Збитки російських компаній від витоків даних перевищили $1 млрд

Найбільше число інцидентів (45,2% всіх випадків) сталося внаслідок помилки або недбалості персоналу, низької обізнаності співробітників компаній у питаннях інформаційної безпеки. Висока частка навмисності характерна для витоків медичних даних — це пояснюється їх затребуваністю серед шахраїв: ціна однієї такої запису на чорному ринку в 50 разів перевищує вартість номера соціального страхування, за даними ANSI. Однак кількість витоків медичних даних залишилося приблизно на рівні минулого року (19,1%).

Частка витоків фінансових даних фізичних осіб значно зросла порівняно з минулим роком і склала у 2011 році 18,2%. Інші персональні дані, як і раніше лідирують серед типів скомпрометованої інформації, проте їх частка продовжує скорочуватися (56% проти 63,6% у 2010 році). Набагато рідше витікають комерційна і державна таємниця, інтелектуальна власність. Тим не менше, кожен подібний інцидент, як правило, несе значні фінансові втрати і має серйозні репутаційні наслідки.

Найчастіше інформація витікає з медичних організацій (20,4%), держустанов (16,7%), освітніх закладів (15,2%), підприємств роздрібної торгівлі (13,8%). При цьому найбільш поширеними каналами витоків є ноутбуки і мобільні накопичувачі (сумарно 19,4%), веб-сервіси (18,2%), комп'ютери (16,1%), а також неелектронні носії (13,8%). Останні залишаються популярним каналом витоку внаслідок некоректної утилізації: папери з конфіденційними даними просто викидають на загальнодоступні сміттєві баки. Між тим, впровадження процедур безпечної утилізації дозволить значно знизити ризики витоку інформації.

У Росії зареєстровано 41 публічний інцидент, більшість з яких отримали широкий розголос у ЗМІ. Серед найбільш гучних — витік СМС-повідомлень стільникового оператора «МегаФон», база даних 1,6 млн абонентів МТС, публікація персональних даних на сайті Пенсійного фонду Росії, а також масова компрометація даних про клієнтів з боку російських інтернет-магазинів.

«В умовах обмеженого бюджету на інформаційну безпеку, що справедливо в середньому 19 з 20 компаній, пріоритет повинен віддаватися найбільш ефективним інструментам, — каже Володимир Ульянов, керівник аналітичного центру Zecurion. — Наше дослідження вказує на найбільш вразливі канали витоку, більшу частину яких ефективно захищають DLP-системи. Однак при виборі заходів і засобів захисту необхідно брати до уваги особливості бізнес-процесів конкретної компанії. Це допоможе мінімізувати ризики витоку інформації раціональним чином».