Как подсчитали аналитики InfoWatch, в 2012 году было скомпрометировано более 1,8 млрд записей, в том числе финансовые и персональные данные. В СМИ были обнародованы почти 1 тыс. случаев утечки конфиденциальных данных, что на 16% превышает показатель предыдущего года. При этом только прямые потери компаний, которые были упомянуты в связи с инцидентами, составили более 37,8 млн долл.
В последнее время наблюдается положительная динамика по обнародованию в СМИ информации об утечках ценной информации, но есть основания полагать, что число «публичных» инцидентов составляет не более 3-5% от их реального количества, а финансовые убытки указывает еще меньшее количество компаний. Если учитывать все эти факты, то десятки миллионов потерь выливаются в совершенно фантастические суммы – десятки миллиардов.
В InfoWatch отмечают, что при подсчете совокупных потерь необходимо учитывать упущенную прибыль в результате случившегося инцидента, затраты на ликвидацию последствий утечек и судебные разбирательства, компенсационные выплаты. Рассчитать и оценить все затраты, которые могут возникнуть в результате криминальных действий сотрудников, крайне сложно.
Разумеется, внедрение компаниями средств защиты повлияло на соотношение случайных и умышленных утечек. Как известно, имеющиеся на рынке средства и методы более эффективны в отношении именно случайных утечек, нежели умышленных. Действительно, процент случайных утечек снижается – в 2012 году доля случайных утечек составила всего 38%, а доля злонамеренных утечек растет – 46%. Первое место по типу утечек по-прежнему занимают персональные данные – они составляют 89% общего объема. Они ликвидны и поэтому интересны широкому кругу злоумышленников. Подобные утечки имеют массовый характер, и базы с персональными данными могут быть проданы широкому кругу покупателей. При этом коммерческая или государственная тайны, напротив, обычно утекают «на заказ» несмотря на то, что организации серьезно подходят к защите информации и стараются соответствовать требованиям законов и стандартов.
Если рассматривать соотношение утечек в разрезе типов организаций, то доля коммерческих организаций уменьшилась на 5% и составила 41%, а доля образовательных учреждений сократилась практически вполовину. Откровенно плохо дела обстоят в государственных учреждениях, количество инцидентов в которых составило 29%, показав существенный прирост.
В целом 2012 год можно назвать годом утечек в государственных компаниях. Увеличение доли госструктур в распределении источников утечек по типу организации примечательно и говорит о недостаточном внимании к проблемам защиты информации в госсекторе. Вторая причина еще более очевидна – массовое использование мобильных устройств, к которому службы информационной безопасности государственных и муниципальных организаций по всему миру оказались явно не готовы.
Как утверждают в Gartner, около трети компаний уже используют системы для борьбы с утечками информации (Data Leak Prevention, DLP). Однако восприятие DLP как программного обеспечения, способного самостоятельно, без усилий со стороны служб безопасности бороться с утечками, в корне не верно. Если со случайными утечками такие системы действительно справляется, то борьба со злонамеренными требует серьезной консалтинговой составляющей. Это касается и подготовки DLP-проектов, и сопровождения систем, в частности, расследования случившихся инцидентов.