До недавнего времени считалось, что проблема утечек конфиденциальной информации не затрагивает малый и средний бизнес, поскольку стоимость информационных активов в сегменте SMB не столь высока, как в крупных компаниях. Однако результаты исследования, проведенного InfoWatch, показывают, что такое представление ошибочно. Если в мире на SMB пришлось чуть менее 40% от общего зафиксированных утечек, то в России этот показатель составил 61%, то есть почти две трети. Более того, в средних компаниях ущерб (в расчете на одну скомпрометированную запись) составляет около 16 долл., что на 2,5 долл. больше, чем в крупных организациях.
Доля масштабных утечек в среднем бизнесе также выше, чем в больших корпорациях. В ряде случаев, когда утекали базы данных с числом записей 5 тыс. и более, а ущерб составлял свыше 10 тыс. руб., речь шла именно о малых и средних компаниях. При этом для среднего бизнеса последствия от утечек крупных массивов персональных данных часто более ощутимы, чем для крупных компаний. В таких отраслях, как торговля или туризм, где и представлены в основном небольшие организации, утечка базы данных клиентов может привести к ущербу, сопоставимому с оборотом компании. В целом, только по официальным данным совокупный ущерб некрупных компаний от утечек составил в 2013 году более 2 млрд долл.
Доля утечек «неопределенной» природы (когда невозможно определить, был ли инцидент случайным или умышленным), в секторе SMB очень высока. В компаниях среднего размера этот показатель составил 23%, в небольших организациях – 43%. Для сравнения, в общемировой статистике наличие умысла остается невыясненным лишь в каждом десятом случае. Такая картина свидетельствует о недостаточном распространении DLP-систем, так как использование технических средств позволяет сформировать полную картину инцидента, включая информацию о канале, природе и виновнике утечки.
Распределение утечек по каналам также говорит в пользу невысокого уровня безопасности информации в SMB. Небольшие и средние компании чаще, чем крупные, страдают от утечек через съемные носители, сеть и электронную почту, но основным каналом утечек по-прежнему остается бумажная документация. Все эти каналы легко контролируются техническими средствами.
Несмотря на повышение внимания государственных органов к защите персональных данных, в России в 2013 году на долю небольших операторов ПДн пришлось до 66% всех утечек.
По данным InfoWatch, сотрудники и руководители небольших и средних компаний «сливают» информацию чаще, чем их коллеги в крупном бизнесе (76% против 45%). Этот мнимый парадокс объясняется тем, что крупные компании чаще делегируют определенные задачи контрагентам (утилизация бумажных документов, сервис ИТ-инфраструктуры и т.д.), вследствие чего часть утечек неминуемо приходится на долю последних.