США, уже 22 крупных утечки информации банковских структурах с начала 2010 года. Хакеры и инсайдеры остаются основной угрозой

С начала 2010 года в США был зарегистрирован 171 случай утечки информации, 22 из которых произошли в финансовом секторе, что составляет одну треть от общего числа утечек (62) в банковских структурах, произошедших в прошлом 2009 году.

По словам Линды Фолей, эксперта Информационного центра по делам о краже личности, организации, которая отслеживает утечки информации в США, - на самом деле статистика может быть несколько иной, поскольку некоторые из этих 22 случаев произошли в 2009 году, но о них стало известно только сейчас.

Например, генеральная прокуратура штата Мэриленд выпустила отчет об инцидентах, случившихся в прошлом году, лишь 1 марта этого года. По мнению Фолей, отчеты об инцидентах прошлого года еще выйдут в свет в ближайшее время, что поможет составить реальную картину об утечках прошлого года.

Но количество утечек, уже имевших место в новом году, достаточно, чтобы убедить наблюдателей в том, что этот год будет тяжелым, поскольку повторяются тенденции прошлого.

Тенденции 2010-го

Если тенденция 2009 года сохранится, то финансовый сектор будет подвергаться массированным хакерским атакам и утечкам, допущенным сотрудниками. Основная трудность для Информационного центра состоит в том, что многие организации просто не отчитываются об инцидентах со всеми необходимыми подробностями. По словам Фоли, они пытаются рассказать о случившемся, но не компрометировать компанию.

Основываясь на словах эксперта, в 2010 году  уже произошло большое количество утечек, и «компаниям необходимо срочно менять политику защиты информации». Несмотря на работу по программе ID Theft Red Flags, проведенную Федеральной торговой комиссией, Фоли считает, что многие компании не согласны следовать установленным правилам. По ее мнению, если они не хотят обеспечить защиту данных, то им не следует их собирать.

Те организации, которые покупают средства защиты информации, должны обязать своих сотрудников отнестись к этому серьезно. По ее мнению, необходимо объяснить сотрудникам, почему это так важно, почему было куплено это средство защиты, почему необходимо принимать активное участие в обеспечении защиты данных и что к защите данных нужно относиться со всей серьезностью.

Из всех информационных утечек, произошедших в этом году в США, количество утечек в финансовом секторе составило 11,7% и занимает в «табеле о рангах» лишь вторую строчку с конца. Статистика по остальным сферам бизнеса приведена ниже:

Бизнес сектор / розничная торговля – 44% 
Медицина / здравоохранение – 23% 
Правительственные органы / вооруженные силы – 15% 
Финансовые институты – 11,7% 
Образование – 7%

Статистику инцидентов с утечкой данных в США прокомментировал ведущий аналитик InfoWatch Николай Федотов: «Похоже на то, что статистика утечек по отраслям приближается к статистике обрабатываемых персональных данных. То есть, число инцидентов пропорционально числу работников и «учтённых» клиентов в соответствующей отрасли.

В прошлые годы наблюдалось заметное отличие в области образования. Американские вузы и школы обеспечивали существенно худший уровень защиты. Ныне они подтянулись, а государственные учреждения, напротив, расслабились. Вероятность утечки стала приблизительно одинакова по всем отраслям.

Для верного восприятия сказанного в этой новости необходимо кое-что пояснить. В США (в отличие от Европы и России) персональными данными, подлежащими защите, считаются вовсе не «любые сведения, относящиеся к определённому или определяемому физическому лицу». Нет. Перечень защищаемых персданных там определён через закрытый перечень. Он немного варьируется от штата к штату, но генерально это следующие данные: атрибуты банковских карт; номер соцстрахования; логин-пароль для управления счётом; изредка ещё кое-какая информация, которую можно обратить в деньги. Все другие, «не конвертируемые» данные обязательной защите не подлежат». 
Источник