Утечки корпоративной информации и персональных данных в 2010 году

Утечки корпоративной информации и персональных данных в 2010 году

Аналитический центр SECURIT Analytics представляет результаты отчета об утечках конфи­денциальной информации, обнародованных в 2010 году. Теме утечек информации не зря уделяется повышенное внимание, ведь в 2009 году только в результате обнародованных инцидентов пострадало более 300 млн граждан, а убытки допустивших утечки организаций составили более 1,5 млрд долларов США. Всего же с начала ведения статистики пострадало более 1 млрд граждан различных стран мира, и только прямые убытки организаций составили более 10 млрд долларов.

 

1. Введение

2. Ключевые факты

3. Методология

4. Статистика утечек

5. Прогнозы

 

Введение

Цель отчета SECURIT Analytics - еще раз обратить внимание на проблему незащищенности персональных данных и конфиденциальной информации в подавляющем большинстве организаций. В отчете приведена статистика всех обнаруженных инцидентов, проанализированы наиболее крупные и интересные утечки и дан прогноз развития ситуации. Целевая аудитория отчета - топ-менеджеры и специалисты по информационной безопасности коммерческих и государственных организаций, законодатели и журналисты.

Под утечкой информации в данном отчете понимаются инциденты, в результате которых доступ к конфиденциальным данным получили люди, изначально не имеющие на это прав. Виновниками инцидента могут быть сотрудники, подрядчики или никак не связанные с организацией злоумышленники, а каналом утечки могут служить USB-устройства, электронная почта, интернет-пейджеры, публичные веб-сервисы, ноутбуки или резервные копии данных. Классическим примером утечки можно назвать ситуацию с WikiLeaks, которой будет посвящена отдельная глава. В результате работы WikiLeaks фактически любой житель планеты получил возможность прочитать множество секретных документов.

По оценкам SECURIT Analytics реально в СМИ появляется информация лишь о небольшой части инцидентов, в лучшем случае 0,1% от реального количества утечек. Это связано с двумя основными причинами. Первая - несовершенство законодательства, которое лишь в нескольких государствах требует от организации обнародовать факт утечки данных сразу после ее обнаружения. Вторая - несовершенство применяемых мер защиты и, как следствие, техническая невозможность обнаружить утечку. Использование же специализированных DLP-систем пока еще довольно редко.

Мы надеемся, что подготовленные SECURIT Analytics результаты стимулируют организации обратить большее внимание на угрозы, связанные с возможной утечкой их конфиденциальной информации, и будут способствовать повышению общего уровня информационной безопасности в российских компаниях.

 

Ключевые факты

  • В 2010 году зафиксировано 1014 утечек, что на 15,6% больше показателя 2009 года.
  • Каждый рабочий день 2010 года происходило в среднем 4 утечки данных.
  • Наибольшее количество инцидентов (924) зафиксировано в США. Это на 18,9% (147 утечек) больше, чем в 2009 году, однако в общей статистике доля США сократилась (-0,8%).
  • В России зафиксировано 37 инцидентов, что на 60,9% больше, чем в 2009 году.
  • Основными виновниками утечек (суммарно 76%) являются государственные организации, медицинские и образовательные учреждения, финансовые и торговые компании.
  • От утечек страдают не только допустившие кражу или потерю данных организации, но и их сотрудники, клиенты, партнеры и подрядчики.
  • Главными каналами утечек по-прежнему остаются электронная почта (17,8%) и потерянные или украденные ноутбуки (22,5%), хотя доля последних в общей массе в прошедшем году существенно снизилась (-6,5%).
  • В 2010 году произошел значительный рост доли утечек через мобильные накопители (+4,4%) и веб-сервисы (+3,2%).
  • В основном утекают персональные данные (63,6%) клиентов и сотрудников.
  • Средний ущерб от одной утечки в 2010 году составил 3 793 725 долларов США, что на 49,3% ниже показателей 2009 года.
  • Средняя утечка включала в себя более 250 тыс. персональных данных, что на 50,8% меньше, чем в 2009 году.

Методология

Основой для проведения исследования служит постоянно обновляемая SECURIT Analytics база данных утечек конфиденциальной информации. Для сбора сведений об инцидентах используются публикации СМИ, специализированные базы данных и собственные источники аналитического центра. Под утечками понимаются инциденты, в результате которых была потеряна или украдена действительно конфиденциальная информация. Обязательным требованием для попадания в базу SECURIT Analytics является достоверность информации, которая дополнительно перепроверяется в случае малейших сомнений.

Как было отмечено в аннотации, количество обнародованных утечек по оценкам SECURIT Analytics составляет в лучшем случае 0,1% от их фактического количества. Это связано с двумя основными причинами: отсутствием законодательно закрепленных требований обнародовать инцидент в подавляющем большинстве стран и несовершенством применяемых для защиты данных мер, которые просто не позволяют обнаружить факт утечки. Тем не менее, даже сравнительно небольшое количество обнародованных утечек, по оценкам SECURIT Analytics, позволяет получить реалистичные статистические данные.

Подсчет ущерба от утечек производится по специальной методике, разработанной аналитиками SECURIT на основе российских и международных практик, с которыми приходится сталкиваться организациям, допустившим утечку. Величина ущерба в первую очередь зависит от масштаба утечки, действий организаций после обнаружения, внимания со стороны СМИ (индекса цитируемости и окраски сюжетов), действий регулирующих органов и характера самих данных. Так как не всегда удается оценить реальные затраты организаций, в некоторых инцидентах уровень ущерба занижается до минимума, связанного с очевидными расходами на работу со СМИ, внутренними расследованиями и компенсациями пострадавшим (в случаях с утечками персональных данных).

 

Статистика утечек

Анализируя динамику утечек информации в 2010 году по всему миру, в первую очередь хотелось бы отметить, что общее количество случаев по сравнению с 2009 годом демонстрирует тенденцию к увеличению. Всего за год было зафиксировано 1014 утечек, годом ранее их количество составляло 856. При этом мы видим, что в первом полугодии 2010 года наблюдалось уменьшение числа утечек по сравнению с аналогичным периодом 2009 года. Впрочем, достигнув самой низкой отметки в мае, количество обнаруженных утечек начало расти, дойдя до пика в августе и декабре 2010 года.

Увеличение числа обнаруженных утечек можно объяснить влиянием целого ряда факторов. Так, немаловажную роль играет рост интереса СМИ к этой проблеме и общее усиление внимания к утечкам со стороны общественности. Также можно отметить, что проблема утечек по-прежнему сохраняет свою актуальность в США, а внимание к таким случаям в других странах становится все более серьезным. Это подтверждают и данные по географии утечек, согласно которым в 2010 году доля инцидентов в США среди общего числа несколько сни­зилась.

Впрочем, хотелось бы обратить внимание и на то, что, несмотря на рост общего количества случаев в 2010 году, значительно уменьшился общий ущерб от всех утечек, а также средний показатель ущерба от каждого из инцидентов. Кроме того, заметно сократилось и число утерянных записей. Этот факт можно объяснить массовым внедрением DLP-систем и общей активизацией мер, направленных на борьбу с утечками, особенно в США, где все чаще компании сталкиваются со штрафами и прочими негативными последствиями допущенных утечек.

 

Рисунок 1: Динамика утечек по месяцам в 2010 году

 

География

Географические данные на сегодняшний день наглядно показывают, насколько подходы к проблеме защиты от утечек конфиденциальной информации разнятся в зависимости от страны и действующих там законов. Так, большая часть из обнародованных утечек по-прежнему относится к США, в то время как в России ставшие достоянием гласности инциденты можно пересчитать по пальцам, однако даже они смогли затронуть интересы огромной части населения. Кроме того, несмотря на формальную принадлежность Google, Facebook, Gawker Media и других крупных организаций к США, связанные с ними утечки коснулись интересов людей во всем мире, в том числе и российских пользователей.

Перекос данных в сторону США объясняется действующим там законодательством, согласно которому организация обязана сразу же уведомить всех пострадавших, а в ряде случаев и компенсировать их реальные и потенциальные убытки. Данные требования не распространяются на утечки корпоративной информации, от которых страдает как сама компания-виновник утечки, так и сторонние юридические лица, например, клиенты или партнеры. В отличие от российских нормативно-правовых актов, в законодательстве США практически отсутствуют требования к техническим параметрам защиты, оставляя выбор инструментов на усмотрение менеджмента организаций. При этом предусматриваются крайне жесткие меры, которые часто включают финансовую и уголовную ответственность для должностных лиц, что существенно повышает внимание к проблеме утечек со стороны руководства компаний.

Тем не менее, большая часть утечек данных остается не только не обнародованной, но и просто неизвестной самим компаниям. Так, согласно данным опроса Harris Interactive, опубликованным в августе 2010 года, конфиденциальную информацию крадет каждый пятый сотрудник. Наибольшей опасности, по итогам опроса, подвержены данные о клиентах, а также корпоративные планы компаний и зарплатные ведомости. В случае увольнения риски утечки увеличиваются в 2,5 раза - те или иные конфиденциальные документы с бывшего места работы уносит почти половина опрошенных.

 

Рисунок 2: География утечек в 2010 году

 

Типы организаций

Что касается распределения утечек по типам организаций, то, как мы видим, показатели прошлого года значительно изменились по сравнению с данными за 2009 год. Так, в 2010 году наблюдался рост доли инцидентов в медицинских организациях за счет снижения показателей других категорий.

Доля случаев в медицинских организациях выросла сразу на 11,4%, переместившись с третьего места по итогам 2009 года на первое. Государственные организации, лидировавшие по этому показателю годом ранее, теперь оказались на втором месте с долей в размере 19,6%. Снизились также доли образовательного и финансового секторов.

Такую тенденцию, как рост утечек в медицинской сфере, можно объяснить тем, что личные данные клиентов медицинских организаций зачастую представляют немалый интерес для злоумышленников, тогда как охраняется такая информация, как правило, значительно хуже, чем данные финансовых и государственных компаний.

Между тем доля утечек в двух вышеуказанных секторах все еще остается достаточно высокой по вполне понятным причинам - данные таких организаций могут быть весьма ценными для преступников, а компании, работающие в этих секторах, часто имеют большой штат сотрудников, что увеличивает риск потери конфиденциальной информации.

 

Рисунок 3: Утечки информации по типам организаций в 2010 году

 

Каналы утечки

В первую очередь можно обратить внимание на то, что заметно снизилась доля компьютеров и ноутбуков в качестве канала утечки, хотя их доля по-прежнему высока. В случае мобильных и стационарных (в меньшей степени) компьютеров утечка, как правило, происходит вследствие потери или кражи самого устройства. При этом зачастую ценность для злоумышленников, крадущих компьютер, представляет как раз само устройство, а не записанная на нем информация. Утечки же происходят из-за того, что владельцы компьютеров не шифруют конфиденциальную информацию на жестком диске - в этом случае при утрате она оказывается скомпрометированной. Таким образом, можно предположить, что снижение доли этого канала утечки связано как раз с более широким распространением среди пользователей различных DLP-систем или более простых программ для шифрования данных.

В то же время выросла доля утечек через Интернет и электронную почту. Причиной данной тенденции в значительной степени является недооценка многими организациями веб-сервисов, интернет-пейджеров и корпоративной почты как потенциального канала утечки данных. В свою очередь рост доли мобильных накопителей информации можно объяснить сложностью контроля использования флешек, CD, DVD и других носителей в крупной организации.

 

Рисунок 4: Каналы утечек информации в 2010 году

 

Типы данных

Утечки персональных данных по-прежнему составляют львиную долю всех обнародованных в прошлом году инцидентов. Что вполне ожидаемо, так как персональные данные активно используются различными организациями в повседневной работе, из-за чего и подвергаются риску компрометации.

Впрочем, следует отметить, что зачастую посторонние лица получают доступ к личной информации о человеке, неправомерное использование которой может принести ему лишь незначительные неудобства. Например, во многих из случаев в 2010 году скомпрометированы были лишь адреса электронной почты граждан, их номера мобильных телефонов или полные имена, что, разумеется, не представляет слишком серьезной опасности для пострадавшего.

Утечки корпоративной информации входят в группу «Прочее», так как их доля в общей статистике крайне мала. Такая ситуация связана с особенностями современного законодательства и отраслевых стандартов, которые требуют обнародования факта утечки лишь в исключительных случаях. Сами же компании редко обнародуют данные об утечках корпоративной информации, так как это может не только негативно сказаться на их имидже в глазах клиентов, партнеров и сотрудников, но и повлечь за собой снижение котировок акций. Как уже отмечалось, по оценкам SECURIT Analytics в открытом доступе появляется информация максимум о 0,1% от реального числа утечек, и утечки корпоративной информации составляют большую часть всех необнародованных инцидентов.

 

Рисунок 5: Утечки информации по типам данных в 2010 году

 

Пострадавшие

В разделе «Пострадавшие» наряду с сокращением категории «Другие» мы видим увеличение долей клиентов компаний и пациентов медицинских учреждений, от утечек информации в 2010 году. Значительный рост доли пострадавших пациентов в 2010 году по сравнению с аналогичным периодом годом ранее прямо соотносится с увеличением числа утечек в медицинском секторе.

В то же время в категорию «Другие», доля которой среди общего количества пострадавших в 2010 году сократилась, вошли сотрудники различных организаций, а также другие частные лица, имеющие прямое отношение к компании, допустившей утечку. На основании этих данных можно заключить, что организации, возможно наученные горьким опытом громких утечек, произошедших в предыдущие годы, стали более внимательно относиться к персональной информации собственных сотрудников.

 

Рисунок 6: Пострадавшие от утечек информации в 2010 году

 

Виновники

Как и в прошлом году, на первом месте среди виновников утечек оказались инсайдеры - показатели этой категории остались примерно на том же уровне, что и в 2009 году. При этом значительно сократилась доля хакеров (-15,1%), но выросла доля случаев, когда виновники утечки остались неизвестны. Существенное сокращение доли хакеров, вероятно, связано с тем, что многие компании после ряда громких инцидентов усилили защиту своих сетей против внешних угроз, однако не смогли предотвратить внутренние утечки, обезопасить себя от которых в разы сложнее.

Очень часто организации не предоставляют общественности данных о виновниках утечек, а во многих случаях они и сами не имеют такой информации, тогда как результаты последующего за обнаружением инцидента внутреннего расследования не раскрываются. По этой же причине сложно судить о том, была ли утечка случайной или умышленной.

 

Рисунок 7: Виновники утечек информации в 2010 году

 

Ущерб от утечек

Что касается ущерба от утечек в 2010 году, то мы видим: общий ущерб сократился по сравнению с 2009 годом, и уменьшились средние потери организаций в каждом из инцидентов. В 2009 году самый большой всплеск по размеру потерь пришелся на октябрь, тогда как в 2010 году - на ноябрь. В течение же большей части и того, и другого года показатели оставались примерно на одном уровне.

Общее количество потерянных записей в 2010 году составило 254 627 497, что на 41,8% меньше показателей 2009 года. В среднем за одну утечку снижение и вовсе составило 50,8% или 251 112 записей.

 

Рисунок 8: Ущерб от утечек информации по месяцам в 2009-2010 годах

 

Прогнозы

Законодательные требования, внимание со стороны СМИ, экономическая ситуация, действия конкурентов, отношение общественности будут оказывать все большее давление на менеджмент организаций в теме защиты от утечек информации. Основной движущей силой снижения числа утечек в ближайшее время, как и раньше, могут стать нормативно-правовые акты, необходимость разработки, принятия и исполнения которых назревает уже как минимум несколько лет. Главная проблема существующего законодательства почти во всех странах - практически полное отсутствие ответственности организаций за сам факт утечки, если ими соблюдаются все формальные требования по защите данных. На практике отсутствие ответственности не создает никаких предпосылок и стимулов для развития системы безопасности и защиты от новых угроз.

Внимание со стороны СМИ и общественности оказывает давление на менеджмент организаций, который все больше задумывается о необходимости защиты от утечек. Немалую роль в привлечении внимания к проблеме сыграл интернет-ресурс WikiLeaks, хотя, конечно, еще нельзя говорить о каких-то коренных изменениях в сознании руководства большинства компаний. По прогнозам SECURIT Analytics, в ближайшие годы важную роль в вопросе защиты от утечек должен сыграть рынок. Система безопасности будет рассматриваться как весомое конкурентное преимущество, ведь клиенты, бизнес-партнеры, поставщики и работники просто не захотят иметь дело с организациями, которые могут в любой момент допустить утечку их персональных данных или другой конфиденциальной информации.

При этом не стоит забывать и о сдерживающих факторах, основным из которых является сопротивление изменениям в организации. Этой проблеме посвящено множество научных трудов и публикаций, где были определены причины такой поведенческой стратегии. В большинстве случаев ни рядовые сотрудники, ни топ-менеджмент не видят явной выгоды от принятия специальных мер внутреннего контроля и опасаются, что изменения могут навредить им лично или просто поменять привычный уклад работы, например, вынудить существенно уменьшить объем личной переписки через корпоративные каналы коммуникаций. Не стоит забывать и о финансовой составляющей, ведь посчитать эффективность инвестиций в специализированные решения довольно трудно, что добавляет сложности при обосновании бюджетов в средних и крупных организациях.

Количество обнародованных утечек напрямую зависит от приведенных выше факторов и, по прогнозам SECURIT Analytics, в ближайший год вырастет на 20-30%. Такой прогноз обусловлен динамикой последних лет, когда количество утечек постоянно росло, и высоким вниманием к проблеме со стороны СМИ, субъектов персональных данных, отраслевых аналитиков, конкурирующих организаций, которые играют все большую роль в снижении количества незамеченных утечек.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru