Утечки встали на поток

Объем скомпрометированных конфиденциальных данных в России вырос в 100 раз за год

В России в 2016 году было зафиксировано 213 случаев утечки информации, в результате чего было скомпрометировано 128 млн записей конфиденциальных данных, в том числе относящихся к банковским картам и счетам, а также другая критическая информация. Об этом говорится в ежегодном исследовании группы компаний InfoWatch (есть у РБК), специализирующейся на корпоративной информационной безопасности. Исследование проводилось на основе собственной базы аналитического центра InfoWatch, состоящей из анализа публичных сообщений об утечках.

По сравнению с 2015 годом число утечек увеличилось на 89%, а объем скомпрометированных данных вырос более чем в 100 раз.

Аналогичное исследование, посвященное общемировой ситуации, группа публиковала в марте. По числу утечек Россия оказалась на втором месте в мире с долей 14% от общего количества утечек в 2016 году. При этом доля утечек платежной информации в России оказалась ниже, чем в остальном мире, выяснили специалисты InfoWatch: 2,8 против 7,3%. Тогда как на компрометацию коммерческой тайны и ноу-хау пришлось 12,3 против 5,4% в мире.

В InfoWatch объясняют это тем, что в российских финансовых учреждениях уделяется достаточное внимание информационной безопасности, тогда как в промышленных компаниях, где ценным активом является именно коммерческая тайна, пока еще нет.

Для России характерна более высокая по сравнению с остальным миром доля «квалифицированных» утечек данных — случаев, когда злоумышленник осознанно использует украденную им информацию в целях личной выгоды или получает доступ к не предназначенным ему данным. В России этот показатель составляет 25,8%, в мире — 17,3%. По мнению InfoWatch, причиной этому служит низкий уровень культуры информационной безопасности: сотрудники зачастую «забывают», что результат их труда принадлежит работодателю. Еще одна проблема связана с тем, что в России люди, имеющие доступ к закрытым данным, «зачастую, без всяких сомнений, используют свое служебное положение в личных целях», говорится в исследовании.

Основными каналами утечек в 2016 году стала сеть (браузер) и бумажная документация — на них приходится 64 и 26% случаев соответственно. Примечательно, что в России до сих пор актуальны сценарии утечек, при которых используются бумажные носители информации, среди них случаи, когда различные организации вывешивают на подъездах домов списки должников с их персональными данными или банки и страховые компании неправильно утилизируют копии паспортов.

По числу утечек данных в России лидируют госорганы (21,6%), высокотехнологичные компании (14,65), образовательные учреждения (13,6%) и банки (11,75). В мире лидерство принадлежит медучреждениям — более 25% случаев. Специалисты InfoWatch связывают это с относительной доступностью этих данных и их привлекательностью для злоумышленников.

Каждый десятый «слив» данных в России произошел из компаний, работающих в сегменте малого бизнеса. Среди причин — недофинансирование, низкий уровень культуры обращения с информацией ограниченного доступа, недостаточный контроль персонала, считают специалисты InfoWatch.

Две трети утечек в России происходит по вине сотрудников организации, которые имеют доступ к конфиденциальным данным, зафиксировали эксперты InfoWatch. В 2015 году на долю сотрудников организаций пришлось 84% утечек, в 2016 году — уже 65%. По миру аналогичный показатель равен 52 и 34% соответственно, отмечается в исследовании.

Вершина айсберга

В 2016 году компания SearchInform, которая также специализируется на защите бизнеса от утечек информации, провела анонимный опрос среди 3057 специалистов и экспертов по информационной безопасности из 23 городов России и зафиксировала, что 49% респондентов столкнулись с утечками информации. При этом 34% респондентов отметили, что в их компании нет специализированного программного обеспечения для защиты данных, то есть попросту невозможно отследить попытки кражи информации, сообщил ведущий аналитик SearchInform Алексей ​Парфентьев. «Та часть утечек, которая сегодня становится известна широкой общественности через СМИ, соцсети и форумы, — это лишь вершина айсберга. Реальная ситуация намного хуже», — отметил он.

При этом эксперт согласился с утверждением InfoWatch, что большая часть инцидентов обусловлена действиями изнутри, а не внешним вмешательством.

Менеджер по развитию бизнеса Solar Security Василий Лукиных предположил, что рост объема утечек в России в 100 раз можно объяснить тем, что в 2016 году СМИ просто уделяли большее внимание этой проблеме в связи с ситуацией в мире.

В свою очередь, менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум отметил, что за последние годы в России наблюдается стабильный рост именно зарегистрированных случаев утечек информации. «Это связано как с ужесточением законодательства и ответственности за утечки персональных данных, которые крадут чаще всего, так и с ростом автоматизации бизнес-процессов компаний, из-за чего данные легче украсть или (намеренно или ненамеренно) разгласить», — рассказал Керценбаум. При этом в «Лаборатории Касперского» считают, что фактическое число утечек информации в России сокращается в последние годы.

InfoWatch в своем отчете не приводит оценку общего ущерба от утечек, лишь некоторые примеры. Так, ущерб, причиненный производителю искусственных сапфиров «Монокристалл» от передачи конкурентам сведений, составляющих коммерческую тайну, оценивается в сумму не менее 14 млн руб. Еще один пример, когда сотрудник одного из банков, используя персональные данные клиента, оформил на его имя и без его ведома целевой потребительский кредит и потратил его на покупки меховых изделий на сумму около 130 тыс. руб.

При этом эксперты сходятся в невозможности оценить общий ущерб от утечек. По словам Керценбаума, только на ликвидацию одного инцидента по информационной безопасности компания сектора среднего и малого бизнеса тратит в среднем 1,6 млн руб., крупные предприятия — 20 млн руб. «Средний ущерб зависит от действующего законодательства в области защиты данных. Такие параметры, как простои в работе персонала, снижение производительности, репутационные потери и утрата активов (включая объекты интеллектуальной собственности), практически не поддаются исчислению», — пояснил менеджер по группе продуктов ESET в России Сергей Кузнецов.

Исследовательская компания Ponemon Institute, специализирующаяся на кибербезопасности, оценивает средний объем потерь компаний по миру от утечек в $4 млн за один инцидент, а утечка каждой украденной учетной записи обходится в среднем от $158 (в здравоохранении — до $355).

Не показатель

Не все согласны с данными InfoWatch. Независимый эксперт по информационной безопасности Алексей Лукацкий указывает на несовершенство методики проведения исследования. «По сути, мы имеем дело с неаудируемой отчетностью, которой можно верить или не верить «на слово». Число утечек в России стало больше потому, что стали хуже обстоять дела с безопасностью? Или потому, что авторы стали анализировать больше источников данных? Или потому, что жертвы стали чаще сообщать об утечках? Без ответа на эти вопросы строить какие-то выводы невозможно», — указал Лукацкий.

В методологии исследования InfoWatch оговаривается, что оно охватывает не более 1% случаев предполагаемого совокупного количества утечек. Однако в компании считают, что подобраны случаи утечек, которые делают репрезентативную выборку и позволяют судить о количестве и типах утечек в целом.

Число случаев компрометации данных действительно сложно оценить, отмечает Алексей Парфентьев из SearchInform. «Огромное количество утечек информации скрывается, отрицается и опровергается. По результатам нашего опроса, 82% респондентов заявили, что компания скрывает утечки информации, если они происходят из-за репутационных рисков, штрафов, возможных компенсаций по судебным искам от клиентов и т.д.», — рассказал он.​

Ирина Ли

Источник: “РБК”

Ранее

«Моя личная жизнь никого не касается»

Далее

В Севастополе ветеранам выдали по одной квартире на двоих

ЧТО ЕЩЕ ПОЧИТАТЬ:
Яндекс.Метрика Рейтинг@Mail.ru