Диаграмма 2: Распределение источников утечек по видам организаций
Все предприятия и организации, в которых произошли утечки, ставшие публичными, эксперты InfoWatch подразделяют на три категории: государственные учреждения, коммерческие предприятия, а также учебные заведения и общественные, некоммерческие структуры. Учебные заведения, безусловно, бывают как некоммерческими, так и коммерческими, то есть ориентированными на получение прибыли, тем не менее, эксперты InfoWatch выделяют их в особую категорию, поскольку условия обработки персональных данных студентов не похожи на аналогичные условия в банках, клиниках, магазинах и иных «традиционно коммерческих» предприятиях.
Откуда утекают конфиденциальные данные?
Таким образом, есть основания полагать, что более широкое внедрение технических методов борьбы с утечками, которое мы отмечаем почти во всех странах, приведёт к выявлению и пресечению утечек обоих видов. Но эти методы будут менее эффективны в случае с умышленными утечками. Следовательно, доля умышленных утечек в ближайшее время будет неуклонно расти.
Как видно из диаграммы 1, при неуклонном росте числа как случайных, так и умышленных утечек, количество последних выросло намного больше. В ближайшее время эта тенденция сохранится. Это связано, в первую очередь, с тем, что современные средства противодействия утечкам (в том числе, DLP-системы) достаточно эффективно предотвращают лишь случайные утечки по различным каналам. Для противодействия же умышленным утечкам данных требуется полный контроль всех информационных каналов и грамотные специалисты, способные должным образом настроить систему защиты от утечек и умеющие правильно её использовать.
Разные виды персональных данных имеют разную цену для злоумышленников (многие виды им вообще не нужны). Так, в США и Великобритании (откуда «родом» большинство фиксируемых утечек) прагматично защищают не любые персональные данные, а лишь те, которые злоумышленники могут быстро конвертировать в деньги. Именно за такими данными охотятся злоумышленники. Прежде всего, это данные банковских карт и номера социального страхования (SSN — Social Security Numbers). Сбыт и дальнейшее использование такой информации отлажены. И чем дальше, тем больше возможностей появляется у людей, желающих незаконным образом заработать на продаже ПД, тем шире масштабы этого криминального рынка.
Диаграмма 1: Доли умышленных и случайных утечек
В 1-м полугодии 2009 года заметно выросла доля умышленных инцидентов. В предыдущие периоды их доля также постепенно увеличивалась, но в пределах статистической погрешности. Теперь же эксперты InfoWatch уверенно констатируют, что умышленных утечек стало больше.
Умысел или случайность?
В других странах столь радикального всплеска интереса к теме не наблюдается. Но спада интереса также нет, тема продолжает оставаться актуальной и интересной для широкого круга читателей, не говоря уже про экспертов в области информационной безопасности.
Довольно часто стали появляться сообщения об утечках в России. Их за отчётное полугодие зафиксировано 23 (для сравнения: за прошлое полугодие их было всего 2). Это является прямым следствием актуализации темы персональных данных. Новый российский закон «О персональных данных» (152-ФЗ) стал активно применяться государственными органами: набирают обороты проверки Роскомнадзора, компании серьёзно озаботились приведением в соответствие своих информационных систем. Все эти факты породили очередной всплеск интереса СМИ к теме персональных данных и их утечек.
Тема утечек конфиденциальной информации (особенно персональных данных) продолжает оставаться актуальной в СМИ. Даже инциденты в малоизвестных организациях с десятком пострадавших лиц привлекают интерес публики и освещаются местной прессой. Когда же много потенциальных пострадавших, замешана крупная корпорация, известная личность, то сообщение об утечке быстро расходится по мировым информагентствам, переводится, перепечатывается и обсуждается в Интернете.
Количество зафиксированных в расчёте на 1 день утечек продолжает постоянно увеличиваться. Трудно сказать, отражает ли это реальное увеличение числа инцидентов, или дело в том, что наша компания интенсифицировала работу по сбору информации. Скорее, то и другое одновременно. За 1-е полугодие 2009 года была опубликована информация о 413 утечках (2,3 утечки в сутки). Для сравнения: во втором полугодии 2008 было зафиксировано 273 утечки. Таким образом, рост составил 51%.
Качественная характеристика
Компания InfoWatch предлагает вниманию специалистов очередное глобальное исследование статистики по инцидентам, связанным с утечками конфиденциальной информации. Основой для данного отчёта является база данных утечек, которую ведет аналитический центр компании InfoWatch. База инцидентов ведётся с 2004 года, и в неё включаются все инциденты во всех странах мира, информация о которых была опубликована в СМИ, а также блогах, веб-форумах и других сетевых ресурсах.
Глобальное исследование утечек конфиденциальных данных. Первое полугодие 2009
→ → →Глобальное исследование утечек конфиденциальных данных. Первое полугодие 2009
Уровень опасности: 1
в описаниях объектов
Глобальное исследование утечек конфиденциальных данных. Первое полугодие 2009 - Securelist
Комментариев нет:
Отправить комментарий