Аналитический центр InfoWatch подвел итоги ушедшего года и представил первое глобальное исследование инцидентов внутренней информационной безопасности (ИБ). Целью проекта было проанализировать все утечки конфиденциальных или персональных данных, случаи саботажа или халатности служащих, а также другие инциденты внутренней ИБ, хотя бы раз в течение 2006 года упоминавшиеся в СМИ.
Глобальный характер исследования проявляется в том, что анализу подверглись внутренние нарушения вне зависимости от географической привязки компаний или госструктур, ставших жертвами инсайдеров. Таким образом, выявленные закономерности и тенденции одинаково применимы для компаний всех отраслей и стран. Отметим, что это первый глобальный проект, направленный на исследование инцидентов внутренней ИБ. В 2004 году аналитический центр InfoWatch компании приступил к формированию базы инцидентов. На сегодняшний день база содержит около 500 записей, из которых 145 было добавлено в течение 2006 года. Именно этот массив инцидентов послужил исходными данными для исследования.
Полученные результаты призваны органично дополнить масштабное исследование "Внутренние ИТ-угрозы в России 2006", результаты которого опубликованы в ежегодном каталоге продукции "IT-Security. Системы и средства защиты информации" (ИД "Гротек"). В рамках данного исследования компания InfoWatch и ее партнеры опросили более 1450 российских компаний. Однако в отличие от только что указанного проекта, "Глобальное исследование утечек 2006" позволяет выявить объективные тенденции развития внутренних угроз ИБ и обстоятельства такого рода нарушений на примере уже произошедших инцидентов. Далее приведены основные результаты исследования. С полной версией отчета можно ознакомиться здесь.
Ключевые выводы
• Утечек происходит все больше и больше. В 2006 году было объявлено о 145 утечках конфиденциальной или приватной информации. Другими словами, каждый 5 дней происходило 2 утечки. То есть, на одну утечку инсайдерам требовалось всего 60 часов.
• Именно бизнес больше всего страдает от утечек конфиденциальной информации. Так, 66% внутренних инцидентов пришлось на частные предприятия, а не госструктуры. Более того, бизнес несет и основное бремя ущерба вследствие утечек, так как конкурентоспособность компании зависит от ее репутации, а именно по ней утечка наносит удар в первую очередь. Между тем, госструктуры часто могут игнорировать репутационный вред.
• В 2006 году от утечек информации пострадало огромное число граждан. Всего полторы сотни инцидентов привели к компрометации персональных данных более 80 млн. человек. Многие из них теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю.
• Каждая утечка персональных данных оборачивается миллионными убытками (в долларах). Помимо финансового ущерба, непоправимо ухудшается репутация компании, под угрозой кражи личности оказываются сотни тысяч людей. В среднем, от каждой утечки приватной информации в 2006 пострадало 785 тыс. человек.
• Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска. Использование именно мобильных устройств в половине всех инцидентов (50%) привело к утечке информации, в то время как Интернет использовался в качестве канала утечки всего в 12% случаев.
• Наибольшую опасность для бизнеса представляют безалаберные сотрудники. По причине халатности в 2006 году произошло подавляющее большинство (77%) всех утечек. Таким образом, инсайдерам не обязательно иметь преступный умысел, а безалаберные служащие могут найтись в любом коллективе.
Итоги
2006 год превзошел все предыдущие годы и по количеству инцидентов внутренней ИБ и по масштабу убытков. Произошло сразу несколько крупнейших за всю историю утечек. В их числе пропажа персональных данных о 28,7 млн. военнослужащих и ветеранов вооруженных сил из министерства по делам ветеранов США, а также утечка приватной информации об 11 млн. членов британской Nationwide Building Society. Все это дает основания назвать ушедший год "годом утечек".
Сами по себе цифры в десятки миллионов пострадавших людей и миллиарды долларов экономического ущерба выглядят устрашающе. Одновременно печальные примеры беспечных организаций должны послужить стимулирующим фактором для организаций. В то же самое время, несмотря на все плохие новости, в отрасли отмечаются положительные сдвиги. Руководители компаний уже начинают осознавать всю серьезность проблемы утечек. В немалой степени этому способствует популярность и широкое внедрение различных иностранных и международных стандартов и законодательных актов. Приятно отметить, что и в России, наконец, приняли федеральный закон "О персональных данных". Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными.
http://www.cybersecurity.ru