Сообщения о росте количества утечек персональных данных появляются в последнее время с завидной постоянностью. Не пугают российских хакеров и злоумышленников ни 152 закон о персональных данных, ни 138 статья УК РФ о нарушении тайны переписки. Более того, за первое полугодие 2015 года число утечек конфиденциальных данных в мире выросло на 10%, а Россия заняла второе место в мире по утечкам персональных данных в Сеть.
По данным глобального исследования компании InfoWatch, в первом полугодии 2015 года в мире было зафиксировано 723 случая утечки конфиденциальной информации, что на 10% превышает количество утечек, зарегистрированных за аналогичный период 2014 года. Согласно InfoWatch, Россия с 2013 года занимает второе место в мировом рейтинге по количеству утечек (59 утечек в первом полугодии 2015 года). Первое место традиционно достается США (430 или 59% от всех произошедших). На третьем месте — Канада (39 утечек).
Рисунок 1. Число зарегистрированных утечек информации, первая половина 2006 — первая половина 2015 гг., InfoWatch
Наряду с громкими именами, такими как Apple, Google, HTC, Kia Motors, Lenovo, Lufthansa, Microsoft, в число организаций, скомпрометировавших персональные данные пользователей, попали несколько российских компаний: ВТБ-24, МТС, РЖД. Также опасности подверглись правительственные учреждения, администрации регионов, министерства и силовые ведомства, полицейские департаменты. Утечки данных были зарегистрированы даже в АНБ и ЦРУ. В связи с утечками упоминались известные политики Дмитрий Медведев, Хилари Клинтон, Джеб Буш.
Однако, по мнению Андрея Заикина, руководителя направления информационной безопасности компании КРОК, не стоит называть увеличение количества утечек по миру на 10% взрывным: «Даже 59% по России — это почти на 40% меньше, чем в первом полугодии 2014 года. Число подобных инцидентов растет год за годом, как и в целом повышаются масштабы угроз в области информационной безопасности и активность злоумышленников. Но именно это и способствует развитию средств защиты информации».
Статистика исследования InfoWatch по миру, тем не менее, показывает неутешительные данные. В 58% случаев виновниками утечек корпоративной информации были настоящие или бывшие сотрудники. Топ-менеджмент, главы отделов и департаментов также попали в статистику — около 1% утечек происходят по вине высшего руководства. Правда, по данным исследования, 81% инцидентов можно отнести в «классическим» утечкам, не имеющим особого умысла со стороны правонарушителей. То есть зачастую данные уходят из компаний из-за недостаточной информированности и безответственности пользователей или несовременных способов защиты информации. С данным тезисом в отчете Breach Level Index соглашается компания Gemalto, выявившая в начале 2015 года до 888 случаев утечек данных в мире.
В качестве основных причин утечек эксперты выделяют, прежде всего, недостаточный уровень защиты в организациях, низкий уровень осведомленности сотрудников и халатное отношение со стороны службы безопасности. По мнению Василия Дягилева, главы представительства компании Check Point в России и СНГ, «В России очень распространен подход к безопасности по «достаточному для регуляторов» методу, а компании недооценивают стоимость утраты критически важной информации. Очень многие системы по функционалу и уровню защиты не могут противостоять современным угрозам, которые развиваются семимильными шагами, а регуляторы, к сожалению, не успевают менять требования к руководящим документам и применению практик. Сами компании часто работают по принципу «достаточности», покупая или внедряя системы, которые не обеспечивают сохранность информации, а лишь позволяют поставить галочку напротив требования о защите персональных данных».
Также следует отметить, что несмотря на ежегодный рост количества внутренних утечек, их доля воздействия постепенно снижается. «Практика показывает, чаще всего причиной внутренних утечек является человек — как самое слабое звено цепи. Причем в подавляющем количестве случаев это непредумышленная кража данных, а утрата по стечению обстоятельств», — добавляет Василий Дягилев. Сейчас на первый план выходят утечки данных, произошедшие вследствие внешних атак. Именно с внешними атаками связано большинство крупнейших и самых заметных инцидентов безопасности. Согласно исследованию Gemalto, наиболее частыми являются кражи персональных и идентификационных данных — 53% инцидентов в 2015 году было связанно именно с утечками персональной информации.
Рисунок 2. Количество инцидентов по типу украденных файлов (слева) и по источнику утечек (справа), Gemalto
Сокращается доля утечек из-за потери оборудования, из-за использования электронной почты и бумажных носителей. Количество утечек с использованием съемных носителей, мобильных устройств осталось на уровне начала 2014 года. Остается упомянуть еще два канала: утечки информации через мобильные устройства и сервисы мгновенных сообщений. Доля подобных утечек пока не большая, но как известно, «дьявол кроется в мелочах». В исследовании InfoWatch отмечается, что растет «профессионализм» злоумышленников (в том числе внутренних). Инсайдер уверен, что почта, бумажная документация, мессенджеры (и им подобные каналы) контролируются, и потому находит иные способы для «слива» информации.
Если рассматривать компании по отраслям, то чаще всего утечки фиксировались в медицине (24%), реже всего в муниципальных учреждениях (менее 1%). По объему скомпрометированных записей пальму первенства делят медицина и государственные учреждения – 36% и 32% соответственно. В России пока наиболее часто встречаются примеры мошенничества с чужими персональными данными в исполнении сотрудников банков, страховых компаний, салонов сотовой связи. По мнению Андрея Заикина, это можно связать с кризисной ситуацией в стране. Благодаря взломам и кражам данных в банковских сетях злоумышленники могут не только получить конфиденциальные сведения, но и заработать. Zecurion Analytics в своем исследовании утечек информации отметила, что в 2014 году средний убыток по миру от одной утечки составил 25 миллионов долларов, а максимальный ущерб одного инцидента в российской компании достиг 30 миллионов долларов.
Рисунок 3. Средний ущерб от утечек в 2012 — 2014 годах, Zecurion
«В любом случае юридические лица вне зависимости от принадлежности к той или иной отрасли должны своевременно обновлять программное обеспечение, фильтровать трафик, разработать и использовать регламент по работе с конфиденциальной информацией. Кроме того, учитывая тот факт, что больше половины инцидентов утечки информации происходит по вине сотрудников организаций, нужно повышать их уровень информационной грамотности и осведомленности об имеющихся рисках. Для контроля за основными каналами обмена данными могут быть использованы системы класса DLP (Data Loss/Leakage Prevention). А для управления правами доступа к ресурсам — приложения класса IRM (Information Right Management)», — комментирует Андрей Заикин.