InfoWatch: госсектор лидирует по числу утечек информации

Аналитический Центр InfoWatch представил ежегодное глобальное исследование утечек информации за 2013 г. За этот период было скомпрометировано более 561 млн записей, в том числе финансовые и персональные данные. Обнародованный ущерб, который компании понесли вследствие утечек информации, составил 7,79 млрд долл. При этом считается, что в СМИ освещается не более 4-8% от истинного числа утечек.

По сравнению с предыдущим годом количество зафиксированных инцидентов в мире возросло на 22%; это самый высокий прирост, начиная с 2008 г. Авторы исследования связывают данную тенденцию с повышением прозрачности темы защиты данных в «развитых» с позиции информационной безопасности (ИБ) странах и более широким освещением инцидентов в СМИ. Кроме того, компании и организации изменили отношение к средствам защиты данных: технические решения теперь используются не только для того, чтобы формально выполнить требования регуляторов, но и для реального обеспечения ИБ, что в итоге позволяет компаниям все лучше детектировать инциденты.

В первой тройке по числу утечек присутствуют США (1 место) и Великобритания (3 место) – в этих странах компании обязаны предавать огласке все произошедшие утечки. Хотя Россия таких требований к компаниям не предъявляет, и, как результат, большое число утечек остается «в тени», это не мешает нашей стране занимать вторую строчку в данном списке. Число «российских» инцидентов в 2013 г. выросло на 78% и составило около 12% от общего числа мировых утечек информации.

В 2012 г. аналитики InfoWatch отмечали «бум» утечек из государственных организаций. В 2013-м государственные органы, судя по всему, не изменили своего отношения к проблеме – доля утечек в госсекторе по всему миру выросла и составила 31%.

Своеобразным барометром уровня защищенности информации в той или иной отрасли являются утечки персональных данных (ПДн). По утечкам ПДн в 2013 г. в мире опять-таки стали госорганы и силовые структуры: из организаций этой категории утекло 247 млн записей. На втором месте оказались представители сферы ИТ и телекома (в основном, операторы), которые не уберегли 157 млн записей абонентов. Третье место осталось за торговыми компаниями и сегментом индустрии общественного питания и гостиничного хозяйства (HoReCa).

Эти же сегменты возглавляют список лидеров по размеру ущерба (включая затраты на ликвидацию последствий утечек, судебные разбирательства, компенсационные выплаты), понесенного в результате утечек персональных данных. Исключением стали торговые компании и сфера HoReCa, чей ущерб относительно невелик. А вот медицинские учреждения вышли по сумме потерь на второе место (1 633,92 млн долл.) после государственных (2 507,52 млн долл.).

Аналитики InfoWatch обращают внимание на еще один важный факт: в большинстве отраслей компании среднего размера (до 500 ПК) как по совокупному ущербу, так и по количеству утекших записей ПДн не отстают от крупных. Огромное число утечек происходит из СМБ-организаций. Это говорит о том, что вопрос защиты ПДн от утечек для среднего бизнеса сегодня так же актуален, как и для крупного.

В целом, хотя доля ПДн в общей массе утекающей информации несколько сократилась, в 85% случаев были скомпрометированы именно они. Интересно, что по сравнению с 2012 г. компании в три раза чаще сталкивались с утечками коммерческой тайны и ноу-хау.

Больше чем в половине случаев (в общей сложности около 54%) виновниками утечек информации в 2013 г. были сотрудники компаний – настоящие или бывшие. Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). Топ-менеджмент, главы отделов и департаментов, напротив, были более аккуратны с информацией и лояльны работодателю – по их вине произошло только в 6,7% инцидентов.

Утечки информации, совершенные со злым умыслом, происходили примерно так же часто, как и те, что были вызваны халатностью сотрудников. При этом доля инцидентов, в которых определить умысел невозможно, сократилась. Авторы исследования связывают это с более широким распространением технических средств защиты от утечек (в том числе решений класса DLP), которые позволяют точно определить виновника и сценарий инцидента.