Число утечек персональных данных в России за 2013 год выросло в два раза
Аналитический Центр InfoWatch опубликовал исследование, посвященное безопасности персональных данных (ПДн) в России.
Согласно приведенным данным, по сравнению с 2012 годом количество утечек ПДн выросло более чем в 2 раза. Всего в 2013 году было скомпрометировано 3,1 млн записей персональных данных.
Персональные данные стали самым массовым типом утекающей информации в России — на них пришелся 81% от всех российских утечек, тогда как в 2012 году этот показатель составил 65%.
Рост числа фиксируемых в СМИ утечек отчасти объясняется вниманием государства и регуляторов к вопросам защиты персональных данных. Однако аналитики InfoWatch прогнозируют, что даже повышение информированности о проблеме и ее частое освещение в СМИ не окажет существенного влияния на уровень защищенности ПДн в России.
Необременительность штрафных санкций для отечественных операторов ПДн, допустивших утечку, а также пассивная реакция самих граждан, пострадавших от утечек, и приводят к тому, что ситуация не меняется.
Примечательно, что в двух случаях их трех утечки ПДн в 2013 г. происходили из небольших организаций (менее 500 ПК). Причем совсем не обязательно, что масштаб утечки в небольших компаниях будет также небольшим.
В ряде случаев, когда утекали базы данных с числом записей 5 тыс. и выше, речь шла именно о малых и средних организациях. Аналитики InfoWatch отмечают, что для среднего бизнеса последствия от утечек крупных массивов ПДн весьма критичны — это серьезный репутационный и финансовый ущерб, который в ряде случаев более ощутим, чем в компаниях крупных.
В ряде отраслей (торговля, туризм), где и представлены в основном небольшие организации, утечка базы данных клиента может привести к убыткам, сопоставимым с оборотом компании за несколько месяцев.
Между тем, подавляющее число утечек до сих пор происходит через каналы, которые могут быть перекрыты техническими средствами.
Так, через бумажную документацию персональные данные утекали примерно в 42% случаев, на втором месте — Интернет (24% утечек). Обычно (в 74% случаев) нарушителем, по вине которого происходит утечка, является рядовой сотрудник компании, и только в 9% случаев вина за утечку лежит на руководителях (средний и высший уровень).
«Исследование показало, что сценарии «российских» утечек незамысловаты и однообразны, а доля инцидентов, где невозможно определить виновного, очень невелика: около 15%, — комментирует Сергей Хайрук, аналитик компании InfoWatch. — Причем каналы передачи данных, на которых чаще всего фиксируются утечки в России, легко контролируются современными системами DLP. Если бы эти системы были распространены в России, утечек персональных данных, подобных тем, что мы фиксируем сейчас, просто не было бы».
Пока же в России каждая пятая утечка персональных данных (19%) приходится на госорганы. В 18% случаев информация утекает из компаний, работающих в сфере ЖКХ. Замкнули тройку «лидеров» финансово-кредитные организации с показателем 16%. При этом меньше всего о безопасности персональных данных граждан заботятся компании сферы ЖКХ — судя по картине утечек, технические средства защиты информации в таких организациях практически не используются.
Столь низкий уровень защищенности персональных данных в России связан преимущественно с позицией регуляторов в отношении различных аспектов защиты персональных данных: практика защиты информации лишь «на бумаге», мизерные суммы штрафов, отсутствие законодательных инициатив, обязывающих организации публиковать факты утечки ПДн и информировать о них пострадавших граждан и т.д.
По мнению аналитиков InfoWatch, российские коммерческие компании и государственные органы начнут обеспечивать безопасность ПДн на должном уровне только в том случае, если за утечки персональных данных они будут отвечать серьезными штрафами и собственной репутацией.
В 2013 году компании потеряли $25 млрд из-за хакеров и инсайдеров
Кстати, на днях и Zecurion Analytics представил результаты ежегодного исследования утечек информации за 2013 год. Количество хакерских атак и хищений данных сотрудниками составило более 30% от всех случаев утечек, а в целом российские и зарубежные компании потеряли более 25 миллиардов долларов США.
Общий ущерб от внутренних инцидентов информационной безопасности вырос на 25% по сравнению с 2012 годом и составил чуть более $25 млрд.
Такая тенденция роста затрат от утечек данных указывает на то, что компании не уделяют защите информации должного внимания, вследствие чего теряют колоссальные суммы денег.
Так, в среднем по миру убыток от одной утечки составил $32 млн, в то время как в России размер финансового ущерба несколько меньше, даже несмотря на то, что максимальные потери от одного инцидента составили более 4 млрд рублей.
Всего России было зарегистрировано 48 инцидентов, большинство из которых получили широкую огласку в СМИ.
Среди наиболее громких: кража базы данных более чем 1 млн клиентов СК «Цюрих», переписка сотрудников сотового оператора МТС с контент-провайдерами, попавшая в открытый доступ, убытки на сумму 2 млн рублей, нанесённые компании «ФосАгро» бывшим сотрудником, а также конфиденциальные бумажные документы «Сбербанка», выброшенные в мусорный бак.
«Приведённая в отчёте оценка финансовых последствий утечек является достаточно консервативной. Реальные убытки от каждого инцидента могут сильно различаться в зависимости от конкретных факторов. К примеру, новость о задержании трёх топ-менеджеров HTC на краже информации в тот же день спровоцировала обрушение акций на 6,4%.
Учитывая рыночную капитализацию корпорации, это уже потери на миллиарды долларов. И в 2013 году таких инцидентов в коммерческих организациях было зарегистрировано немало, — говоритВладимир Ульянов, руководитель аналитического центра Zecurion. — В среднесрочной перспективе (2014–2016 гг.) стоит готовиться к увеличению краж персональных данных из банков. Мошеннические схемы, связанные с эквайрингом пластиковых карт, становятся всё более эффективными и позволяют злоумышленникам быстро монетизировать полученную информацию».
В 2013 году изменился и отраслевой профиль утечек.
Чаще всего информация утекает из организаций здравоохранения (16%), розничной торговли (16,2%) и госучреждений (15,5%). При этом самыми распространёнными каналами являются веб-сервисы (24,5%), а также ноутбуки и планшеты (суммарно 16,3%). Существенно возросло количество утечек через электронную почту — с 5,8% до 9,2%.
По материалам: anti-malware.ru
См. также:
- Наказание за утечку персональных данных ужесточат
- Информационная безопасность: бизнес и платежные данные крайне низко защищены
- Штрафы за нарушения при обработке персональных данных вырастут в десятки раз
- О некоторых аспектах обеспечения организационно-технической защиты персональных данных
- Обновленный закон «О персональных данных» принят
- Персональные данные: какие документы готовить к проверке?
- Результаты ежегодного исследования утечек информации за 2012 год
- Windows 7 и Windows Server 2008 сертифицированы на соответствие закону о защите персональных данных
Оставить комментарий