В первом полугодии 2016 года в мире обнародовано и зарегистрировано аналитическим центром InfoWatch 840 случаев утечки конфиденциальной информации, что на 16% превышает количество утечек, зарегистрированных за аналогичный период 2015 года. Доля утечек из государственных организаций возросла на 2 п. п. и составила 20%, свидетельствует отчет InfoWatch.
Также в первом полугодии 2016 эксперты впервые столкнулись с компрометацией персональных данных в результате действий политических «хактивистов». Таким образом тема утечек данных пришла не только в бизнес, но и в политику, став, например, одним из заметных сюжетов текущей американской избирательной кампании, говорится в отчете.
В результате утечек скомпрометировано 1,06 миллиона персональных данных — номера социального страхования, реквизиты пластиковых карт, иная критически важная информация.
Внешние атаки стали причиной 33% утечек данных. В 67% случаев утечка данных произошла под воздействием внутреннего нарушителя. Ранее на протяжении нескольких лет эксперты отмечали постепенное увеличение доли утечек под воздействием внешних атак. В исследуемом периоде доля утечек под воздействием внешних атак увеличилась всего на 1 п.п. Таким образом, сделанный ранее прогноз на долгосрочный рост доли утечек под воздействием внешнего злоумышленника не оправдался. Это, впрочем, не отменяет вывода исследований предыдущих лет о том, что «внешние утечки» по своей природе более разрушительны, чем утечки данных, спровоцированные внутренним нарушителем, говорится в отчете.
Так, из зафиксированных в первом полугодии 2016 года 23 «мега-утечек» (в результате каждой «утекло» более 10 миллионов персональных данных) 16 были спровоцированы внешними атаками. На «мега- утечки» приходится 982 миллиона записей о персональных данных, скомпрометированных в результате утечек в рассматриваемый период (92% от общего числа). Своеобразной визитной карточкой нынешнего предвыборного цикла становятся многомиллионные утечки данных избирателей.
Распределение утечек по виновнику за год практически не изменилось. Доля утечек под воздействием внешнего злоумышленника снизилась на 4 п.п. и составила 30%. В 67% случаев виновниками утечек информации были настоящие или бывшие сотрудники — 66% и 1% соответственно. Менее чем в 1% случаев зафиксирована вина руководителей организаций (топ-менеджмент, главы отделов и департаментов). Доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации, составила 2%.
Действия злоумышленников в основном укладываются в два сценария – кража личности (identity theft), в результате чего украденные персональные данные используются для получения кредитов, налоговых вычетов и пр., и хищение клиентских баз – агрегированных сведений о контрагентах компании, как правило, по заказу или в интересах конкурентов.
В 2016-м году доля утечек данных, сопряженных с последующим использованием скомпрометированной информации в целях мошенничества (банковский фрод), снизилась и составила 8%. Доля утечек данных, сопряженных с неправомерным доступом к информации (злоупотребление правами доступа, внутренний шпионаж), составила 11%.
В первой половине 2016 года доля утечек из государственных организаций возросла на 2 п.п. и составила 20%. До 80% снизилась доля утечек из коммерческих компаний.
Чаще всего утечки фиксировались в медицине (23%), реже всего в муниципальных учреждениях (менее 3%). По объему скомпрометированных записей пальму первенства удерживают компании высокотехнологичного сегмента (интернет-сервисы, крупные порталы). На утечки из госорганов приходится 15% совокупного объема скомпрометированных данных, на утечки из муниципальных учреждений – 14%.
Россия заняла второе место по числу утечек, ставших достоянием общественности. В исследуемый период зарегистрировано 110 случаев утечки конфиденциальной информации из российских компаний и государственных организаций. Первое место традиционно заняли США (451 утечка или 54% от всех произошедших). На третьем месте — Великобритания — 39 утечек.
В странах, где персональные данные в электронном виде позволяют быстро и удобно получить государственные и прочие услуги, заменяют бумажные документы, велика вероятность, что эти данные будут использоваться неправомерно, говорится в отчете. Пример – США, где кража личности давно превратилась в обыденное преступление. Причем за кражей личности стоят, как правило, не квалифицированные хакеры, а обычные люди – медсестры, официанты, полицейские, — которые всего лишь хотят подзаработать немного денег на использовании чужих данных.
В менее развитых регионах ситуация иная. В количественном выражении утечек значительно меньше, но их масштаб, характер вполне сопоставим с «лучшими образцами» западного мира.
