Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Глобальное исследование утечек конфиденциальной информации в 2013 году
Аналитический Центр компании InfoWatch представляет отчет об исследовании утечек конфиденциальной информации в 2013 году. По мнению авторов работы, всесторонний анализ сообщений об утечках конфиденциальной информации дает возможность оценить уровень защищенности информации в коммерческих компаниях, государственных организациях, образовательных учреждениях; позволяет сопоставить общую картину утечек в более «продвинутых» (США, Великобритания) и менее развитых в плане регулирования темы информационной безопасности (далее ИБ) регионах.
Общая статистика
В 2013 году Аналитическим Центром InfoWatch зарегистрировано 1143 случая утечки конфиденциальной информации. Это на 22,3% больше, чем в 2012 году (934 утечки). Доля случайных утечек выросла на 8,1%. Доля злонамеренных, наоборот, немного уменьшилась.
Виновники утечек
Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). В 6,7% случаев виновными оказались высшие руководители организаций (топ-менеджмент, главы отделов и департаментов). В половине случаев виновниками утечек информации были сотрудники компаний — настоящие или бывшие.
В 2013 году впервые с 2004 года зафиксировано снижение доли скрытых утечек в мировом масштабе.
В основе выявленного тренда повышение прозрачности темы утечек информации и смена парадигмы восприятия средств защиты — компании применяют технические решения не только для того, чтобы выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. Что позволяет этим компаниям все лучше детектировать утечки, определять их тип, выявлять виновных.
- 34-летняя женщина, используя копии чужих документов, оформила на них потребительские кредиты на 305 тысяч рублей. Дама работала кредитным экспертом в одном из отделений Сбербанка России (kp.ru).
- Министерство юстиции США обвинило китайского производителя турбин Sinovel Wind Group в краже технологий у американской AMSC. Ущерб AMSC от действий китайцев оценивается в 800 миллионов долларов (justice.gov).
- Дизайнеров HTC подозревают в краже коммерческой тайны и мошенничестве. Среди подозреваемых вице-президент по дизайну продуктов Томас Чин (Thomas Chien) (engadget.com).
Каналы утечек информации
В зависимости от частоты утечек по тому или иному каналу, можно рекомендовать внедрение средств защиты в компании или в отрасли, определить, какими каналами следует заниматься в первую очередь. Доля утечек, связанная с использованием мобильных устройств, остается незначительной
Во многом, это ответ на заявления о якобы чрезвычайной угрозе распространения мобильных устройств в корпоративной среде. Действительно, с мобильного устройства можно отправить конфиденциальный документ, и защищать этот канал нужно. Однако «популярностью» этот канал явно не пользуется — «большие» утечки чаще связаны с давно известными каналами — электронной почтой, сетью, бумажной документацией, кражей ноутбуков
На «традиционные» каналы — почта, e-mail, бумажная документация, кража и потеря оборудования — по-прежнему приходится львиная доля случайных утечек.
При этом доля «новых» каналов (те же мобильные устройства, голос и видео) пока остается незначительной. Соотношение каналов случайных и умышленных утечек в целом подтверждает тезис о значительном проникновении систем защиты в корпоративной среде. Именно наличие средств защиты информации обусловливает неоднородность распределения «популярных» каналов случайных и умышленных утечек.
- Сотрудник Governor's Office of Information Technology потерял USB-накопитель, на котором хранились личные данные почти 19 тыс. работников госучреждения (idradar.com).
- Британская Информационная комиссия оштрафовала Банк Шотландии на 75 тысяч фунтов стерлингов за рассылку факсов с конфиденциальной информацией по неправильным номерам.
- Новое исследование Sony's VAIO Digital Business показало, что за последние 12 месяцев было потеряно более 1 млн ноутбуков, содержащих ценные корпоративные данные организаций (ihotdesk.co.uk).
Отраслевая карта
Типы организаций
Статистика 2013 года показывает, что государственные органы не изменили своего неуважительного отношения к проблеме утечек информации.
2013 год, как и 2012, во всем мире стал годом утечек из государственных учреждений (см. Исследование утечек информации из компаний и госучреждений России 2012). Доля утечек из государственных учреждений в 2013 году увеличилась на 3%, составив 31,4%
Типы данных
Еще год назад мы говорили о снижении доли персональных данных в общей картине утечек (до 89,4%). В 2013 году доля персональных данных вновь уменьшилась (до 85,1%).
Утечки по отраслям
Соотношение количества утечек и объема утекших данных позволяет судить о том, в какой отрасли информацию защищают лучше, а в какой хуже. «Бум» утечек из госорганов и муниципальных организаций продолжается. Причем утекают персональные данные граждан.
Защита такой информации — прямая обязанность госорганов, однако справляются они с этой задачей плохо, причем по всему миру. Огромное число утечек происходит из организаций среднего размера. Это говорит о том, что вопрос защиты ПДн от утечек для среднего бизнеса сегодня столь же актуален, как и для крупного.
- Ответственность за недавнюю утечку данных из трех корейских организаций взяли на себя топ-менеджеры этих компаний (corp.cnews.ru).
- Более 120 миллионов записей данных о налогах греческих граждан украли сотрудники компании в одном из пригородов Афин (РИА Новости).
- Один из крупнейших операторов мобильной связи Германии Vodafone заявил о похищении личных данных 2 миллионов своих клиентов (saharasamay.com).
Утечки информации по странам
В распределении утечек по регионам в 2013 году США традиционно заняли первую позицию по количеству утечек (679 или 59,41% от всех произошедших). На третьем месте оказалась Великобритания (80 утечек). В первую пятерку впервые попала Германия с 48 утечками, и Канада, где зарегистрировано 33 утечки.
По итогам года подтвердилось второе место России (134 утечки), которое досталось нашей стране еще по итогам I полугодия 2013 года.
- Начальник Центрального банка Турции уволил 11 сотрудников Центробанка, в том числе трех топ-менеджеров, в связи с подозрением в том, что они поделились секретной информацией с организацией, участвующей в шпионской деятельности (www.todayszaman.com).
- В июле 2013 года произошла утечка базы данных клиентов международной страховой компании «Цюрих» (Известия).
- Гостиничные сети Китая не смогли защитить данные своих постояльцев. Как сообщает издание South China Morning Post, персональная информация о тысячах клиентов китайских отелей оказалась в широком доступе (city-of-hotels.ru).
Некоторые выводы
В 2013 году Аналитическим Центром InfoWatch зафиксирован самый большой (с 2008 года) рост числа сообщений об утечках конфиденциальной информации.
Впервые за годы наблюдений число утечек превысило отметку в 1000 случаев. Этот рост авторы исследования традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. И этого внимания в 2013 году было более чем достаточно, как в мире, так и в России.
Однако в истекшем году проявился еще один существенный фактор — снижение доли скрытых утечек информации.
В результате зафиксированный рост утечек в большей степени обязан своим появлением как раз тому, что скрытых утечек стало меньше, а прозрачность темы утечек информации, наоборот, выросла.
Также следует отметить, что у компаний, заинтересованных в защите собственной информации, изменилось отношение к средствам защиты.
Теперь технические решения применяются не только для того, чтобы выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. В итоге это позволяет компаниям все лучше детектировать утечки, определять их тип, выявлять виновных.