Вы здесь

Глобальное исследование утечек конфиденциальной информации в 2014 году



Исследование утечек
конфиденциальной
информации в 2014 году

Аналитический центр компании InfoWatch представляет глобальное исследование утечек конфиденциальной информации за 2014 год. По данным отчета, по сравнению с прошлым годом число утечек информации в мире выросло на 22%, в России – на 73%.

Общая статистика

Количество утечек по годам

В 2014 году по всему миру обнародовано (в СМИ и иных источниках) и зарегистрировано Аналитическим центром InfoWatch 1395 случаев утечки конфиденциальной информации, что на 22% превышает число утечек, зарегистрированных в 2013 году.

Доля случайных и умышленных утечек

По сравнению с 2013 годом, доля случайных утечек увеличилась на 10%

Виновники утечек

В 55% виновниками утечек информации были настоящие или бывшие сотрудники – 54% и 1% соответственно.
Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (4%). Более чем в 1% случаев зафиксирована вина руководителей организаций (топ-менеджмент, главы отделов и департаментов); пользователей с расширенными правами доступа к информации (системных администраторов).

Типы информации

Доля утечек персональных и платежных данных в распределении утечек по типу информации выросла на 7% к данным 2013 года, составив 92%.

Характер инцидентов

В распределении по характеру действий нарушителя в 81% случаев зафиксирована «классическая» утечка – потеря контроля над информацией.
7,8% зарегистрированных инцидентов классифицированы как нарушения, сопряженные с получением несанкционированного доступа к информации.

Больше всего утечек информации связано с персональными данными

Прирост объема скомпрометированных персональных данных происходит за счет «мега-утечек», прирост числа утечек спровоцирован в большей степени внешними атаками. Основные показатели, отражающие глобальную картину утечек данных – динамика роста утечек, доля персональных данных и коммерческой тайны, доля сотрудников в распределении по виновнику утечки – практически не изменяются год к году. Доля утечек неопределенной природы последовательно снижается.

securitylab.ru:
Крупнейшая в мире компания по продаже стройматериалов и ремонтных приспособлений Home Depot заявила, что 53 миллиона адресов электронной почты клиентов сети магазинов были скомпрометированы. Убытки Home Depot вследствие взлома составили 56 млн $. Хакерам удалось проникнуть в сеть Home Depot с помощью пароля, принадлежащего стороннему разработчику программного обеспечения.

Ведомости:
Имена, адреса, номера телефонов, адреса электронной почты около 83 млн владельцев домохозяйств и предприятий были украдены через систему JPMorgan Chase. Это одна из крупнейших краж персональных данных в истории. Атаке подверглись 76 млн частных счетов и 7 млн счетов, принадлежащих малым предприятиям.

databreaches.net:
Сотрудник одного из офисов испанского банка Santander в Великобритании оштрафован судом на 880 фунтов стерлингов. 29-летний Дэвингер Сингх работал в отделе противодействия отмыванию денег и имел легитимный доступ к счетам клиентов банка. Он решил воспользоваться своими расширенными правами, чтобы выяснить, сколько зарабатывают его коллеги. По итогам инцидента любопытный сотрудник уволен.

КАНАЛЫ УТЕЧЕК

Изучение утечек в разрезе каналов, по которым уходит информация, имеет практическое значение. В зависимости от частоты утечек по тому или иному каналу, можно рекомендовать внедрение средств защиты в компании или в отрасли, определить, каким каналам следует уделить повышенное внимание.

Утечек данных по «традиционным» каналам фиксируется все меньше,
так как злоумышленники их не используют, поскольку хорошо осведомлены о функциональных возможностях защитных решений

Большинство утечек в 2014 г. пришлось на три основных канала: Интернет (35%), бумажные документы (18%) и кража/потеря оборудования (16%). При этом умышленные утечки чаще всего происходят через Интернет, а случайные – в результате потери или кражи оборудования.

The Wall Street Journal:
В результате хакерской атаки были скомпрометированы данные сотрудников, руководства и клиентов Почтовой службы США. В руках злоумышленников, возможно, оказались 800 тыс. записей, включая имена, адреса и номера социального страхования американцев. В числе пострадавших оказались действующие сотрудники и работники, ушедшие на пенсию.

Triblive:
Топ-менеджер PNC Bank фотографировала экран своего компьютера на мобильник незадолго до того, как поменяла работу и ушла к конкурентам. Система безопасности банка не позволила просто скопировать данные клиентов в электронном виде. По оценкам PNC Bank, ущерб от действий бывшего топ-менеджера составил 250 млн долл. Представители банка говорят как минимум о 15 крупных клиентах, которые ушли к конкуренту.

Bloomberg:
Бывшему аналитику фонда Two Sigma Investments LLC, предъявлены обвинения в краже конфиденциальной информации у работодателя. Сотрудник использовал программу-декомпилятор для получения доступа к информации в корпоративном ПО, а затем отправил эту информацию на свой личный email. В компании признают, что распространение украденных данных нанесет непоправимый ущерб бизнесу.

ОТРАСЛЕВАЯ КАРТА

Типы организаций

В 2014 году доля утечек из государственных и муниципальных учреждений снизилась на 16 п.п., составив 16%, при этом на 13 п.п. подросла доля коммерческих компаний.

Утечки по отраслям

Чаще всего утечки фиксировались в медицине (25%), реже всего в муниципальных учреждениях (2%). При этом по объему скомпрометированных записей пальму первенства удерживает банковская вертикаль – 41%, вдвое меньше данных утекло в высокотехнологичных компаниях – 17%, торговых компаниях – 15%

Ситуация с защитой персональных данных в компаниях далека от идеальной

Большая часть утечек в среднем бизнесе пришлась на случайные. В 2014 году компании среднего размера заняли главенствующее положение в ряду «поставщиков» конфиденциальной информации. В этом аспекте особенно «отличились» интернет-сервисы, образовательные и медицинские учреждения.

Причина столь безрадостного положения объясняется тем, что на рынке практически полностью отсутствуют эффективные и недорогие средства защиты информации, ориентированные на СМБ-сегмент.

The Irish Times:
500 тыс. евро потратил ирландский оператор программ лояльности Loyaltybuild на обновление системы информационной безопасности и ликвидацию последствий крупнейшей в истории Ирландии утечки, в ходе которой были скомпрометированы персональные данные 1,5 млн пользователей сервиса по всей Европе. Украдены не только имена или адреса клиентов, но и платежные данные, включая реквизиты кредитных карт и коды CSV, которые хранились в незашифрованном виде. На время следствия все операции Loyaltybuild были приостановлены. Компания смогла возобновить деятельность лишь спустя 3 месяца после происшествия.

The Telegraph:
Медицинские данные 47 миллионов пациентов медучреждений системы NHS проданы страховой компании. С помощью этих сведений страховая компания намерена «улучшить» свою систему выплат и премий, пересмотрев, в частности, риски по страхованию здоровья. Так на основе проданной информации выяснилось, что люди до 50 лет болеют чаще, чем страховщики предполагали ранее. Пока неизвестно, какие меры примут компетентные органы Британии к медикам и страховщикам.

УТЕЧКИ ПО СТРАНАМ

В распределении утечек по регионам в 2014 году США традиционно вышли на первую строчку по числу утечек (906). Россия заняла уже привычное второе место (167), которое досталось нашей стране еще по итогам 2013 года. На третьем месте оказалась Великобритания (85).

На первые роли выходят страны, где государство, общество, СМИ уделяют теме защиты данных повышенное внимание. На данный момент это англосаксонские страны и Россия.

Предполагаем, что в других странах утекает ничуть не меньше данных, но информация об утечках не попадает в СМИ.

The Fresno Bee:
Сотрудница налогового управления США в течение двух лет занималась финансовыми махинациями с использованием персональных данных своих коллег. Виририана Эрнандес, вместе с тремя сообщниками, похитила со счетов коллег более 1,2 млн $. Мошеннице грозит 30 лет тюрьмы и штраф в 250 тыс. $.

oblvesti.ru:
Сотрудница коммерческого банка в Волгограде предстанет перед судом по обвинению в крупном мошенничестве. Воспользовавшись служебным положением, она передала подельникам данные клиентов банка. С помощью этих данных мошенники переводили деньги со счетов клиентов. Впоследствии деньги обналичивались в банкоматах города.

Cnews:
Ответственность за недавнюю утечку данных из трех корейских организаций взяли на себя топ-менеджеры этих компаний. От утечки пострадали более 100 млн клиентов крупнейших игроков финансового рынка Кореи - KB Financial Group, NongHyup Financial Group и Lotte Group. В связи с инцидентом десятки топ-менеджеров банков подали в отставку.

НЕКОТОРЫЕ ВЫВОДЫ

2014 год ознаменовался рядом крупнейших утечек персональных и платежных данных.

Атака на инфраструктуру сети магазинов Target была самой громкой, но не единственной.

 

Среди тенденций 2014 года аналитики InfoWatch выделяют большое количество «мега-утечек» объемом свыше 10 млн утекших записей ПДн.

В результате 14 «мега-утечек» были скомпрометированы более 683 млн записей – 89% от всего объема утекших персональных данных. Зафиксировано более 30 случаев, когда объем персональных данных, скомпрометированных в результате утечки, составил свыше 1 млн записей.

 

Чуть ли не три четверти утечек персональных данных связаны с «кражей личности».

Похищенная информация использовалась в мошеннических схемах. Преступники оформляли кредиты и налоговые вычеты на чужие данные.

 

Хакерских атак с целью извлечения персональных данных и иной ценной информации стало больше

Поскольку российская картина утечек информации все больше приближается к американской, в ближайшем будущем можно ожидать таких же крупномасштабных атак на отечественные интернет-сервисы.

 

Большое распространение получили мошенничества, известные как кража личности.

Чуть ли не три четверти утечек персональных данных связаны с «кражей личности» – похищенная информация использовалась в мошеннических схемах, преступники оформляли на чужие данные кредиты и налоговые вычеты.

Полная версия отчета в формате pdf - 1,43 MБ