Исследование ГК InfoWatch: утечки данных больно бьют по капиталу
Утечки данных чреваты многомиллионным ущербом для российских предприятий и компаний, а также для государственных организаций. Такой вывод следует из исследования «Оценка ущерба вследствие утечек информации», проведенного в России экспертно-аналитическим центром (ЭАЦ) группы компаний InfoWatch.
Анонимный опрос проводился в июле 2023 года по всей стране с применением уникальной собственной методики, зарегистрированной как объект авторского права. Опрос велся путем целевых и массовых рассылок от группы компаний InfoWatch и Ассоциации по защите деловой информации (BISA).
Основную долю респондентов составили представители крупных частных и государственных организаций из отечественного промышленного сектора (у 53% штат превышает 500 человек), 35% участников опроса представляли средние и 12% — малые компании.
Наибольшая доля респондентов представлена организациями из промышленности, информационных технологий и информационной безопасности. Частные организации представлены 52% участников опроса, государственный сектор — 31%.
Сколько «весит» серьезная утечка
Самыми «дорогими» утечками, согласно результатам исследования, стали сведения, составляющие коммерческую тайну и ноу-хау (секреты производства), а также утечки персональных данных. Практически никто из респондентов, которые ответили, что оценивали понесенный ущерб, не назвал точные цифры, а на просьбу указать сумму понесенного ущерба, большая часть (37%) сообщила, что не рассчитывали убытки, а 23% ответивших указали, что организация не понесла ущерба.
Ущерб оценивали, в основном, крупные и средние предприятия и финансовые организации. В тех структурах, где ущерб был подсчитан, в 14% случаев он составил свыше 1 млн рублей. К таковым, например, можно отнести ошибку топ-менеджера из-за потери съемного носителя — произошла утечка информации, составлявшей коммерческую тайну, которая обошлась организации в «более 1 млн рублей».
К ущербу такого же масштаба приводили:
- ошибка сотрудника, который скопировал секреты производства на съемный носитель,
- умышленные действия подрядчика организации, в результате которых произошла утечка персональных данных, а также банковской и служебной тайны.
- умышленные действия сотрудника, в результате которых через корпоративную электронную почту произошла утечка коммерческой, служебной тайны и персональных данных.
К ущербу от 100 до 500 тыс. руб. в половине случаев также привели утечки персональных данных, зачастую одновременно с утечками коммерческой тайны.
«Утечки информации ограниченного доступа несут для пострадавшей организации угрозу причинения различных видов ущерба — от материального до репутационного, — говорит главный аналитик экспертно-аналитического центра группы компаний InfoWatch Дарья Пырина. — В современной практике информационной безопасности (ИБ) проблема оценки ущерба от утечек информации заключается в отсутствии проверенных и экономически обоснованных методик, которые позволили бы объективно и комплексно оценить ущерб и структуру понесенных затрат и подготовить оценку рисков ущерба и финансово-экономическое обоснование для создания и эксплуатации системы защиты от утечек информации. Но можно уверенно утверждать, что затраты на обнаружение и ликвидацию последствий утечки по вине внутреннего нарушителя обходятся дороже, чем комплекс реагирования на утечки в результате хакерских атак».
А что за границей?
Согласно последним данным из отчета «Cost of a Data Breach Report 2023», средний ущерб после утечки составил $4,5 млн, что на 15% выше, чем три года назад. При этом ущерб от утечки по вине внутреннего нарушителя выше — сумма потерь в таком случае составила $4,9 млн. В совместном отчете компаний Proofpoint и Ponemon Institute отмечается, что для пострадавшей организации на Западе средняя стоимость кражи учетных данных в результате действий внутреннего нарушителя составила $4,6 млн, а утечка из-за халатности работника (неумышленная) — $6,6 млн.
При этом ущерб от инцидентов информационной безопасности может затрагивать не только отдельные организации, но и целые города. Так, недавно городской совет Далласа выделил из бюджета города $8,6 млн на оплату услуг ИБ-компаний, участвовавших в восстановлении информационной инфраструктуры города после кибератаки. Используя программу-вымогатель, злоумышленники украли персональные данные 26 тыс. человек.
В то же время структура затрат, статьи финансового учёта, размеры оплаты услуг и штрафов в США, Канаде, странах Евросоюза значительно отличаются от российских. Поэтому приводимые в зарубежных отчетах данные практически не соотносятся с российскими реалиями. В связи с этим ГК InfoWatch разработала и зарегистрировала собственную методику сбора достоверной информации для оценки ущерба от утечки данных, которая частично использована в данном исследовании.
Что утекает и кто виноват?
Первую тройку «утекших» данных составили следующие категории:
- персональные данные (39%);
- коммерческая тайна (24%);
- служебная тайна (18%).
В подавляющем большинстве случаев (70%) утечка данных является следствием умышленных действий. Эти показатели соотносятся с выводами последних аналитических отчетов ЭАЦ ГК InfoWatch по утечкам в России, согласно которым последние годы отмечается рост доли утечек данных в результате умышленных нарушений.
В 79% случаев утечек произошли по вине внутреннего нарушителя. В большинстве случаев к ущербу привела утечках данных через корпоративную электронную почту.
Почти половина утечек (46%) произошли через подключение корпоративной или промышленной сети, ЦОД к сети Интернет, а также через корпоративную электронную почту. Далее по частоте инцидентов идут потеря и кража съемных носителей (14%). В 9% случаев утечка информации произошла через бумажные носители, информация также «утекала» вследствие нелегитимного использования мобильных устройств (7%) и через облачные сервисы (5%).
Как выяснили специалисты ЭАЦ ГК InfoWatch, почти у половины организаций (47%) вообще отсутствует методика по оценке ущерба от утечки информации. Наличие в организации такой методики и, одновременно, отсутствие у них за последние три года утечек позволяет предположить, что подобные организации имеют более высокий уровень зрелости информационной безопасности.
Трудно оценить иначе, как парадоксальный, факт, что подавляющее большинство организаций (71% опрошенных) не застрахованы от ущерба в случае утечки информации. Именно в большинстве из них за последние три года произошли утечки данных. Застрахованными оказались организации только из трех секторов — образование, банки и финансовые услуги, топливно-энергетический комплекс.
Как защититься от приносящих ущерб утечек?
«Позитивным результатом исследования стало подтверждение респондентами того, что именно наличие внедренной DLP-системы сокращает перечень причин, по которым произошла утечка данных», — считает Дарья Пырина. Выяснилось, что DLP-системы внедрены почти у половины организаций (48%). В основном это — крупные частные предприятия из сферы производства (почти каждая пятая компания). Следом идут организации из ИТ и ИБ — 18% и образование — 12%. Банки и финансовые услуги представляют 10% участников опроса. DLP-системы в подавляющем числе случаев внедрены в крупных организациях, их доля составила 77%. Средние организации составили 19%, а малые — только 4%.
Полное или частичное копирование материалов возможно только при указании ссылки на источник — сайт www.infowatch.ru или на страницу с исходной информацией