Утечки информации в мировом и российском масштабе
Галина Большова,
внештатный эксперт «Бестселлеров IT-рынка»
В начале 2013 г. аналитический Центр компании InfoWatch на основе опубликованных в СМИ в 2012 г. данных выпустил ежегодное глобальное исследование утечек информации, а позднее, в апреле 2013 г. — аналогичную работу о ситуации в российских компаниях и госучреждениях.
Общие закономерности и региональные особенности
Согласно данным глобального исследования (о его методологии см. врезку), в 2012 г. было скомпрометировано более 1,8 млрд записей, в том числе финансовые и персональные данные, а в СМИ было обнародовано 934 случая утечки конфиденциальных данных, что на 16% превышает показатель предыдущего года. При этом выявилась ожидаемая неоднородность картины утечек, как регионального, так и отраслевого характера.
Распределение утечек по странам в этом году неожиданностей не принесло. США оказались на первом месте как по количеству (576 или 61,7% от всех утечек), так и по агрегированному показателю (утечка на душу населения). Второе место удерживает Великобритания (97 или 10,3%). Третье место за Россией (74 или 7.9%). Наша страна не впервые входит в число лидеров. В 2011 г. третье место досталось Канаде, а вот годом ранее, в 2010-м символическая «бронза» также принадлежала РФ.
В целом 2012 г. можно назвать годом утечек в государственных компаниях. Тренд, характерный для всего мира, проявился и в России. Увеличение доли госструктур в распределении источников утечек говорит о недостаточном внимании к проблемам защиты информации в госсекторе во всем мире. Российское отличие в одном: «наши» утечки из государственных органов мало связаны с ростом мобильности служащих (утечка информации через мобильные устройства в РФ пока практически не отмечается), хотя с увеличением количества смартфонов и планшетов в инфраструктуре госучреждений эта тенденция проявится и у нас.
Общемировой объем утечек в 2012 г. вырос на 16%, составив 934 случая утечки. Динамика роста количества утечек в мире, приведенная на рис. 1, показывает, что самый высокий всплеск количества утечек отмечался в 2009 г., когда их число по сравнению с кризисным 2008 г. выросло на 40%. Это было связано с общим снижением уровня информационной безопасности на фоне экономического спада.
В 2012 г. в России было зафиксировано и обнародовано в СМИ 74 случая утечки конфиденциальных данных, что составляет 7,9% от их общемирового количества и это примерно в 6 раз больше, чем годом ранее.
Более чем шестикратный рост числа утечек в России объясняется перераспределением долей публичных и непубличных инцидентов, т. е. ростом доли «видимых» утечек. Реальных утечек не стало больше в шесть раз, и темпы роста числа реальных российских утечек вполне коррелируют с общемировыми. Причина такого явного роста — интерес общества и СМИ к данной проблеме, плюс осознание реальности финансовых потерь вследствие утечки платежных и клиентских данных.
Зло или случай?
К разряду злонамеренных в мире отнесены 46% утечек, в то время как в РФ — 77%. Это наша региональная особенность. Хотя в какой-то мере это лишь следствие повышенного внимания СМИ к «персонализации», поскольку читатель больше интересуется не тем, «что произошло», а тем «кто виноват», а потому безымянные истории о случайном обнародовании персональных данных чрезвычайно редки.
Баланс умышленных (злонамеренных) и случайных утечек в России в сравнении с общемировой картиной отличается очень сильно. Явно злонамеренный характер носят 77% всех российских утечек, в то время как в общемировом распределении уже примерно 10 лет наблюдается почти паритет—50% на 50% (без учета утечек неопределенной природы).
Малая доля случайных утечек характерна для сегментов с высоким уровнем информационной безопасности (банки, телеком-операторы). Так, в банковской сфере доля злонамеренных утечек составила 100%.
В нашей стране общественный спрос на «жареные» новости рождает и большую часть сообщений об умышленной краже информации или злонамеренном обнародовании данных, поэтому так велик и процент. В мире же, особенно в англосаксонских странах, утечка становится достоянием гласности вне зависимости от ее «окраски». По самым незначительным фактам нарушения закона, определяющего нормы и правила защиты информации, выпускаются сообщения уполномоченных лиц (например, окружных прокуроров штатов в США). Поэтому картина утечек получается более гладкой.
В России всего 5% инцидентов признаны неопределенными, т. е. не установлено, была утечка умышленной или случайной (чаще всего — при утрате мобильных носителей: ноутбуков, планшетов, флэшек).
Эксперты считают, что подавляющий процент умышленных утечек с большой вероятностью не связан со зрелостью российских компаний и государственных органов. Дело, скорее, в социальном «заказе» со стороны читателей и зрителей, вынуждающем СМИ акцентировать внимание на утечках «с умыслом».
Где «плохо лежит»?
На утечки из госучреждений в мире приходится 29%, в РФ — 38%, доля утечек в российских коммерческих организациях также выше мировой и составляет 47%.
Самый популярный канал утечек в мире и РФ — бумажная документация, составляющая 28,4% всех утечек, лидирующий тип утечек — персональные данные — 65%
Соотношение российских и мировых утечек по источникам (организациям, допустившим утечку) в целом сопоставимо. Хотя есть и структурные различия. В мировом масштабе наблюдается довольно высокий процент утечек с неясным источником (там, например, номера соцстрахования обрабатывает множество организаций и компаний), в России же сообщения об утечках в большинстве своем привязаны к конкретным хозяйствующим субъектам или госструктурам.
Высокая доля утечек из госучреждений в мире и в России заставила назвать 2012 г. годом госутечек. В мире эта доля составляет 29%, а в России — 38%. При этом она растет год от года. Весьма возможная причина — задержки внедрения технологий защиты от утечек в забюрократизированных структурах.
Утверждение, что коммерческие компании более серьезно относятся к защите информации, справедливо и для нашей страны. В мировом масштабе доля «коммерсантов» в картине утечек стабильно падает (минус 5% по сравнению с 2011 г.). В России динамику пока оценить сложно, но ясно одно: компании, несущие реальные убытки от утечек информации более заинтересованы в защите данных, чем бюджетные или образовательные учреждения.
Конкретные цифры распределения «по источникам» по России и миру достаточно похожи, а отличия объясняются развитостью ИТ в соответствующих отраслях и менталитетом. Так, в телекоммуникационных компаниях процент традиционно низкий — 7% по миру и 11% — в России. В медицине, где РФ явно отстает по ИТ-оснащению, доля злонамеренных утечек составляет 18%, тогда как в мире — 33%.
Утечки данных от мировых финансистов составляют 22%. А вот российские банки очень небезопасны (доля умышленных утечек 34%), с учетом неопределенных случаев четверть всех банковских утечек в мире приходится на российские кредитные учреждения. И это при том, что доля российских утечек (7,9%) в общемировой картине совсем не высока.
Что чаще утекает?
Наиболее интересен российский «типовой ландшафт» утечек по сравнению с типами данных, пропадающих на мировых просторах. Для наглядности различные виды конфиденциальной информации (служебная, врачебная) были объединены в одну категорию «персональные данные», поскольку именно с их компрометацией были связаны конкретные случаи нарушения или разглашения разных тайн. Коммерческая информация (тайна) оставлена в отдельной категории, поскольку ее разглашение несет компаниям наибольший материальный ущерб.
В категорию «коммерческая тайна» в РФ попало чуть больше четверти всех инцидентов, в то время как по миру доля случаев с утечкой коммерческой тайны не превышает 6%. Это указывает на явный недостаток внимания российских компаний к защите собственных секретов. В категории персональные данные «мир» оказался впереди России: 89% и 65% соответственно. Но вот гостайна в родном отечестве хранится несколько хуже, чем секреты других государств: 8% утечек по РФ против 6% по миру.
Существенные доли утечек, связанных с коммерческой тайной, объясняются, в том числе, и тем, что в большинстве случаев огласка факта утечки коммерческой тайны имеет под собой желание пострадавшей стороны вывести инцидент в юридическую плоскость. Кража коммерческой тайны попадает под действие административного или уголовного законодательства.
Как утекает информация?
Каналы утечки информации в России и мире почти не отличаются. Однако и здесь есть небольшие российские особенности. Во-первых, несмотря на набирающую мировую популярность концепцию BYOD (принеси свое устройство и работай), утечек через гаджеты и ноутбуки в нашей стране пока сравнительно немного — 1,4% на фоне мировых 9,6%. Означает ли это, что россияне бережнее относятся и к самим устройствам, и к информации? Или просто корпоративные почта и данные в мобильном телефоне — далеко не повсеместная российская практика. Что, с точки зрения безопасности данных, даже хорошо.
Показатели утечек через ПК и серверы, через веб и почту вполне сопоставимы, но и тут Россия впереди, что объясняется недостаточным проникновением средств защиты от утечек даже на уровне крупных компаний и госорганизаций.
Хотелось бы обратить внимание и на особо высокую долю пропажи бумажных документов (несмотря на тотальную тенденцию к цифрофизации) как в нашей стране, так и в мировом масштабе. Рост утечек через бумажные документы характерен для всего мира: за 2012 г. этот сегмент прирос еще на 3%. Это однозначно указывает, что именно организационные меры сегодня являются слабым местом ИБ в глобальном масштабе.
К сожалению, российские показатели по двум каналам — утечка бумажной документации и резервные копии — существенно превосходят мировые. Бумажных документов похищается у нас на 6,1% больше, чем в мире, и относительно общего объема утечек — почти треть.
Если принять во внимание все большую популярность средств защиты от утечек информации, в России, как и во всем мире, следует ожидать падения долей традиционных каналов утечек (где, собственно, технические системы защиты наиболее эффективны). Правда, в отношении нашей страны это справедливо лишь в перспективе 3–5 лет.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.