Об атаках на серверы Госдепа и Белого дома США стало известно на днях, эта новость широко освещалась в СМИ. Одновременно стало известно о еще одной утечке информации. На сайте Федеральной комиссии по связи США сообщается, что порядка 280 тысяч американских клиентов оператора сотовой связи AT&T пострадали от кражи данных, которая произошла в call-центрах Мексики, Колумбии и Филиппин в 2012-2014 годах. Виновниками утечки стали сотрудники трех call-центров, которые продали преступникам сотни тысяч записей с персональной информацией клиентов AT&T. Эти записи включают имена и номера социального страхования. Мошенники пытались использовать полученную информацию для разблокировки украденных мобильных телефонов, на сайт оператора поступили больше 290 тысяч запросов на разблокирование телефонов, привязанных к украденным учетным данным. AT&T согласился выплатить $25 млн штрафа и создать новую программу обеспечения безопасности данных.
По данным компании Zecurion Analytics, представившей отчет об утечках конфиденциальной информации, прошлый год также был ознаменован громкими скандалами, связанными с кражей данных. Начало года прошло под знаком гигантской утечки пластиковых карт из розничной сети Target, участника списка Fortune 500. В течение всего 2014 года крупные ритейлеры продолжали сообщать об инцидентах, связанных с пластиковыми картами и персональными данными своих клиентов. В число пострадавших компаний попали крупные розничные сети Home Depot, Goodwill, Michaels и другие.
Суммарный ущерб компаний от утечек информации за 2014 год составил $18,534 млрд (за весь 2013 год — $25,11 млрд). Средний ущерб от каждого инцидента составил $25,29 млн, что заметно меньше значения в 2013 году ($31,23 млн). Чаще всего утечки конфиденциальных данных происходят из розничных сетей (17,7%), госорганизаций (16,9%) и медучреждений (16,1%). Самый распространённый канал утечек — интернет (26,7%). Количество преднамеренных утечек растёт, и составляет уже 32,1% (против 34,1% случайных). По количеству зафиксированных утечек за год Россия уступает лишь США. Преобладающая доля США в информации об утечках объясняется деталями местного законодательства и особой щепетильностью, с которой американцы относятся к своим персональным данным. Так, огласке подлежит любой эпизод, связанный с кражей персональных данных. Уведомления об инциденте получают все потенциальные пострадавшие, данные которых могли быть скомпрометированы.
На фоне США ситуация в России выглядит более позитивной. Однако это отчасти обусловлено отсутствием законодательных требований разглашать информацию об инцидентах и тем, что пострадавшие порой не знают о краже данных. По результатам исследования, проведенного «Лабораторией Касперского» совместно с агентством B2B International в 2014 году, более трети российских организаций столкнулись с утечками данных, произошедшими из-за невнимательности сотрудников. Еще в 23% компаний были зафиксированы случаи намеренного распространения конфиденциальной информации. Подобные ошибки или неправомерные действия сотрудников чаще всего оборачиваются для предприятия финансовыми и репутационными потерями.
Одними из опасных инцидентов в плане кражи любого типа данных являются случайные утечки информации – от них пострадали 27% компаний. Однако намеренные действия сотрудников приводят к более серьезным последствиям: по этой причине произошло 20% случаев утечек данных, и в 9% случаев инсайдеры похитили критически важную для бизнеса информацию. Для инцидентов, вызванных другими причинами, показатель потери критически важных данных гораздо ниже – от 3% до 7%. Наиболее популярные каналы утечки информации – веб-сервисы (более 25%) и неэлектронные носители, чаще всего это бумажные документы.
В прошлом году в РФ произошла 41 утечка. Это также меньше, чем в 2013 году, однако последствия краж оказались более серьезными, утверждают эксперты Zecurion Analytics. По данным «ЛК», в результате кражи данных компании чаще всего расставались со своей внутренней операционной информацией – об этом сообщили 56% опрашиваемых. На втором месте по частоте утечек (26%) – персональные данные сотрудников, что чревато санкциями со стороны регуляторов. Кражу финансовой информации и данных о клиентах отметили по 25% респондентов соответственно. Российские компании больше всего дорожат своими клиентскими базами и прочей информацией о клиентах и заказчиках – эти данные боится потерять 21% организаций. Еще 19% опасаются кражи финансовой информации, и лишь 15% – внутренней операционной информации, которую в реальности крадут чаще всего.
В целом результаты этой части опроса «ЛК» показывают, что опасения компаний в отношении потери определенных типов данных вполне совпадают с тем, что в действительности оказывается в руках третьих лиц в результате инцидента ИБ. Это говорит о том, что компании сравнительно адекватно оценивают риски информационной безопасности, а тот факт, что доля похищений некоторых типов информации снизилась по сравнению с прошлым годом – о том, что меры, которые компании принимают для защиты своих данных, достаточно эффективны. Однако этих мер все еще недостаточно для того, чтобы значительно снизить количество киберинцидентов или вовсе исключить их.
Последствия утечки информации сильно зависят от типа и полноты данных, которые утекают, считают в Zecurion Analytics. Если в руки к злоумышленникам попали номера и пин-коды действующих пластиковых карт, последствия будут очень серьёзными, а ущерб - большим. Если же речь идёт об утечке адресов электронной почты без паролей, то реальный ущерб от инцидента будет очень скромным, даже репутационные риски в данном случае невелики. Причины утечек бывают разными. Из тенденций последних двух лет следует отметить выравнивание долей случайных и умышленных утечек.
Если в 2012 году преобладали непредумышленные инциденты (44,5% против 24,2% у целенаправленных), то в 2014 году разрыв между ними сократился всего до двух процентов. Случаи, когда к утечке приводили одновременно и халатность, и злой умысел, классифицировались экспертами как преднамеренные утечки. По прогнозам Zecurion Analytics, в ближайшие годы нас ожидает рост информационных угроз, связанных с использованием мобильных гаджетов, смартфонов, планшетов, а также увеличения числа целенаправленных атак с использованием разных инструментов.
.png)