Вы здесь

Глобальное исследование утечек конфиденциальной информации в 2013 году



Глобальное исследование
утечек конфиденциальной информации
в 2013 году

Аналитический Центр компании InfoWatch
представляет отчет об исследовании утечек конфиденциальной информации в 2013 году.

скачать полную версию
pdf - 976 Kb

По мнению авторов работы, всесторонний анализ сообщений об утечках конфиденциальной информации дает возможность оценить уровень защищенности информации в коммерческих компаниях, государственных организациях, образовательных учреждениях; позволяет сопоставить общую картину утечек в более «продвинутых» (США, Великобритания) и менее развитых в плане регулирования темы информационной безопасности (далее ИБ) регионах.

Общая статистика

Количество утечек по годам

В 2013 году Аналитическим Центром InfoWatch зарегистрировано 1143 случая утечки конфиденциальной информации. Это на 22,3% больше, чем в 2012 году (934 утечки).

Доля случайных и умышленных утечек

Доля случайных утечек выросла на 8,1%.
Доля злонамеренных, наоборот, немного уменьшилась.

Виновники утечек

Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). В 6,7% случаев виновными оказались высшие руководители организаций (топ-менеджмент, главы отделов и департаментов).

В половине случаев виновниками утечек
информации были сотрудники компаний –
настоящие или бывшие.

В 2013 году впервые с 2004 года зафиксировано снижение доли скрытых утечек в мировом масштабе

В основе выявленного тренда повышение прозрачности темы утечек информации и смена парадигмы восприятия средств защиты – компании применяют технические решения не только для того, чтобы выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. Что позволяет этим компаниям все лучше детектировать утечки, определять их тип, выявлять виновных.

kp.ru:
34-летняя женщина, используя копии чужих документов, оформила на них потребительские кредиты на 305 тысяч рублей. Дама работала кредитным экспертом в одном из отделений Сбербанка России

justice.gov:
Министерство юстиции США обвинило китайского производителя турбин Sinovel Wind Group в краже технологий у американской AMSC. Ущерб AMSC от действий китайцев оценивается в 800 миллионов долларов.

engadget.com:
Дизайнеров HTC подозревают в краже коммерческой тайны и мошенничестве. Среди подозреваемых вице-президент по дизайну продуктов Томас Чин (Thomas Chien).

 

КАНАЛЫ УТЕЧЕК

В зависимости от частоты утечек по тому или иному каналу, можно рекомендовать внедрение средств защиты в компании или в отрасли, определить, какими каналами следует заниматься в первую очередь.
Доля утечек, связанная с использованием мобильных устройств, остается незначительной

Во многом, это ответ на заявления о якобы чрезвычайной угрозе распространения мобильных устройств в корпоративной среде. Действительно, с мобильного устройства можно отправить конфиденциальный документ, и защищать этот канал нужно. Однако «популярностью» этот канал явно не пользуется – «большие» утечки чаще связаны с давно известными каналами – электронной почтой, сетью, бумажной документацией, кражей ноутбуков

На «традиционные» каналы – почта, e-mail, бумажная документация, кража и потеря оборудования – по-прежнему приходится львиная доля случайных утечек.

При этом доля «новых» каналов (те же мобильные устройства, голос и видео) пока остается незначительной. Соотношение каналов случайных и умышленных утечек в целом подтверждает тезис о значительном проникновении систем защиты в корпоративной среде. Именно наличие средств защиты информации обусловливает неоднородность распределения «популярных» каналов случайных и умышленных утечек.

idradar.com: Сотрудник Governor's Office of Information Technology потерял USB-накопитель, на котором хранились личные данные почти 19 тыс. работников госучреждения.

databreaches.net: Британская Информационная комиссия оштрафовала Банк Шотландии на 75 тысяч фунтов стерлингов за рассылку факсов с конфиденциальной информацией по неправильным номерам.

ihotdesk.co.uk: Новое исследование Sony's VAIO Digital Business показало, что за последние 12 месяцев было потеряно более 1 млн ноутбуков, содержащих ценные корпоративные данные организаций.

 

ОТРАСЛЕВАЯ КАРТА

Типы организаций

Статистика 2013 года показывает, что государственные органы не изменили своего неуважительного отношения к проблеме утечек информации.

2013 год, как и 2012, во всем мире стал годом утечек из государственных учреждений (см. Исследование утечек информации из компаний и госучреждений России 2012). Доля утечек из государственных учреждений в 2013 году увеличилась на 3%, составив 31,4%

Типы даннных

Еще год назад мы говорили о снижении доли персональных данных в общей картине утечек (до 89,4%). В 2013 году доля персональных данных вновь уменьшилась (до 85,1%).

Утечки по отраслям

Соотношение количества утечек и объема утекших данных позволяет судить о том, в какой отрасли информацию защищают лучше, а в какой хуже.

«Бум» утечек из госорганов и муниципальных организаций продолжается. Причем утекают персональные данные граждан.

Защита такой информации – прямая обязанность госорганов, однако справляются они с этой задачей плохо, причем по всему миру. Огромное число утечек происходит из организаций среднего размера. Это говорит о том, что вопрос защиты ПДн от утечек для среднего бизнеса сегодня столь же актуален, как и для крупного.

corp.cnews.ru: Ответственность за недавнюю утечку данных из трех корейских организаций взяли на себя топ-менеджеры этих компаний

РИА Новости:Более 120 миллионов записей данных о налогах греческих граждан украли сотрудники компании в одном из пригородов Афин

saharasamay.com:Один из крупнейших операторов мобильной связи Германии Vodafone заявил о похищении личных данных 2 миллионов своих клиентов

 

УТЕЧКИ ПО СТРАНАМ

В распределении утечек по регионам в 2013 году США традиционно заняли первую позицию по количеству утечек (679 или 59,41% от всех произошедших). На третьем месте оказалась Великобритания (80 утечек). В первую пятерку впервые попала Германия с 48 утечками, и Канада, где зарегистрировано 33 утечки.

По итогам года подтвердилось второе место России (134 утечки), которое досталось нашей стране еще по итогам I полугодия 2013 года.

www.todayszaman.com: Начальник Центрального банка Турции уволил 11 сотрудников Центробанка, в том числе трех топ-менеджеров, в связи с подозрением в том, что они поделились секретной информацией с организацией, участвующей в шпионской деятельности

Известия: В июле 2013 года произошла утечка базы данных клиентов международной страховой компании «Цюрих».

city-of-hotels.ru: Гостиничные сети Китая не смогли защитить данные своих постояльцев. Как сообщает издание South China Morning Post, персональная информация о тысячах клиентов китайских отелей оказалась в широком доступе.

 

НЕКОТОРЫЕ ВЫВОДЫ

В 2013 году Аналитическим Центром InfoWatch зафиксирован самый большой (с 2008 года) рост числа сообщений об утечках конфиденциальной информации.

Впервые за годы наблюдений число утечек превысило отметку в 1000 случаев. Этот рост авторы исследования традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. И этого внимания в 2013 году было более чем достаточно, как в мире, так и в России.

 

Однако в истекшем году проявился еще один существенный фактор – снижение доли скрытых утечек информации.

В результате зафиксированный рост утечек в большей степени обязан своим появлением как раз тому, что скрытых утечек стало меньше, а прозрачность темы утечек информации, наоборот, выросла.

 

Также следует отметить, что у компаний, заинтересованных в защите собственной информации, изменилось отношение к средствам защиты.

Теперь технические решения применяются не только для того, чтобы выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. В итоге это позволяет компаниям все лучше детектировать утечки, определять их тип, выявлять виновных.