Аналитический центр InfoWatch подвел итоги ушедшего года и представил первое
глобальное исследование инцидентов внутренней информационной безопасности
(ИБ). Целью проекта было проанализировать все утечки конфиденциальных или
персональных данных, случаи саботажа или халатности служащих, а также другие
инциденты внутренней ИБ, хотя бы раз в течение 2006 года упоминавшиеся в
СМИ. Глобальный характер исследования проявляется в том, что анализу подверглись
внутренние нарушения вне зависимости от географической привязки компаний
или госструктур, ставших жертвами инсайдеров. Таким образом, выявленные
закономерности и тенденции одинаково применимы для компаний всех отраслей
и стран. Отметим, что это первый глобальный проект, направленный на исследование
инцидентов внутренней ИБ. В 2004 году аналитический центр InfoWatch компании
приступил к формированию базы инцидентов. На сегодняшний день база содержит
около 500 записей, из которых 145 было добавлено в течение 2006 года. Именно
этот массив инцидентов послужил исходными данными для исследования. Полученные
результаты призваны органично дополнить масштабное исследование «Внутренние
ИТ-угрозы в России 2006», в рамках которого компания InfoWatch и ее партнеры
опросили более 1450 российских компаний. Однако в отличие от только что
указанного проекта, «Глобальное исследование утечек 2006» позволяет выявить
объективные тенденции развития внутренних угроз ИБ и обстоятельства такого
рода нарушений на примере уже произошедших инцидентов. Далее приведены основные
результаты исследования. С полной версией отчета можно ознакомиться здесь.
Ключевые выводы · Утечек происходит все больше и больше. В 2006 году было
объявлено о 145 утечках конфиденциальной или приватной информации. Другими
словами, каждый 5 дней происходило 2 утечки. То есть, на одну утечку инсайдерам
требовалось всего 60 часов. · Именно бизнес больше всего страдает от утечек
конфиденциальной информации. Так, 66% внутренних инцидентов пришлось на
частные предприятия, а не госструктуры. Более того, бизнес несет и основное
бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит
от ее репутации, а именно по ней утечка наносит удар в первую очередь. Между
тем, госструктуры часто могут игнорировать репутационный вред. · В 2006
году от утечек информации пострадало огромное число граждан. Всего полторы
сотни инцидентов привели к компрометации персональных данных более 80 млн.
человек. Многие из них теперь могут стать жертвой мошенников, лишиться всех
сбережений и навсегда испортить кредитную историю. · Каждая утечка персональных
данных оборачивается миллионными убытками (в долларах). Помимо финансового
ущерба, непоправимо ухудшается репутация компании, под угрозой кражи личности
оказываются сотни тысяч людей. В среднем, от каждой утечки приватной информации
в 2006 пострадало 785 тыс. человек. · Организации, служащие которых применяют
мобильные устройства, входят в группу повышенного риска. Использование именно
мобильных устройств в половине всех инцидентов (50%) привело к утечке информации,
в то время как Интернет использовался в качестве канала утечки всего в 12%
случаев. · Наибольшую опасность для бизнеса представляют безалаберные сотрудники.
По причине халатности в 2006 году произошло подавляющее большинство (77%)
всех утечек. Таким образом, инсайдерам не обязательно иметь преступный умысел,
а безалаберные служащие могут найтись в любом коллективе. Итоги 2006-ой
превзошел все предыдущие года и по количеству инцидентов внутренней ИБ и
по масштабу убытков. Произошло сразу несколько крупнейших за всю историю
утечек. В их числе пропажа персональных данных о 28,7 млн. военнослужащих
и ветеранов вооруженных сил из министерства по делам ветеранов США, а также
утечка приватной информации об 11 млн. членов британской Nationwide Building
Society. Все это дает основания назвать ушедший год «годом утечек». Сами
по себе цифры в десятки миллионов пострадавших людей и миллиарды долларов
экономического ущерба выглядят устрашающе. Одновременно печальные примеры
беспечных организаций должны послужить стимулирующим фактором для организаций.
В то же самое время, несмотря на все плохие новости, в отрасли отмечаются
положительные сдвиги. Руководители компаний уже начинают осознавать всю
серьезность проблемы утечек. В немалой степени этому способствует популярность
и широкое внедрение различных иностранных и международных стандартов и законодательных
актов. Приятно отметить, что и в России, наконец, приняли федеральный закон
«О персональных данных». Этот закон поможет бороться с утечками приватной
информации на правовом уровне, а также станет ориентиром настройки систем
ИБ для предприятий, работающих с персональными данными.