В 2014 году участились кражи конфиденциальных данных из организаций

Александр Панасенко 24 Декабря 2014 - 15:07

...

Zecurion Analytics представил предварительные итоги ежегодного исследования утечек информации. В мире за 11 месяцев 2014 года зарегистрировано 697 внутренних инцидентов информационной безопасности, из которых доля преднамеренных утечек данных составила более 30%.

Несмотря на значительное снижение размера финансового ущерба от утечек информации с $25,110 млрд в 2013 году до $17,782 млрд в 2014 году, компании стали чаще страдать от последствий краж конфиденциальных данных сотрудниками. Если в 2012 году преобладали непредумышленные инциденты (44,5% против 24,2% у целенаправленных), то в 2014 году разрыв между ними сократился всего до полутора процентов. Такая тенденция роста грозит организациям в новом году существенным увеличением финансовых потерь от инцидентов.

Наиболее распространенными каналами передачи корпоративных данных остаются веб-сервисы (26,7%), ноутбуки и планшеты (более 14%). Существенно возросла доля утечек через неэлектронные носители — с 8,2% до 13,4%. В большинстве случаев это непреднамеренные утечки, связанные с небрежным отношением к бумажным документам. Оставленные на виду посетителей офиса или выброшенные в обычные мусорные контейнеры бумаги, нередко становятся достоянием гласности.

По сравнению с предыдущим годом сократились случаи утечек финансовых и медицинских данных физлиц (суммарно 26,8%). Прочие персональные данные по-прежнему лидируют среди типов скомпрометированной информации, доля которых в 2014 году составила 59,6%. Гораздо реже встречаются утечки государственной или коммерческой тайны. Тем не менее, каждый подобный инцидент несет внушительные финансовые потери и имеет серьезные репутационные последствия, хотя сведения о подобных инцидентах попадают к журналистам редко.

«Если сравнить полученную картину с реальным состоянием дел в области защиты информации от утечек, можно увидеть серьёзные расхождения в статистике каналов утечек и финансовой оценке ущерба, — говорит Владимир Ульянов, руководитель Zecurion Analytics. — К примеру, ИБ-специалисты чаще всего сталкиваются с попытками слить информацию через электронную почту и локальные накопители. В свою очередь ущерб от утечек может быть действительно солидным. Так, одна из российских компаний потеряла порядка 1 млрд рублей на утечке информации от своих топ-менеджеров».

В России за текущий год зарегистрировано 37 публичных случаев утечки информации. Среди наиболее громких: скомпрометированная база миллионов пользователей почтовых сервисов «Яндекс.Почта», Mail.ru, и Gmail, кража более 70 млн рублей со счетов клиентов нескольких российских банков, использование данных о клиентах и кража 2 млн рублей сотрудниками банка «Первомайский», утечка паролей к аккаунтам премьер-министра.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 19 Июня 2025 - 09:02

Соответствие законодательству РФ Общее Защита критически важных объектов Соответствие требованиям регуляторов

ФСТЭК России огласила новые требования по защите ИС госструктур

Опубликованы обновленные ФСТЭК России нормативы по защите информации для госорганов и контролируемых государством учреждений, которые начнут действовать с 1 марта 2026 года.

Приказ регулятора № 117 от 11.04.2025 об утверждении требований по защите информации издан взамен аналогичного и пока актуального распоряжения № 17 от 11.02.2013.

В документе особо отмечено, что аттестаты соответствия на ГИС и иные ИС, выданные до вступления в силу новых норм, будут считаться действительными.

В нем также определена основная цель защиты информации в госструктурах — предотвращение событий, приводящих к негативным последствиям (угроза жизни / здоровью, утечка персональных данных, нарушение функционирования АСУ, материальный ущерб, потеря конкурентного преимущества и т. п.).

Для этого оператору следует прежде всего определить такие события, соответствующие угрозы, а также системы и средства, воздействие на которые может привести к негативным последствиям.

Согласно новым требованиям, подразделения ИБ должны как минимум на 30% состоять из сотрудников с профильным образованием либо прошедших соответствующую переподготовку.

Много внимания в приказе уделено работе с подрядчиками. В частности, для них рекомендуется разработать политику ИБ и вменить им в обязанность следовать таким указаниям.

Стоит также отметить следующие требования:

проведение мониторинга ИБ в соответствии с ГОСТ Р 59547-2021, с передачей ФСТЭК годовых отчетов о результатах;
проведение проверок защищенности (дважды в год или чаще) и уровня зрелости (ежегодно) по методикам ФСТЭК;
передача регулятору данных о новых уязвимостях (в течение пяти рабочих дней);
сокращение сроков устранения уязвимостей (критические — 24 часа, высокой степени опасности — 7 календарных дней);
обязательный контроль установки обновлений;
привилегированный доступ — только со строгой аутентификацией или усиленной MFA, а также с регистрацией таких попыток;
обязательное использование EDR.

Пользоваться личными мобильными устройствами разрешено, но с соблюдением требований по защите и под контролем. Предусмотрена возможность удаленного доступа с личных устройств (в пределах России) при наличии адекватной защиты: специализированных средств обеспечения безопасности, антивируса, аутентификации с использованием криптографии и т. п.

Примечательны также требования в отношении ИИ: в случае использования таких технологий оператор должен обеспечить защиту от утечек, злоупотреблений через атаку на ИИ-модель и соблюдать регламент взаимодействия с ИИ-сервисами — по разработанным шаблонам либо без них, но с ограничением тематики.

Поскольку ИИ может совершать ошибки, оператору надлежит принять меры по их выявлению и ограничить участие такого помощника в принятии решений.