• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Утечки растут по всем параметрам

Обнародованный в СМИ ущерб (затраты на ликвидацию последствий утечек, судебные разбирательства, компенсационные выплаты), который понесли компании вследствие утечек информации в I полугодии 2013 года, составляет 3,67 млрд долларов.

За I полугодие 2013 года Аналитическим Центром InfoWatch зарегистрировано 496 (2,7 в день, 82,6 в месяц) случаев утечки конфиденциальной информации. Это на 18% больше, чем за аналогичный период 2012 года (419 утечек). В исследуемый период динамика роста утечек была на 2 процентных пункта (п. п.) выше, чем в 2012 году (тогда рост к 2011 году составил 16%). Если такая динамика сохранится, в 2013 году число утечек может впервые за годы наблюдений превысить отметку в 1000 случаев.

Данный фактор актуален и для России. По сравнению с аналогичным периодом 2012 года, число «российских» утечек в первом полугодии 2013 выросло на 27%. Зарегистрировано 42 случая утечки информации из российских компаний и госорганов.

Баланс умышленных и случайных утечек несущественно отличается от картины, выявленной в прошлом году. Доля умышленных утечек выросла на 3 п. п. Доля случайных увеличилась на 8 п. п. Рост долей утечек обоих типов произошел за счет сокращения и перераспределения доли утечек категории «не определено». Соответственно, доля утечек этой категории снизилась.

Соотношение случайных и намеренных утечек, начиная с 2008 г., колеблется, но остается примерно одинаковым.

9% утечек в категории «не определено» (43 зарегистрированных случая за исследуемый период) – это немало, отмечают в InfoWatch. Снижение доли утечек этой категории, скорее всего, продолжится, но сама категория «неопределенных» утечек не исчезнет – зачастую установить, была утечка умышленной или случайной, объективно не представляется возможным. Например, когда речь идет о краже ноутбуков, потере мобильных устройств или флешек. Не всегда ясно, действительно потерян носитель, или его владелец заявил об этом, чтобы скрыть факт разглашения конфиденциальных данных.

Защититься от утечки типа «потеря устройств» или «кража носителей» можно лишь в случае, если организация занимает твердую позицию в вопросе политики использования мобильных носителей. Например, можно запретить использование мобильных носителей вообще или обязать использовать только шифрованные носители информации, принудительно шифровать информацию на корпоративных ноутбуках. Но на это идут далеко не все.

Так, исследование Sony's VAIO Digital Business показало,что в Великобритании за последние 12 месяцев было потеряно более 1 млн ноутбуков,содержащих ценные корпоративные данные организаций. При этом 46% респондентов сообщили, что они намеренно игнорируют политикибезопасности компании и продолжают использовать личные устройства, если фирма предлагает использовать нестандартные, поих мнению, технологии.

Аналитики обращают внимание, что кража или поетря оборудования остается самым популярным каналом утечек – 29,2% от общего числа, - хотя доля этого канала немного сократилась Также сократилось количество утечек по «неопределенным» каналам и через съемные носители, а вот доля утечек через бумажные документы, электронную почту и через Сеть напротив, возросла.

«Наблюдается удивительная ситуация: если канал контролируется лучше, утечки по этому каналу регистрируются чаще – компании обнаруживают утечки, которые они ранее не замечали», - говорят в InfoWatch.  

Доля утечек в госорганах и муниципальных учреждениях по всему миру остается стабильно высокой – 30%. Именно госорганы, наряду с медицинскими учреждениями, являются основным источником утечек персональных данных.

Рост доли «коммерческих» утечек произошел за счет сокращения доли утечек из компаний «неопределенной» категории. Ретроспективный же анализ количества утечек по этому параметру дает нам следующую картину

Если судить по приведенному графику, то «бум» «государственных» утечек 2012-2013 годов выглядит неожиданным. Причем большинство утечек связано с компрометацией персональных данных (ПДн).

Распределение утечек по типу данных приведено ниже. Еще год назад говорилось о снижении доли ПДн в общей картине утечек (до 89,4%). Но теперь утечек персональных данных вновь стало больше (93,8%).

С учетом самых крупных утечек (120 млн записей, утекших из Минфина Греции, 60 млн медицинских записей, скомпрометированных американской Службой внутренних доходов (Internal Revenue Service), ряд других случаев) количество утечек переваливает за 258 млн записей, утекших из различных организаций за первое полугодие 2013 года. (в выборку не включены крупнейшие утечки во избежание неверного представления отраслевой картины утечек. Также из статистики исключены случаи, когда «утекло» менее 100 записей).

Впрочем, в отличие от утечек сведений, составляющих коммерческую или государственную тайну, утечки персональных данных обычно «обходятся» компаниям-владельцам информации дешевле. Так, лишь один случай кражи технологий может привести к многомиллионным убыткам. А применительно к персональным данным ущерб в сотни миллионов долларов представить все-таки сложно. «Однако именно утечки персональных данных являются своеобразным барометром уровня защищенности информации в той или иной отрасли», - говорят аналитики, так что ситуация с безопасностью информации, прямо скажем, тревожная.

В целом, количество утечек персональных данных из компаний среднего (от 50 до 500 ПК) размера и число скомпрометированных записей немногим отличаются от количества утечек и числа записей, связанных с крупными компаниями.  А в некоторых отраслях (ИТ и телекоммуникации) даже превосходят.

В распределении утечек по регионам в I половине 2013 года США традиционно заняли первую позицию по количеству утечек (312 или 62,9% от всех произошедших). Доля Америки по сравнению с предыдущим годом увеличилась на 5 п. п. Сюрпризом стало второе место России (42 утечки), которой удалось на 1 утечку опередить Великобританию. Традиционно в первой пятерке оказались Канада и Новая Зеландия. Еще одна неожиданность – шестое место Германии с 13 зафиксированными утечками.

Оставить свой комментарий:

Комментарии по материалу