Утечки данных: можно ли доверять госучреждениям?
Статистика корпоративных инцидентов безопасности за 2011 год показала, что больше всего конфиденциальных данных утекает из медучреждений и госорганизаций. Причины потери информации разнообразны – от преднамеренных краж до небрежности в работе с данными.В рамках исследования, проведенного центром Zecurion Analytics, было изучено 819 случаев утечки конфиденциальной информации. Большинство инцидентов (72%) произошло на территории США. 5% инцидентов относятся к российским организациям.
В число наиболее громких российских утечек попали проиндексированные поисковыми системами SMS-сообщения сотового оператора "Мегафон", база данных 1,6 млн абонентов МТС, также найденная через поисковик, публикация персональных данных на сайте Тверского отделения Пенсионного фонда России, спорная политика социальной сети "ВКонтакте", спровоцировавшая попадание в открытый доступ паспортных данных пользователей, и другие инциденты.
Где риски выше
Чаще всего информация утекала из больниц и поликлиник (20,4% случаев), государственных учреждений (16,7%), учебных заведений (15,2%), а также предприятий розничной торговли (13,8%). Объясняя высокую долю утечек из государственных учреждений разных стран, авторы отчета отмечают меньшую мотивацию к защите информации со стороны менеджеров, чем в коммерческих компаниях.
Финансовый ущерб в данном случае ложится бременем на бюджеты различных уровней, но не кошельки акционеров. "Если в коммерческих организациях серьезным препятствием для внедрения мер по обеспечению информационной безопасности часто является финансовый аспект, в государственных организациях причины утечек иные, – говорит Александр Ковалев, директор по маркетингу Zecurion. – Для госучреждений характерны большие объемы обрабатываемой конфиденциальной информации, в том числе персональных данных и большое количество сотрудников с доступом к этим данным. Как следствие, выше вероятность ошибки, которая может привести к непреднамеренной утечке".
По статистике, доли утечек финансовой информации физлиц (18,2%) и медицинских данных (19,1%) практически равны. Однако среди медицинских данных преобладают преднамеренные утечки. Аналитики объясняют это высокой ценностью последних на черном рынке, что указывает на интерес к данным со стороны злоумышленников.
Доли утечек данных по типам, 2009–2011 гг.
Источник: Zecurion, 2012
В целом, количество случайных утечек (45,2%) почти в полтора раза превосходит число преднамеренных (31,1%). Справедливости ради, доля "неопределенных" утечек, когда умысел не может быть явно определен, весьма высока (23,7%).
Актуальные тренды
В исследовании также приводятся данные из статистики утечек прошлых лет, что позволяет определять актуальные тренды информационной безопасности. Так, на протяжении последних лет стабильно растет доля утечек через веб-сервисы (18,2% в 2011 году). Этому способствует активное развитие самих сервисов и их внедрение в бизнес-процессы компании. Одновременно провоцировать утечки через веб-сервисы могут чересчур жесткие внутренние правила компании в отношении работы с информацией. Если сотрудник сталкивается со сложностью в отправке "слишком большого" файла по электронной почте, он использует для передачи данных файлообменный сервис. Это значительно повышает риск компрометации даже при использовании таких процедур, как, например, защита паролем.
Авторы отчета отмечают существенное снижение доли утечек через электронную почту. Причин тому несколько. Прежде всего, электронная почта достаточно успешно фильтруется большинством продуктов класса DLP, доля внедрения которых постепенно увеличивается. Кроме того, растет квалификация и осведомленность корпоративных пользователей. Большинство прекрасно осознает, что корпоративная переписка может не только контролироваться специализированными DLP-системами, но и часто архивироваться распространенными почтовыми серверами и просматриваться в профилактических целях или в рамках расследования инцидентов. Таким образом, уменьшается как доля случайных, так и доля преднамеренных утечек.
Каналы утечек данных, 2009–2011 гг.
Источник: Zecurion, 2012
Стабильно высокой на протяжении нескольких лет мониторинга остается доля утечек через неэлектронные носители информации. Основной проблемой в данном случае эксперты называют неправильную утилизацию носителей. Это мнение подтверждают и специалисты ассоциации NAID (National Association for Information Destruction), изучавшие содержимое мусорных контейнеров коммерческих компаний ряда городов. К примеру, в Лондоне конфиденциальные документы обнаружили более чем в 40% баков.
Проблема неправильной утилизации актуальна не только для бумажных, но и электронных носителей. Вместо того, чтобы физически уничтожить отслужившее свой век оборудование, компании часто перепродают старые компьютеры и серверы, не обеспечив даже надежного удаления информации. В результате следующие владельцы легко получают доступ к конфиденциальным данным на жестком диске.
Прогнозы
Авторы отчета прогнозируют рост популярности наиболее выгодных с экономической точки зрения мер защиты информации. Во-первых, это организационные меры: например, разработка регламента уничтожения информации на электронных и бумажных носителях. Во-вторых – внедрение средств шифрования данных. Подобные средства являются не слишком обременительными для бюджета компаний, но позволяют устранить широкий пласт утечек, связанных с утерей мобильных устройств, несанкционированным доступом к ресурсам и других.