Спецпроекты

Утечки 2008: Американцев вынудили раскрыть данные

Безопасность Стратегия безопасности Техническая защита
Количество публичных утечек в США продолжает расти. По мнению специалистов, основной причиной является не увеличение общего числа подобных инцидентов, а ужесточение законодательного регулирования и повышенное внимание общества к проблемам потери данных. Так, в 44 американских штатах уже приняты законы, требующие раскрытия информации об утечках. И это только начало.

За первую половину 2008 года на территории США произошло 336 публичных утечек информации, в которых пострадали примерно 17 млн человек. Такую статистику приводит центр исследования преступлений, связанных с хищениями персональных данных (Identity Theft Resource Center, ITRC), который фиксирует уведомления обо всех случившихся инцидентах.

Легко заметить, что количество публичных утечек стабильно и очень быстро (на 62% в год) растет на протяжении последних трех лет. Означает ли это, что общее количество утечек увеличивается? Скорее всего, нет. По данным компании Perimetrix, более 80% инцидентов имеют внутреннюю причину, вероятность возникновения которой зависит только от социальных факторов. А эти факторы в последнее время не претерпели никаких радикальных изменений, по крайней мере, на территории США.

По-видимому, причина роста заключается в других факторах, связанных с более жестким законодательным регулированием и повышенным вниманием общества к данной проблеме. И действительно, законы, требующие раскрытия информации об утечках, приняты в 44 американских штатах. Не за горами и подписание федерального акта. А количество упоминаний в новостях и в передачах заокеанских телеканалов и вовсе выводит проблему "кражи личности" на принципиально иной, более высокий уровень.

Количество зафиксированных в США утечек

*данные за 2008 год - прогноз

Источник: ITRC, Perimetrix, 2008

Однако, несмотря на быстрый рост количества инцидентов, численность пострадавших жителей пока не демонстрирует устойчивой тенденции к росту. Объясняется это весьма просто – в 2005 и 2007 годах случились утечки-монстры (в компаниях MasterCard и TJX соответственно), в результате которых пострадали десятки миллионов человек. В нынешнем году подобных инцидентов не происходило, и общая численность пострадавших может показаться сравнительно небольшой.

Вместе с тем, если исключить из рассмотрения наиболее масштабную утечку, то график начинает колебаться вокруг одной и той же цифры в 30 млн пострадавших. Этот факт еще раз показывает, что общая опасность утечек всегда остается на примерно одинаковом уровне – и каждый год пропадает почти одинаковое количество конфиденциальных записей.

Количество пострадавших в результате утечек

*данные за 2008 год - прогноз

Источник: ITRC, Perimetrix, 2008

С другой стороны, по мере роста количества утечек их удельная опасность (среднее количество пострадавших на один инцидент) стабильно уменьшается. Казалось бы, ущерб в результате утечек должен также снижаться – однако на деле все происходит с точностью до наоборот. Статистика ITRC базируется на публичных утечках, а удельное снижение ущерба означает рост внимания прессы к более мелким и, казалось бы, незначительным случаям. Это означает, что репутационные издержки для каждого конкретного инцидента (которые по данным Ponemon Institute составляют большую часть ущерба) с каждым годом только растут.

Кроме общей информации о случившихся утечках, ITRC опубликовала и статистику по их причинам. В классическом противостоянии инсайдеры-хакеры на этот раз была зафиксирована ничья: первые стали причиной 15,8% инцидентов (хакеры – 11,7%), а вторые украли 27,4% записей (инсайдеры – 11,3%). Но самой страшной бедой стали ни те и ни другие – почти половина (47%) скомпрометированных записей "утекли" вследствие кражи различных носителей – прежде всего, резервных лент, а также ноутбуков. Получается, что шифровать носители сейчас важнее, чем бороться с неавторизованными вторжениями или следить за инсайдерами.

Такая статистика позволяет понять, насколько много утечек происходит на самом деле. С изрядной долей уверенности можно предположить, что имеющийся тренд будет продолжен на протяжении нескольких следующих лет и количество публичных утечек не перестанет увеличиваться. Общая же численность утечек информации, напротив, практически всегда остается постоянной и несравнимо большей. Публичные утечки – это всего лишь верхушка огромного айсберга.

Ситуация становится совсем плачевной, если учесть, что защищенность российских компаний значительно уступает защищенности заокеанских корпораций. И полагать, что в нашей стране происходит меньше утечек, было бы, по крайней мере, наивно. Другое дело, что абсолютное большинство из них остается "за кадром" - на эту тему практически никто не говорит, и в условиях отсутствия регулирующих законов это оправданно.

Вместе с тем, федеральный закон "О персональных данных" постепенно начинает набирать обороты, и вскоре может даже заработать на практике. "Дальше - больше. Вначале всех операторов персональных сведений занесут в государственный реестр, а потом – заставят оповещать жителей об утечках, - считает директор по маркетингу компании Perimetrix Денис Зенкин. – У нас же все-таки цивилизованная страна, которая заботится о своих гражданах. А если закон об обязательном оповещении все-таки будет принят – всем незащитившимся компаниям мгновенно станет очень плохо".

В любом случае, защищаться от утечек очень и очень полезно уже сейчас. Благо, сегодня на российском рынке существует не один соответствующий продукт, а несколько – на вкус и цвет каждого потребителя. И было бы совсем неплохо, если бы американская статистика сподвигла российские компании на новые внедрения. Которые, помимо всего прочего, наращивают национальный ВВП.

Владимир Ульянов

Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS

Тема месяца

Обзор: ИТ-тренды CNews 2020

Индексы «ИТ-тренды CNews 2020» и «ИТ-тренды CNews 2020 Реальный сектор».