Глобальное исследование утечек корпоративной информации в банковском сегменте (финансовые и кредитные учреждения) I полугодие 2012

Аналитический Центр компании InfoWatch представляет первое отраслевое исследование утечек информации в кредитных и финансовых учреждениях за 1-2 кварталы 2012 года.

В эпоху мгновенного распространения информации, социальных сетей и электронных СМИ репутация компании настолько хрупка, что впору стелить соломку повсеместно. Банки это остро чувствуют, ведь любое сообщение о дырах в их системах безопасности прямо сказывается на лояльности клиентов. Меж тем число таких сообщений растет год от года.

Данное исследование имеет единственную цель - дать обобщенную картину угроз, связанных с утечками конфиденциальной информации в банковском сегменте. Показать тенденции, характерные для банковского сегмента.

Основные факты

• Прямые убытки кредитно-финансовых организаций от утечек в первом полугодии 2012 года составили чуть более 2 млрд долл.
• Скомпрометировано более 2 млн записей, в том числе финансовые и персональные данные
• Лидирующий тип утечек – финансовая информация - до 60%
• Несмотря на ежегодное снижение доли утечек в коммерческих компаниях по отношению к общему числу утечек, доля «банковских» утечек остается неизменной – 5-7%
• В банковском сегменте доля случайных утечек значительно ниже, чем в целом по всем индустриям (20% и 37% соответственно)
• Также интересно, что в банках информация практически «не течет» через электронную почту, веб и съемные носители. Зато здесь значительно выше доля утечек через носители резервных копий – 41,7%
• 24,7% случаев от всех утечек пришлись на российские банки. При этом доля российских утечек в общей картине остается незначительной (см. глобальное исследование утечек за 2011 год)

Краткие выводы

• Соотношение случайных и злонамеренных утечек (крен в сторону последних) в совокупности с незначительной долей «популярных» каналов (веб, почта, мессенджеры) говорит о безусловной эффективности используемых банками технических средств. С другой стороны, доля банковских утечек в общей картине не снижается. Очевидно, что технические средства, уверенно справляющиеся со случайными утечками, пасуют перед злонамеренным нарушителем. Такая ситуация характерна в случае, если массово применяются решения, ориентированные только на контроль каналов передачи данных, но не самой информации.
• Причины относительно слабого успеха банков в деле борьбы с утечками данных также кроются в недостаточно высокой ИБ-культуре персонала (неправильное хранение бумажных документов, потеря ноутбуков и пр.), неэффективности применяемых организационных мер.

Подробности

Полная версия отчета содержит следующие разделы:

• Методология
• Основные факты
• Выводы
• Вклад банков в картину утечек
• Умысел
• Каналы утечек
• Что утекает
• Российские особенности
• Тенденции
• Заключение
• Типичные банковские утечки 1-2Q 2012