О громких инцидентах СМИ сообщали ежемесячно, а в некоторых случаях и чаще. По оценкам Zecurion, суммарный ущерб компаний от утечек информации за 2014 год составил 18,5 млрд долл. Тем не менее, количество значимых внутренних инцидентов информационной безопасности в 2014 году заметно сократилось по сравнению с предыдущими годами.
Отраслевая картина утечек в 2014 году кардинальных изменений не претерпела. По-прежнему тройка лидеров — это предприятия розничной торговли, госсектор и медучреждения. Утечки из трех этих отраслей составляют уже свыше половины всех инцидентов.
Госсектор стабильно уязвим на протяжении уже многих лет. Основные причины плохого состояния информационной безопасности заключаются в низкой мотивации защищать данные (для госкомпаний в большинстве случаев репутационный и в целом финансовый ущерб от утечек гораздо ниже, чем для частных), больших объемах обрабатываемой конфиденциальной информации и большом количестве персонала с доступом к этой информации. Все вместе это создает благоприятную среду для увеличения числа утечек.
Последствия утечек
Оценка ущерба от утечек информации в 2014 году получилась заметно меньше, чем в прошлые годы. Средний ущерб от одной утечки составил около 25 млн долл. Это можно расценивать как позитивный сдвиг – показатель того, что в прошлом году было меньше чувствительных по своим последствиям инцидентов.
Еще одним позитивным моментом следует считать, что все в большем числе случаев при оценке ущерба от инцидентов информационной безопасности можно опираться не только на собственную методику, но и предварительные оценки самих владельцев информации. Пострадавшие от утечки компании не заинтересованы в завышении ущерба, однако инциденты все равно оцениваются в десятки и даже сотни миллионов долларов.
Реальная оценка ущерба в большинстве случаев затруднена, в том числе из-за отсутствия всей совокупности фактов для справедливой оценки. В то же время подобная оценка важна не только для устранения последствий текущего инцидента, но полезна в перспективе для облегчения планирования деятельности служб информационной безопасности и получения финансирования проектов по защите информации.
Последствия утечек сильно зависят от типа и полноты данных. Если в руки к злоумышленникам попали номера и пин-коды действующих пластиковых карт, последствия, скорее всего, будут
очень серьезными, а ущерб большим. Если же речь идет об утечке адресов электронной почты (к тому же еще и без паролей), то реальный ущерб от инцидента будет очень скромным, даже репутационные риски в данном случае невелики.
Подавляющее большинство утекающей информации составляют персональные данные. В категории «другая информация» превалируют учетные записи пользователей различных web-сервисов и информационных систем. Гораздо реже встречаются утечки государственной или коммерческой тайны, интеллектуальной собственности. Хотя происходят они регулярно, сведения о подобных инцидентах раскрываются редко.
Не располагая всеми подробностями инцидентов информационной безопасности, сложно оценить причины всех утечек. Именно этим объясняется высокая доля неопределенности. Из тенденций последних двух лет следует отметить выравнивание долей случайных и умышленных утечек. В 2014 году разрыв между ними сократился всего до двух процентов.
Итоги и прогнозы
В прошлогоднем отчете Zecurion прогнозировал рост числа утечек из банков – прежде всего, информации, связанной с выпуском и обслуживанием пластиковых карт. Это объяснялось легкостью монетизации информации и высокой маржинальностью подобного черного бизнеса. Прогноз оказался верным лишь отчасти — утечек из банков существенно больше не стало. Оказалось, что данные о картах легче увести не из банков, а из розничных сетей, где, по всей видимости, дела с защитой информации обстоят гораздо хуже.
Наметившаяся еще в начале 2013 года тенденция к уменьшению числа утечек через съемные диски сохранилась и в 2014 году. В результате количество утечек через флешки сократилось до 6,4%. Это можно считать большим достижением, особенно с учетом того, что службы безопасности почти половины российских компаний фиксируют попытки слить информацию через USB-накопители.
Также сохранилась тенденция к уменьшению утечек из-за неправильной утилизации электронных носителей. Причина подобных утечек в большинстве случаев носит организационный характер, и может быть устранена с минимальными финансовыми затратами. Самое сложное в данном случае — изменить мышление ответственных людей, и, видимо, сейчас эти изменения начинают приживаться в среде ИТ-специалистов.
Говоря о перспективах ближайших лет, скорее всего, нас ожидает рост информационных угроз, связанных с использованием мобильных гаджетов, смартфонов, планшетов, а также увеличения числа целенаправленных атак с использованием разных инструментов. Проникая в традиционную корпоративную инфраструктуру, мобильные устройства несут не только удобство доступа к
информации, но и очевидные риски. Понятие периметра защиты оказывается совсем уж формальным, а с удаленным доступом к конфиденциальным данным велик не только соблазн, но и возможности украсть информацию.
Утечки в российских компаниях
В 2014 году в России был зафиксирован 41 внутренний инцидент. По количеству публичных инцидентов Россия занимает второе место после безусловного лидера — США. Однако публичные утечки — лишь вершина айсберга. Реальное количество утечек в России и в мире на несколько порядков больше.
Как показали результаты анонимного опроса, проведенного Zecurion среди своих клиентов, большинство компаний фиксирует от 11 до 20 серьезных инцидентов в год. Надо понимать, что в компаниях, не использующих DLP-системы, это будут реальные утечки информации. Среди самых популярных каналов утечки — электронная почта (с попытками передать информацию по этому каналу сталкиваются 53% компаний), USB-флешки (45%) и интернет-сервисы (32%).
Конечно, не каждый инцидент обязательно приведет к прямым финансовым потерям, — некоторые вообще не будут иметь последствий. Но если информация станет публичной или попадет к конкурентам, ущерб может быть очень большими, а в масштабе страны и вовсе астрономическим.
Отличается в России и оценка ущерба от утечек. Если по мировой статистике каждый инцидент стоит свыше 25 млн долл., то в России это значение составляет лишь 820 тыс. долл., а максимальные потери российской компании составили около 30 млн долл. Основные финансовые потери приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных областях) и из-за получения конкурентами других преимуществ.