Аналитический центр компании InfoWatch представил отчет об утечках информации в российских компаниях и госучреждениях, опубликованных в СМИ в 2012 году. По сравнению с 2011 годом количество получивших огласку инцидентов возросло примерно в пять раз.
Пострадавшими от утечек признаны более полумиллиона человек. Потери компаний трудно оценить в силу того, что число «публичных» инцидентов составляет не более 3-5% от их реального количества, а размеры финансовых убытков российские компании традиционно стараются не раскрывать. Однако аналитики отмечают, что при подсчете совокупных потерь необходимо учитывать упущенную прибыль в результате случившегося инцидента, затраты на ликвидацию последствий утечек и судебные разбирательства, компенсационные выплаты, что позволяет примерно оценить порядок цифр. Например, в банковской сфере при утечке клиентской базы к конкуренту компания потеряет более 10% клиентов, так как конкурент гарантированно предложит лучшие условия. Помимо этого, банк недополучит до 20% новых клиентов из-за ухудшения имиджа после оглашения факта утечки. В результате в первый год после инцидента ущерб может исчисляться сотнями миллионов рублей.
Так же, как и во всем мире, в России 2012 год ознаменовался большим количеством утечек в государственных компаниях – на них приходится 38% от общего числа инцидентов. Данный показатель не учитывает количество утечек, произошедших в медицинских, образовательных и бюджетных структурах, которые выделены в отдельную категорию в силу достаточно низкого уровня культуры защиты данных и недостатка финансирования. На долю этих структур в распределении утечек по России приходится еще 14%.
Увеличение доли госструктур в распределении источников утечек говорит о недостаточном внимании к проблемам защиты информации в госсекторе. Правда, в отличие от мировых трендов, утечки из российских государственных органов мало связаны с BYOD. Случаев утечки информации через мобильные устройства практически не отмечается, но это не значит, что их не было вовсе.
Очень примечательно распределение инцидентов по умыслу: в 77% случаев утечки в российских компаниях относятся к разряду злонамеренных, тогда как во всем мире их доля на протяжении десятка лет колеблется вокруг 50% (без учета утечек невыясненной природы). Здесь следует оговориться, что причиной таких показателей во многом является повышенное внимание российских СМИ к утечкам со злоумышленником «в главной роли» по сравнению с историями о случайном обнародовании персональных данных.
Крайне высокая доля от общего количества утечек из коммерческих организаций приходится на банковский сектор – 34%. Доля злонамеренных утечек в банках составила 100%, то есть они всегда совершались с целью наживы. Остается констатировать, что стремление российских финансовых организаций к защите собственной информации и персональных данных граждан пока малоэффективно.
В соответствии с мировыми тенденциями, в России лидирующим типом утекающей информации являются персональные данные. Это наиболее массовый способ заработка злоумышленников, имеющих доступ к защищенной информации: такие данные обладают высокой ликвидностью, их можно быстро и успешно сбыть на черном рынке.
На утечки коммерческой тайны пришлось чуть более четверти всех инцидентов, в то время как по миру их доля не превышает 6%. Это еще раз подчеркивает явный недостаток внимания российских компаний к защите собственных секретов, хотя именно разглашение коммерческой тайны причиняет компаниям наибольший материальный ущерб.
Исследование свидетельствует, что именно организационные меры сегодня являются слабым местом информационной безопасности. На это указывает уверенное лидерство бумажной документации как самого популярного канала утечек. Через нее «утекает» почти треть всей информации, причем рост количества утечек через бумажные носители характерен для всего мира.