ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Утечки корпоративной информации и конфиденциальных данных за 2012 год

Утечки корпоративной информации и конфиденциальных данных

Аналитический центр компании InfoWatch представляет ежегодное исследование утечек информации в мире, зарегистрированных и обнародованных в СМИ за 2012 г.

За все годы исследования предмета аналитики впервые столкнулись с неоднородностью картины утечек применительно к различным отраслям. На общем фоне выделяются банки, страховые компании, телеком-операторы, где доля случайных утечек стабильно снижается. Данная картина – с небольшими оговорками – характеризует весь коммерческий сектор.

2012-й – год утечек в государственных компаниях

Увеличение доли госструктур в распределении источников утечек примечательно и говорит о недостаточном внимании к проблемам защиты информации в госсекторе. Вторая причина еще более очевидна – массовое использование мобильных устройств (смартфоны, ноутбуки, планшеты), к чему службы ИБ государственных и муниципальных организаций по всему миру оказались явно не готовы.

Подтверждается предсказанная ранее тенденция к снижению доли случайных утечек в целом по миру. Связано это с возрастающей популярностью средств защиты информации (с одной стороны), а также с особенностью этих систем, более эффективных именно в отношении случайных утечек.

Распространенность средств защиты информации (Gartner утверждает, что около трети компаний уже используют DLP) снимает только одну часть проблемы – случайные утечки – и никак не влияет на злонамеренные. Вопрос здесь скорее в восприятии DLP-систем как софта, способного самостоятельно, без усилий со стороны ИБ-служб бороться с утечками, что в корне неверно. И если со случайными утечками DLP действительно справляется, то борьба со злонамеренными требует серьезной консалтинговой составляющей в DLP-проектах на этапе подготовки, внедрения и сопровождения системы, расследований инцидентов.

В ближайшее время следует ожидать изменения восприятия и отношения к DLP как со стороны вендоров, так и со стороны клиентов. В этом случае можно прогнозировать уже в течение 3-5 лет снижение типичных утечек – недорогие умышленные и неумышленные.

Основные факты:

    За 2012 г. в мире зафиксированы и обнародованы в СМИ 934 случая утечки конфиденциальных данных, что на 16% превышает показатель 2011 г.

    Официально заявленные в СМИ прямые убытки кредитно-финансовых организаций от утечек в первом полугодии 2012 г. составили чуть более $37,8 млн. Скомпрометировано более 1,8 млрд записей, в том числе финансовые и ПДн.

    Доля случайных утечек стабильно уменьшается и составляет 38%.

    Повышается доля утечек в госкомпаниях и муниципальных учреждениях – 29% (+9% по сравнению с 2011 г.).

    Лидирующий тип утечек – ПДн (89,4%).

    Самый популярный канал утечек – бумажная документация (22,3%).

Выводы и тенденции

Явные убытки по публичным утечкам составляют $37,8 млн. Но это лишь прямые затраты, без учета расходов на судебные разбирательства, рассылку уведомлений, аудит и реструктуризацию систем ИБ и т.д. Очевидно, что с учетом всех расходов цифру потерь необходимо увеличить на порядок. А принимая во внимание то, что видимая часть утечек – всего лишь несколько процентов, придется получившиеся суммы увеличить еще в 30-50 раз. На выходе имеем совершенно фантастические потери – десятки миллиардов долларов.

Проблема в том, что реальная сумма потерь может очень сильно колебаться в заданном диапазоне величин, и любые попытки точно закрепить ее заранее обречены на провал. Поэтому с 2012 г. специалисты аналитического центра отказались от приведения цифр совокупных потерь, однако сам факт лавинообразного увеличения показателя финансовых потерь сочли необходимым отметить.

Второй интересный момент – изменение позиций коммерческих компаний в отношении произошедших инцидентов. Все чаще компании не только не скрывают факт, но сознательно идут на сотрудничество со следствием, подробное расследование инцидента и наказание виновных. Как ни странно, это положительно сказывается на имидже.

Третье, но наиболее важное – наметившаяся "специализация" средств защиты от утечек в отношении случайных инцидентов. Следует уже сейчас задуматься о смене технологических подходов к созданию систем для того, чтобы информация защищалась равно эффективно и от случайной, и от злонамеренной утечки. Для этого центральным объектом защиты должны стать именно данные, а не каналы связи или инфраструктура. Причем независимо от физического местонахождения информация должна обнаруживаться и надежно контролироваться – будь то локальное хранилище или Глобальная сеть. В этом – новый вызов для всей сферы DLP.

Методология

Исследование основывается на собственной базе данных (БД), которая пополняется с 2004 г. В базу утечек включаются инциденты (утечки данных), произошедшие в организациях в результате злонамеренных или неосторожных действий сотрудников и обнародованные в СМИ или других открытых источниках (включая Web-форумы и блоги).

Оговоримся, что исследование охватывает лишь незначительное (не более 1-5%) число реальных утечек, произошедших в мире.

Следовательно, можно утверждать, что тенденции на выборке публичных инцидентов валидные, выполняются на всем множестве утечек, как обнародованных, так и оставшихся скрытыми.

Случаи нарушения конфиденциального статуса информации, произошедшие в результате внешних компьютерных атак, а равно и иные инциденты ИБ (DDoS, фишинг и пр.) в данном отчете не рассматриваются.

Классификация и регистрация инцидентов в базе утечек осуществляется на основе результатов анализа, проводимого сотрудниками InfoWatch. В ходе аудита базы каждой утечке присваиваются различные атрибуты (тип организации, сфера деятельности, тип утечки, финансовый ущерб) и метрики (каналы, типы утекших данных), позволяющие дать представление о масштабе произошедшей утечки, проанализировать возможные причины произошедшего инцидента и спрогнозировать его последствия.

Данные о прямом ущербе и количестве скомпрометированных записей взяты непосредственно из публикаций.

Общая статистика

В 2012 г. аналитическим центром зарегистрированы 934 случая утечки конфиденциальной информации, что на 16% больше, чем в 2011 и 2010 г. (794 и 801 утечка соответственно). Это в среднем 2,5 утечки в день, 75-80 утечек в месяц.

Аналогичный всплеск в последний раз регистрировался в отчете 2009 г. Тогда по отношению к 2008 г. количество утечек выросло на 40% и было связано с ослаблением внимания компаний и госорганизаций к ИБ на фоне экономического спада.

Нынешний рост, наоборот, объясняется повышенным вниманием регуляторов, государства и других заинтересованных сторон к проблеме безопасности данных. Не секрет, что за рубежом каждый случай утечки ПДн граждан – повод для судебного преследования нарушителей. Регулирующие органы активно распространяют информацию об утечках. Это характерно для США, где подробности об утечках данных периодически публикуются аппаратом окружных прокуроров в виде сообщений для прессы.

Умысел

Баланс умышленных и случайных утечек принципиально не отличается от прошлого года. Предсказанная нами два года назад тенденция на снижение доли случайных утечек с ростом распространенности DLP проявляется все более явно. Особенно в отраслях, традиционно ориентированных на защиту данных – банки и финансовые организации, телеком, государственные структуры (в банках доля случайных утечек едва доходит до 20%).

Как видим, процент случайных утечек действительно снижается – в 2012 г. их доля составила всего 38%. На этом фоне растет доля злонамеренных – 46%. Процент утечек неясной природы практически не изменился – 16% в 2012 г.

Примечательно, что в 2012 г. мы наблюдаем значительное превышение числа злоумышленных утечек по сравнению с числом случайных.

Последний раз аналогичная ситуация наблюдалась в 2009 г. Схожесть показателей можно объяснить чувствительностью случайных утечек к внедрению средств защиты информации. В 2009 г. это был "хвост" от благополучного 2008 г. (первая волна массового внедрения средств защиты от утечек). Результаты прошедшего года косвенно подтверждают зарождение второй волны популярности DLP-систем. Как упоминалось ранее, ярче всего указанная тенденция проявляется в передовых с точки зрения ИБ отраслях – банки, телеком. Там доля случайных утечек по отношению к злонамеренным еще меньше.

Вывод

С 2008 г. соотношение случайных и намеренных утечек изменилось. Снижение доли случайных утечек в 2012 г. знаменует начало предсказанной аналитиками тенденции, связанной с масштабным использованием средств защиты от утечек.

Источники утечек

В связи с широко принятыми в разных странах законами о защите ПДн практически все организации, имеющие дело с ПДн клиентов, или предприятия, имеющие большой штат сотрудников, должны принимать меры по защите этой информации.

На деле действительно серьезно к защите информации относятся коммерческие компании (их доля составила 41% и уменьшилась на 5% по сравнению с прошлым годом), образовательные учреждения (доля сократилась более чем вполовину, составив 16%). Откровенно плохо защищаются государственные учреждения (прирост – 9% к 2011 г.).

Интересно, что падение числа утечек в коммерческих компаниях и образовательных учреждениях проявляется и в количественном измерении.

Тут необходимо отметить несколько моментов:

    в банках преобладают злонамеренные утечки (22% из числа всех злонамеренных утечек), а вот случайных утечек практически нет (4%);

    в то же время случайные утечки (61%), равно, впрочем, как и намеренные (треть от всех), характерны для медучреждений;

    доля ритейловых компаний в обоих случаях незначительна.

Если внимательно посмотреть на динамику изменения долей по основным источникам утечек, заметим, что доля случайных утечек из коммерческих компаний практически не поменялась (около 37%), доля умышленных утечек сократилась.

2012-й стал годом утечек из государственных организаций и муниципальных учреждений. Очевидно, это связано с объяснимой задержкой внедрения технологий защиты от утечек в забюрократизированных структурах.

Вывод

Приведенные данные по коммерческим организациям (в особенности отраслевой разрез) подтверждают тезис о зависимости между ростом популярности DLP-систем и снижением доли случайных утечек. Тем острее встает вопрос об умышленных утечках и путях решения данного аспекта проблемы безопасности информации. По сути, речь идет о том, что уже сейчас необходимо выработать новый подход к защите данных и требованиям к DLP-системам.

Персональные данные

По-прежнему львиная доля всех утечек касается ПДн – 89,4% (в предыдущем году – 92,4%).

Отчасти такая высокая доля ПДн среди утечек определяется законодательными требованиями о публикации инцидентов, связанных с подобными утечками. Другой частью правды является то, что ликвидные ПДн интересны широкому кругу злоумышленников, так как их можно сбыть на черном рынке. Коммерческая или государственная тайны обычно утекают "на заказ". По-настоящему массовыми становятся инциденты, где данные ликвидны и могут быть проданы за деньги широкому кругу покупателей.

Тем более удивительно, что в 2012 г. зафиксирован ряд инцидентов, где коммерческая и государственная тайна прямо фигурировали как объект посягательства. В большинстве случаев огласка факта утечки коммерческой тайны имеет под собой желание пострадавшей стороны вывести инцидент в плоскость судебного разбирательства. В большинстве стран кража коммерческой тайны подпадает под действие административного или уголовного законодательства. Как следствие, компании, пострадавшие от злонамеренной утечки, заинтересованы в том, чтобы наказать виновных (будь то сотрудники или внешние злоумышленники) по всей строгости закона.

Вывод

Один из методов противодействия умышленным кражам секретной информации заключается в необходимости затруднить сбыт конфиденциальной информации, сделать невыгодным ее хищение на продажу, усилить законодательную базу. Тогда посягательства на эти данные могут значительно сократиться.

Каналы утечек

Канал утечек – характеристика, которая имеет прямое практическое приложение. В зависимости от частоты утечек по тому или иному каналу (через тот или иной носитель) можно планировать внедрение средств защиты, а также определить приоритет - какими каналами надо заниматься в первую очередь. Но помимо статистических данных, нужно учитывать специфику работы организации, какие средства и инструменты чаще всего используются для передачи информации, именно их защищать и контролировать.

Если принять во внимание все большую популярность средств защиты от утечек информации, следует ожидать падения долей традиционных каналов утечек (где, собственно, технические системы защиты наиболее эффективны). Как видим, для общего распределения это вполне справедливо. Доля Web-утечек снизилась вдвое – 6,7%, доля утечек через ПК увеличилась на 1%, съемные носители – снижение 0,2%, электронная почта – практически без изменений.

Самое значительное изменение зафиксировано в отношении бумажной документации. Как ни странно, именно организационные меры сегодня являются слабым местом ИБ. В 2012 г. этот сегмент прирос еще на 3%, составив 22,3% от всех утечек.

Факты утечки информации, отправленной по электронной почте и переданной огласке, составили всего 6,3%. Этот канал, так же как и Web, является самым популярным каналом распространения и передачи информации. Большое число утечек через электронную почту в прошлые годы (2007-2009 гг.) привело к тому, что компании стали серьезно контролировать этот канал. В результате наблюдается снижение числа утечек через почту, хотя до идеала, конечно, далеко. И по-прежнему электронная почта остается самым "лакомым" каналом утечки из-за своей простоты. Возможно, доля необнародованных утечек здесь превалирует, поэтому процент утечек по этому каналу не столь велик, как можно было бы предположить.

Переносные устройства теряются и крадутся в огромных количествах, а обойтись без них в современной жизни почти невозможно. Поэтому актуальны технические и организационные меры по контролю за подобными мобильными устройствами и информацией, которая на них хранится. Не записывать на мобильные носители секретную информацию без нужды, а если записывать, то в зашифрованном виде. Соблюдение этих правил позволит избежать значительного числа инцидентов в эпоху BYOD.

Теперь рассмотрим, насколько отличаются умышленные и случайные утечки на разных типах носителей.

Прежде всего обращает на себя внимание большая доля неопределенных утечек (неустановленный источник), что объяснимо для злоумышленных утечек.

Плачевна ситуация с резервными копиями. Большой процент (13,3%) намеренных утечек по этому каналу говорит о недостаточном внимании служб И Б к архивной информации (бэкапы). К сожалению, немногие из распространенных систем резервного копирования имеют встроенное шифрование. А похитить архивный диск бывает проще, чем "рабочий" носитель.

Особо следует выделить канал "ПК, серверы". Здесь мы чаще сталкиваемся с умышленной утечкой информации со стационарных рабочих станций или серверов. Причем, как правило, речь идет о неправомерных действиях администраторов сетей - перепродажа ПДн, слив информации конкурентам и пр.

По-прежнему высока доля случайных утечек через электронную почту (почти 10%), "случайно" течет через смартфоны и ноутбуки (потеря устройств – 17,0%), съемные носители (потеря флешек – 8,8%).

Треть всех случайных утечек приходится на бумажные носители. Современные DLP-системы умеют проверять все документы, отправляемые на печать, и даже подтверждать наличие в офисе того сотрудника, от имени которого сформировано задание печати. Но после того как документ напечатан, его распространение отследить крайне сложно.

Вывод

Полученные результаты однозначно свидетельствуют о том, что создатели DLP-решений сегодня столкнулись с новым вызовом. Понятие защищенного периметра организации, по сути, ушло в прошлое, поэтому системы защиты от утечек должны обеспечить безопасность данных как внутри инфраструктуры компании, так и за ее пределами. Речь идет о необходимости объединить в рамках DLP-систем технологии, позволяющие находить и контролировать принадлежащие компании данные, в том числе на просторах Глобальной сети.

Региональные особенности

Распределение утечек по регионам в этом году неожиданностей не принесло. США оказались на первом месте как по количеству (576 или 61,7% всех утечек), так и по агрегированному показателю (утечка на душу населения). Второе место удерживает Великобритания (97 или 10,3%). Третье место за Россией (75 или 8,3%). Напомним, что наша страна не в первый раз входит в число лидеров. В прошлом году третье место досталось Канаде, а вот годом ранее, в 2010 г., символическая "бронза" за утечки также была у Российской Федерации.

Заключение

В 2012 г. аналитическим центром в СМИ зарегистрированы 934 официально заявленных случая утечки конфиденциальной информации, что на 16% больше показателя 2011 г.

Во многих инцидентах не представляется возможным установить, была ли утечка умышленной или случайной, а следовательно, и определить намерение похищения данных становится сложнее. Показательно, что доля неопределенных утечек в распределении умышленных и неумышленных практически не меняется, составляя 16%.

Доля утечек из учебных и некоммерческих организаций подровнялась, что подтверждает во многом случайный пик прошлого года. В коммерческих организациях доля случайных утечек снижается, что подтверждает высказанную ранее гипотезу о зависимости доли случайных утечек в коммерческом сегменте от темпов проникновения DLP-систем. Однако доля умышленных утечек в них все еще высока, так как напрямую связана с возможностью получения выгоды от кражи и распространения конфиденциальной информации. И здесь, помимо технических средств защиты, важны организационные, правовые и даже законодательные меры.

По-прежнему большая часть утечек касается ПДн – 89,4%. Одним из методов противодействия умышленным кражам ПДн может стать затруднение сбыта этой информации, которое возможно только на законодательном уровне. Второй доступный путь – существенное увеличение санкций за неправильную обработку данных в сочетании с последовательной политикой государства в этом вопросе.

Среди самых распространенных каналов утечки информации лидирует категория "бумажная документация". По-прежнему популярны у злоумышленников "носители резервных копий", сами ПК, сетевые хранилища. Примечательно, что в числе популярных каналов для умышленных утечек сократилась доля мобильных устройств (скорее всего это связано с невозможностью точно сказать в каждом случае, имеем мы дело с утечкой или это была банальная кража). Интересно также, что злоумышленники практически не пользуются при организации "сливов" информации средствами электронной почты, что объясняется укоренившимся представлением о подконтрольности данного канала службе ИБ.

Необходимо уже сейчас задуматься о переходе к универсальным технологиям обнаружения утечек и контроля информационных потоков. Очевидно, что контентоориентированные системы защиты информации должны работать одинаково эффективно с данными как внутри организации (хранящиеся, обрабатывающиеся, перемещающиеся внутри компании), так и за ее пределами – в Глобальной сети.


Itsec.Ru (25.06.2013 в 10:02) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2013 ООО "Ди Эй Кей продакшн"