По результатам глобального исследования Аналитического
центра компании InfoWatch, в мире в 2018 году было
зарегистрировано 2263 публичных случаев утечки
конфиденциальной информации. В 86% инцидентов были
скомпрометированы персональные данные (ПДн) и платежная
информация — всего около 7,3 млрд записей пользовательских
данных против 13,3 млрд записей данных годом ранее.
В 2018 году существенно сократился объем данных,
скомпрометированных в результате утечек из организаций сферы
высоких технологий, финансово-кредитного и страхового
сектора, а также предприятий промышленности.
Наиболее привлекательными для злоумышленников остаются
данные из организаций финансово-кредитной и страховой сферы,
где около 65% утечек были совершены умышленно. Зафиксирован
высокий интерес нарушителей к информации из промышленных и
транспортных систем, компаний сфер торговли и HoReCa, а
также высокотехнологичного бизнеса — более половины утечек в
этих отраслях носили умышленный характер.
«Лидерами» по объему утекающих пользовательских данных
остаются высокотехнологичные компании, а также предприятия
сферы торговли и HoReCa, медицинские и муниципальные
учреждения — на них суммарно пришлось 70% годового объема
утечек персональной информации в мире.
На компании сферы высоких технологий, как и в 2017 году,
пришлось около 30% от мирового объема утечек информации о
пользователях. Вместе с тем, средняя мощность инцидентов в
высокотехнологичном секторе снизилась более чем в два раза —
до 9 млн записей данных на одну утечку в 2018 году.
Сокращение объема утечек информации о пользователях также
отмечено в финансово-кредитной и страховой сферах,
предприятиях промышленности и транспорта. Объем утечек
данных из финансовых и страховых компаний сократился в
четыре раза, а средняя мощность утечек в этой сфере
снизилась с 840 тыс. до 190 тыс. записей данных. В семь раз
сократился объем записей данных, скомпрометированных в
результате утечек из промышленных и транспортных
предприятий, их мощность составила менее 100 тыс. записей.
Большие массивы данных — более 18% объема утекшей
информации, теряли организации сферы торговли и HoReCa,
средняя мощность утечек в ритейле составила 430 тыс. записей
данных. До 12% и 9% в мировом трафике утечек ПДн и платежной
информации выросли доли медицинских и муниципальных
учреждений. В среднем каждая утечка из муниципалитетов
приводила к компрометации 400 тыс. записей данных, в то
время как для медицинской сферы характерна меньшая мощность
инцидентов — около 60 тыс. записей.
«Отраслевую картину утечек определяют два ключевых фактора —
это ликвидность и защищенность информации, —
пояснил
аналитик ГК InfoWatch Сергей Хайрук. — Там, где ценность
данных наиболее очевидна и защите информации уделяется
большее внимание, например, в банках, страховых компаниях и
госсекторе, объем утечек значительно ниже. Такие структуры
защищают корпоративные и пользовательские данные с помощью
организационных и технических мер: используют DLP-, SIEM- и
другие профильные ИБ-системы, заботятся о повышении уровня
цифровой гигиены сотрудников. И если раньше бизнес охотнее
инвестировал в защиту своей интеллектуальной собственности,
коммерческих секретов и ноу-хау, а к безопасности клиентских
данных относился с меньшим вниманием, то с введением
огромных штрафов за утечки ПДн эта ситуация меняется».
Наибольший заявленный ущерб для организаций из-за утечки
данных в 2018 году составил $534 млн — такую сумму потеряла
японская криптобиржа Coincheck в результате компрометации
онлайн-кошельков ее клиентов.
Самый крупный штраф за утечку персональной информации был
вынесен компании Uber — ее обязали выплатить $148 млн за
утечку данных 57 млн своих клиентов и водителей, в том числе
25 млн резидентов США.
Неправомерное использование данных пользователей Facebook
обернулась санкциями со стороны британских властей в размере
500 тыс. фунтов стерлингов, компания также была оштрафована
Антимонопольной службой Италии на 10 млн евро.
С введением регламента GDPR, увеличением штрафов за
компрометацию ПДн и появлением судебных решений по делам о
краже коммерческой тайны, проблема оценки «стоимости»
информации теряет свою актуальность, отметили аналитики
InfoWatch.
«Известная фраза о ценности владения информацией обретает
новый смысл исходя из оценки последствий ее компрометации.
Сведения, циркулирующие в организациях, на наших глазах
обретают реальную стоимость, и если оценка ряда
информационных активов определяется рынком, то
пользовательских данных — размером возможных санкций со
стороны регуляторов, с появлением которых можно оценить и
эффективность вложения в их безопасность», —
пояснил Сергей
Хайрук.
В распределении инцидентов по типу данных по-прежнему
преобладают ПДн и платежная информация: их доля, как и годом
ранее, составляет 86%.
В 2018 году «внешние» утечки оставались более «мощным» типом
инцидента по сравнению с внутренними — в среднем на одну
«внешнюю» утечку приходилось 5,15 млн скомпрометированных
записей данных, утечка по вине внутреннего нарушителя
приводила к компрометации 2 млн записей.
«Результативность хакерских атак упала более чем на треть, в
среднем до пяти миллионов записей данных на каждый инцидент,
однако говорить о коренном переломе в борьбе с внешними
злоумышленниками пока не приходится: общее число таких
инцидентов не снизилось, взломы хакерами огромных баз данных
по-прежнему случаются регулярно, —
отметил Сергей Хайрук. -
“Внутренние” утечки кажутся менее разрушительными из-за
меньшего объема скомпрометированных записей данных, но
инсайдеры, обладая практически неограниченным доступом к
внутренним ресурсам организации, могут завладеть наиболее
ценной информацией».
Инсайдер остается самым распространенным виновником утечек
данных в организациях. Доля утечек по вине внутреннего
нарушителя в 2018 году возросла на 3 п.п. до 63% от общего
количества утечек за год. Каждый второй инцидент произошел
по вине рядового специалиста, еще около 10% случаев пришлись
на «привилегированных» пользователей (руководители и
системные администраторы), подрядчиков и бывших сотрудников
компаний.
29 из 47 мега-утечек в 2018 году были спровоцированы
действиями внутреннего нарушителя. За год число
«мега-утечек» выросло на 20%.
Самая масштабная утечка информации произошла в Индии, где
были скомпрометированы 1,2 млрд записей данных
пользователей, включая ПДн и биометрическую информацию, из
системы AADHAAR — крупнейшего государственного хранилища
идентификационных данных в мире.
Также были зафиксированы крупные утечки информации из
коммерческих компаний: разработчика ПО Veeam (440 млн
записей), гостиничной сети Marriott (383 млн), маркетинговой
фирмы Exactis (340 млн), логистической компании SF Express
(300 млн), сервисного стартапа Apollo (200 млн), ИТ-компании
VNG (около 163 млн) и приложения Under Armour (150 млн).
Наиболее популярным каналом утечки информации остается
сетевой ресурс (72%). По сравнению с 2017 годом на пять
процентных пунктов (п.п.) снизилась доля инцидентов,
связанных с использованием электронной почты, также на 0,8
п.п. сократилась доля утечек в результате кражи или потери
оборудования, на 0,2 п.п. — с помощью мобильных устройств.
«Распределение утечек по каналам постепенно будет меняться,
—
отметил аналитик ГК InfoWatch Сергей Хайрук. - Появляются
новые способы, например, впервые была зафиксирована
компрометация данных по вине создателей мобильных
приложений, которые получили доступ к данным в системах
заказчика. Кроме того, пристальное внимание к вопросам
защиты персональных данных ведет к распространению
специализированных средств защиты информации и общему
повышению уровня кибергигиены».
В распределении каналов случайных и умышленных утечек данных
в 2018 году почти в два раза — до 16% сократилась доля
случаев, когда сведения были скомпрометированы из-за
случайной отправки электронной почты.
«Отдельные типы данных и каналы передачи требуют различных
подходов к их защите. Например, то, что отлично работает на
сетевом канале, будет практически неэффективно с точки
зрения контроля мобильных устройств, мессенджеров, —
отметил
Сергей Хайрук. - Организациям необходима комплексная защита,
как на технологическом уровне, так и с точки зрения
построения процессов и регламентов. Если для противодействия
“внешним” утечкам в основном требуется техническое отражение
атак и своевременные обновления, то борьба с утечками по
вине внутренних нарушителей предполагает серьезные усилия в
области управления информацией и персоналом, с
использованием систем анализа и контроля поведения
сотрудников, выявления аномалий в работе информационных
систем».