Спецпроекты

Безопасность Стратегия безопасности Техническая защита

Утечки данных: текущий год уже обогнал прошедший?

После завершения 2008 года сразу несколько исследовательских организаций представили свои отчеты по зафиксированным утечкам информации. Несмотря на то, что числовые оценки экспертов отличаются, в целом они сходятся в одном – количество инцидентов и общий масштаб проблемы продолжают неуклонно расти. Однако уже в январе 2009 года было объявлено о новой крупнейшей утечке. Предполагается, что потери по ней могут составить несколько млрд записей. Если данная информация подтвердится, текущий год автоматически перекроет все показатели 2008г.

По данным американского центра исследований исследования преступлений, связанных с хищениями персональных данных (Identity Theft Resource Center, ITRC), в прошлом году на территории США произошло как минимум 656 публичных утечек информации. Это значение на 47% превосходит показатели позапрошлого года и более чем в четыре раза – данные за 2005 год. Если темпы роста количества утечек сохранятся и в нынешнем году (а пока предпосылок к их снижению не наблюдается), то общее количество публичных инцидентов может приблизиться к психологической отметке в 1000 случаев за год.

По мнению экспертов, основные причины столь бурного роста связаны с усилением законодательного регулирования, а не объективным ростом киберпреступности. "На территории большинства штатов США и других развитых стран уже приняты законы, регламентирующие обязательные оповещения об инцидентах, - отмечает директор по маркетингу Perimetrix Денис Зенкин. – С каждым годом наращивается правоприменительная практика в отношении данных законов, что позволяет властям эффективнее контролировать их исполнение. Как следствие, растет и количество публичных утечек информации".

Количество утечек информации на территории США

Источник: ITRC, Perimetrix, 2009

Вместе с тем, те 656 инцидентов, которые были зафиксированы ITRC, – это всего лишь верхушка айсберга. "Статистика компании Perimetrix показывает, что средняя российская организация допускает не менее 4 утечек информации за год, - рассказывает Зенкин. – Конечно, информационная защищенность американских компаний выше, однако одну-две утечки в год они все равно должны допустить. Таким образом, общее количество случившихся инцидентов должно превзойти данные ITRC на несколько порядков".

На данный момент существуют две основные группы причин, из-за которых компании скрывают информацию об инцидентах. Во-первых, это нежелание нести дополнительные расходы на ликвидацию последствий утечек, оповещение пострадавших и возмещение понесенного ими ущерба. Зачастую организации полагаются "на авось", считая, что утечку никто не заметит. При этом они неизбежно испытывают риски, связанные с возможными последствиями инцидента.

Общая структура утечек информации

Источник, Perimetrix, 2009

Однако еще большую важность имеет вторая группа причин, смысл которой заключается в том, что информация о случившихся инцидентах часто не доходит до руководства. Всего лишь одна потерянная флешка или письмо, отправленное по чужому адресу, может привести компанию к невосполнимым финансовым потерям. При этом персонал по безопасности и ИТ часто просто игнорирует такого рода инциденты, опасаясь санкций со стороны начальства или просто не принимая их всерьез.

Добавим, что кроме инцидентов, которые хоть как-то обнаруживаются внутри компаний, существуют еще и утечки-фантомы, о которых никто ничего не знает. Доля таких утечек особенно велика для внутренних инцидентов по безопасности, поскольку далеко не все компании имеют средства для выявления данных проблем.

Короткая ссылка