По результатам исследования Аналитического центра компании InfoWatch в России в 2018 году зарегистрировано 270 случаев утечки конфиденциальной информации из коммерческих и некоммерческих компаний, а также государственных организаций. Это на 6% больше, чем в 2017 г. Доля утечек в результате действий внешних злоумышленников сократилась более чем в два раза – до 9,5%. Примерно 39% инцидентов пришлись на государственные и муниципальные организации.
В общемировом распределении доля «российских» утечек составила 12%. Объем скомпрометированных персональных данных, который пришелся на российские компании и государственные организации, не превысил 1% от совокупного объема данных, скомпрометированных по всему миру.
Если в 2017 г. в результате хакерских атак в России произошло 21,3% зарегистрированных утечек, то по итогам 2018 г. эта доля сократилась до 9,5%. Сравнительно небольшая доля утечек по вине внешнего злоумышленника не должна вводить в заблуждение. Из данных статистики следует, что основной проблемой для российской информационной безопасности остается внутренний нарушитель. Но увеличение объемов данных, обрабатываемых компаниями, повышение стоимости таких данных с неизбежностью приведет к росту количества внешних атак. Речь идет не только и не столько о «продвинутых» хакерах, работающих по заказу, сколько о массовых взломах с целью вытащить из организаций хоть что-то ценное — базы данных, агрегированную информацию о сотрудниках.
Если в мире доля утечек по вине сотрудников постепенно сокращается, то в России картина принципиально иная. В 2016 году в нашей стране на долю сотрудников пришлось 65% утечек, в 2017 году — уже 69%, по данным 2018 года практически 78% инцидентов, повлекших компрометацию информации ограниченного доступа, спровоцированы умышленными или неосторожными действиями персонала. Для России также характерна более высокая доля утечек по вине руководства компаний — 8,8% по сравнению с 3,2% в мире.
Кроме очевидного интереса к особенностям процессов формирования картины утечек в нашей стране, подготовка отдельного исследования утечек данных для России связана со стремлением авторов в очередной раз привлечь внимание общественности к проблеме утечек основного (по числу зафиксированных инцидентов) для нашей страны типа информации — персональных данных.
Сегодня во многих странах мы наблюдаем крен в сторону технически более простого административного регулирования безопасности данных через повышение штрафов, ужесточение требований, - комментирует президент ГК InfoWatch Наталья Касперская. - В самом деле, если персональные данные граждан являются активом государства, то государство и должно обеспечить их защиту через жесткое регулирование процессов обработки (в широком смысле) персональных данных как в рамках системы собственных органов, так и в коммерческом секторе. На фоне обозначившегося общемирового тренда на ужесточение административной ответственности за компрометацию сведений личного характера, регуляторная политика в России по-прежнему выглядит довольно мягкой. Пострадавшие от утечек персональных данных могут рассчитывать на компенсацию причиненного вреда по результатам судебного разбирательства. Но размер компенсаций редко превышает 10 тыс. рублей, а число подобных дел исчисляется единицами.
Распределение утечек по типам данных свидетельствует о небольшом (по сравнению с мировой картиной) количестве случаев компрометации платежных данных при сопоставимых с мировыми долях утечек информации, составляющей государственную и коммерческую тайну. Причины такого отклонения кроются в свойственной российской сфере ИБ неоднородности проникновения систем защиты в различные отрасли. Организации, чья деятельность предполагает обработку платежной информации, традиционно считаются лидерами в плане использования решений для обеспечения информационной безопасности. Это в первую очередь банки. Сказать то же самое о компаниях, где обработка платежных данных не относится к числу ключевых операций (т.е. о большинстве организаций, которые активно ведут бизнес, хранят данные клиентов и партнеров), пока не получается.
С сожалением приходится констатировать, что сотрудники компаний, имеющие легитимный доступ к персональным данным пользователей, клиентов, зачастую не обладают элементарными знаниями о правилах безопасного обращения с информацией ограниченного доступа, либо умышленно игнорируют запреты и политики безопасности.
«Рост числа инцидентов, связанных с намеренной компрометацией персональных данных, объясняется тем, что Россия постепенно встраивается в мировую парадигму всеобщей «цифровизации», одним из необходимых признаков которой является наличие среды для предоставления услуг в электронном виде, - объясняет аналитик ГК InfoWatch Сергей Хайрук. - «Цифровизация» позволяет «оторвать» реальную личность от электронного профиля. Очевидно, что такая возможность порождает спрос на чужие персональные данные, «привязанные» к различным электронным сервисам — будь то аккаунты в приложениях каршеринга, личные кабинеты систем кадастрового учета, даже зарегистрированные SIM-карты. В самом простом случае механизм использования чужих данных выстроен так, что услугу получает злоумышленник, укравший данные, а платит за нее «владелец» данных, человек, «от имени» которого действует нарушитель.
Персональные данные, таким образом, обретают все большую ценность для различного рода мошенников. Лица, имеющие доступ к таким данным, подвергаются соблазну скопировать их из системы и продать первому, кто предложит за нематериальный актив материальное благо — живые деньги.
В ходе исследования в очередной раз нашел подтверждение тот тезис, что для России характерна более высокая доля так называемых «квалифицированных» утечек данных. То есть таких случаев, когда злоумышленник осознанно использует украденную им информацию для достижения личной выгоды (мошенничество с данными, банковский фрод), или получает доступ к информации, заведомо не нужной ему для выполнения трудовой функции (превышение прав доступа).
Большое число «квалифицированных» утечек в России аналитики ГК InfoWatch связывают со сравнительно низким уровнем культуры информационной безопасности. Сотрудники организаций, ежедневно имеющие дело с чувствительной информацией, периодически «забывают», что результат их труда является служебным произведением и, по общему правилу, принадлежит работодателю. Отсюда многочисленные случаи продажи баз данных, содержащих сведения о клиентах и контрагентах организации-работодателя, попытки «найти свой интерес в чужом кармане», получив от работодателя не только заработную плату, но и «бонус».
Доминирующими каналами утечки конфиденциальной информации из организаций в России являются бумажные носители и Сеть. На них пришлось, соответственно, около 45% и около 43% инцидентов.
По-прежнему наиболее типичными для нашей страны являются сценарии утечек через «бумажную документацию». Организации вывешивают на домах подъездов списки должников с полным перечнем персональных данных. О банках и страховых компаниях, органах власти, выбрасывающих копии паспортов клиентов на ближайшие к офисам свалки, даже говорить не приходится — слишком обыденными стали эти истории.
Число умышленных утечек по таким каналам, как «съемные носители», «потеря и кража оборудования» в 2018 году исчислялось единицами. Злоумышленники, зная о том, что их действия контролируются, просто не используют указанные каналы.
Утечки из госсектора и местных органов власти в принципе занимают в России более заметное место, чем в целом по миру — на долю государственных и муниципальных органов приходится в совокупности 39% от всех случаев компрометации информации, зафиксированных в 2018 году.
Далее по значимости идут утечки из организаций сферы торговли и развлечений (14%), финансового сегмента (12%). Небольшая доля «медицинских» утечек — 8,5% на фоне 19% доли в мировом распределении — объясняется относительно низким уровнем «цифровизации» российской медицины, особенностями развития российского медицинского страхования. Парадоксально, но отсталость российской медицины в плане цифровизации выступает залогом относительной безопасности персональных данных в медучреждениях.
Наибольший процент умышленных утечек в России приходится на такие отрасли, как банки и финансы (70%), высокие технологии (65,2%), промышленность и транспорт (60%). Таким образом, информационные активы именно эти трех вертикалей выглядят наиболее привлекательными для злоумышленников.
С учетом выявленных и обозначенных особенностей российской картины утечек, известных факторов, формирующих эту картину, наиболее приемлемым подходом следует признать создание и использование таких систем защиты, которые позволяют контролировать конкретных типы информации ограниченного доступа (базы данных, финансовые документы, информация, составляющая коммерческую тайну), проводить «глубокий» мониторинг «проблемных» каналов передачи информации (исходящий интернет-трафик, бумажные документы, передача данных на съемные устройства), - резюмирует Сергей Хайрук. - Кроме того, необходимо акцентировать внимание на всестороннем применении анализа поведения сотрудников в жесткой привязке к их роли в компании, объему прав доступа к информации. В идеальном случае такая защита дополняется решением для противодействия внешним атакам.