано 8 «мега-утечек». В результате каждой «утекло» более 10 миллионов персональных данных. На «мега-утечки» пришлось 83% всех скомпрометированных записей.
В 58% случаев виновными в утечке информации оказались сотрудники компаний. В 1% случаев — высшие руководители организаций.
Транспортные компании, наряду с интернет-сервисами, ретейлерами и медицинскими учреждениями, являются основным источником утечек персональных данных.
Россия заняла второе место по числу утечек, ставших достоянием общественности. В исследуемый период зарегистрировано 59 случаев утечки конфиденциальной информации из российских компаний и государственных организаций. Число «российских» утечек по сравнению с аналогичным периодом 2014 года сократилось на 39%.
Авторы исследования отмечают, что глобальная картина утечек данных с незначительными изменениями характерна для всех стран, где оперируют информацией в электронном виде. Различия между регионами и странами коренятся в ментальной плоскости, в вопросах восприятия утечек данных, в оценке последствий, возможного ущерба, опасности утечек.
[/box]
В распределении утечек по регионам в первом полугодии 2015 года США традиционно заняли первую позицию по количеству утечек (430 или 59% от всех произошедших). Россия оказалась на уже привычном втором месте (59 утечек), которое досталось нашей стране еще по итогам первого полугодия 2013 года. На третьем месте — Канада (39 утечек).
Российская картина утечек приближается к американской, отмечают исследователи. Многомиллионных утечек данных под воздействием внешних атак в России пока не зафиксировано. А вот мошенничество с чужими персональными данными в исполнении сотрудников банков, страховых компаний, салонов сотовой связи происходит чуть ли не ежедневно.
Как отмечают исследователи, в России сложно представить, что пострадавшие от утечек персональных данных обратятся в суд с коллективным иском о возмещении ущерба. Между тем это обычная практика для тех же США. Иногда размер компенсации в расчете на одного пострадавшего невелик.
В отчете приводится пример: аппарат Совета Федерации в сентябре 2014 года разместил на официальном портале государственных закупок реквизиты паспортов 164 из 170 членов верхней палаты парламента. Однако сенаторы не считают произошедшее «серьезным преступлением». Николай Власенко, представляющий в СовФеде Калининградскую область, сомневается, что может наступить ответственность за публикацию паспортных данных сенаторов. Сам он не придает этому большого значения. «Плохо, конечно, что опубликовали. Но в наш информационный век это секрет Полишинеля», — цитирует сенатора РБК.
[box] Комментарий Сергея Хайрука, аналитика компании InfoWatchНа бытовом уровне для понимания того, насколько надежно защищены данные в государственных органах, совсем не обязательно проводить масштабные исследования. Достаточно съездить на ближайший радиорынок, где в изобилии представлены базы данных практически всех федеральных служб и ведомств. Это, по меньшей мере, означает, что в России к защищенным (по идее) данным доступ третьих лиц не только возможен, но и периодически осуществляется.
И у нас, и в Штатах жертвами утечки в 2015 году (да и за весь период наблюдения) стали весьма «солидные» учреждения. Примеры — ФСКН, Кадровое управление правительства. О наказании виновных в случае утечек в госорганах не сообщается в большинстве случаев.
Защита данных (в том числе персданных граждан) рассматривается госорганами всего мира как обременение. Если отсутствует реальное наказание за утечку (в виде штрафов), стимул для повышения уровня защиты также отсутствует.
Можно характеризовать уровень защиты данных в госучреждениях России как достаточный (с позиций учреждений) и явно недостаточный (с позиции, например, субъектов персональных данных). Решение проблемы, скорее всего, в плоскости ужесточения требований к системам защиты данных в госорганах, увеличения штрафов за компрометацию данных». [/box]
Методология
Исследование основывается на собственной базе данных, пополняемой специалистами аналитического центра InfoWatch с 2004 года. В базу центра включаются публичные сообщения о случаях утечки информации из коммерческих и некоммерческих (государственных, муниципальных) организаций вследствие злонамеренных или неосторожных действий (бездействия) сотрудников, иных лиц. База утечек InfoWatch насчитывает несколько тысяч зарегистрированных инцидентов.
Исследование охватывает не более 1% случаев от предполагаемого совокупного количества утечек. Однако критерии категоризации утечек подобраны так, чтобы исследуемые множества (категории) содержали достаточное или избыточное количество элементов (фактических случаев утечки). Такой подход к формированию поля исследования позволяет считать получившуюся выборку достаточной для выявления и прогнозирования закономерностей на всей совокупности утечек, сказано в сообщении.
Полное исследование см. здесь >>>
См. также исследование Zecurion о влиянии экономического кризиса на рынок ИБ в России >>
