12.08.2012

Согласно результатам исследования об утечках конфиденциальной информации в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в $20 млрд, из которых более $1 млрд пришлось на российские компании

Наибольшее число инцидентов (45,2% всех случаев) произошло вследствие ошибок или халатности персонала, низкой осведомленности сотрудников компаний в вопросах информационной безопасности, а не из-за подготовленных инсайдеров или спланированных атак внешних злоумышленников. В целом, анализ инцидентов подтверждает, что защищенность компаний находится на крайне низком уровне. Отсутствие адекватных политик безопасности и современных технических средств защиты делает бизнес уязвимым перед внутренними угрозами.

Высокая доля преднамеренности характерна для утечек медицинских данных — это объясняется их востребованностью среди мошенников: цена одной такой записи на черном рынке в 50 раз превышает стоимость номера социального страхования, по данным ANSI. Однако число утечек медицинских данных осталось примерно на уровне прошлого года (19,1%).

Доля утечек финансовых данных физических лиц значительно возросла по сравнению с прошлым годом и составила в 2011 году 18,2%. Прочие персональные данные по-прежнему лидируют среди типов скомпрометированной информации, однако их доля продолжает сокращаться (56% против 63,6% в 2010 году). Гораздо реже утекают коммерческая и государственная тайна, интеллектуальная собственность. Тем не менее, каждый подобный инцидент, как правило, несет внушительные финансовые потери и имеет серьезные репутационные последствия.

Чаще всего информация утекает из медицинских организаций (20,4%), госучреждений (16,7%), образовательных заведений (15,2%), предприятий розничной торговли (13,8%). При этом самыми распространенными каналами утечек являются ноутбуки и мобильные накопители (суммарно 19,4%), веб-сервисы (18,2%), компьютеры (16,1%), а также неэлектронные носители (13,8%). Последние остаются популярным каналом утечки вследствие некорректной утилизации: бумаги с конфиденциальными данными просто выбрасывают в общедоступные мусорные баки. Между тем, внедрение процедур безопасной утилизации позволит значительно снизить риски утечки информации.

Вновь увеличилась доля высокотехнологичных компаний. Причиной здесь может быть, как ни парадоксально, именно высокая квалификация сотрудников. Даже если мы говорим о непреднамеренных утечках. Пренебрежение элементарными мерами защиты информации из-за уверенности, что «со мной такого не произойдет» нередко выливается в шокирующие инциденты. К примеру, в 2008 году в британском Кэнноке, ИТ-аналитик на автостоянке у паба потерял флэшку с учетными данными для доступа к порталу Government Gateway (британский вариант электронного правительства), поставив под угрозу персональные данные 12 млн человек.

Стабильно высокой остается доля утечек из госучреждений. Если в коммерческих организациях серьезным препятствием для внедрения мер по обеспечению информационной безопасности часто является финансовый аспект, в государственных организациях причины утечек иные. Для госучреждений характерны большие объемы обрабатываемой конфиденциальной информации, в том числе персональных данных и большое количество сотрудников с доступом к этим данным. Как следствие, выше вероятность ошибки, которая может привести к непреднамеренной утечке; проще внедрение злонамеренного инсайдера или подкуп нелояльного работника. Кроме того, финансовые последствия утечек из госорганов, как правило, ниже и ложатся бременем не на кошельки владельцев бизнеса, а на бюджеты разных уровней. Поэтому и мотивация менеджеров к защите информации не так высока.

В России зарегистрирован 41 публичный инцидент, большинство из которых получили широкую огласку в СМИ. Среди наиболее громких — утечка СМС-сообщений сотового оператора «МегаФон», база данных 1,6 млн абонентов МТС, публикация персональных данных на сайте Пенсионного фонда России, а также массовая компрометация данных о клиентах со стороны российских интернет-магазинов.

Источник:  iksmedia.ru


Рейтинг статьи