Поделиться
Утечки 2008: Американцев вынудили раскрыть данные
Количество публичных утечек в США продолжает расти. По мнению специалистов, основной причиной является не увеличение общего числа подобных инцидентов, а ужесточение законодательного регулирования и повышенное внимание общества к проблемам потери данных. Так, в 44 американских штатах уже приняты законы, требующие раскрытия информации об утечках. И это только начало.За первую половину 2008 года на территории США произошло 336 публичных утечек информации, в которых пострадали примерно 17 млн человек. Такую статистику приводит центр исследования преступлений, связанных с хищениями персональных данных (Identity Theft Resource Center, ITRC), который фиксирует уведомления обо всех случившихся инцидентах.
Легко заметить, что количество публичных утечек стабильно и очень быстро (на 62% в год) растет на протяжении последних трех лет. Означает ли это, что общее количество утечек увеличивается? Скорее всего, нет. По данным компании Perimetrix, более 80% инцидентов имеют внутреннюю причину, вероятность возникновения которой зависит только от социальных факторов. А эти факторы в последнее время не претерпели никаких радикальных изменений, по крайней мере, на территории США.
По-видимому, причина роста заключается в других факторах, связанных с более жестким законодательным регулированием и повышенным вниманием общества к данной проблеме. И действительно, законы, требующие раскрытия информации об утечках, приняты в 44 американских штатах. Не за горами и подписание федерального акта. А количество упоминаний в новостях и в передачах заокеанских телеканалов и вовсе выводит проблему "кражи личности" на принципиально иной, более высокий уровень.
Количество зафиксированных в США утечек
*данные за 2008 год - прогноз
Источник: ITRC, Perimetrix, 2008
Однако, несмотря на быстрый рост количества инцидентов, численность пострадавших жителей пока не демонстрирует устойчивой тенденции к росту. Объясняется это весьма просто – в 2005 и 2007 годах случились утечки-монстры (в компаниях MasterCard и TJX соответственно), в результате которых пострадали десятки миллионов человек. В нынешнем году подобных инцидентов не происходило, и общая численность пострадавших может показаться сравнительно небольшой.
Вместе с тем, если исключить из рассмотрения наиболее масштабную утечку, то график начинает колебаться вокруг одной и той же цифры в 30 млн пострадавших. Этот факт еще раз показывает, что общая опасность утечек всегда остается на примерно одинаковом уровне – и каждый год пропадает почти одинаковое количество конфиденциальных записей.
Количество пострадавших в результате утечек
*данные за 2008 год - прогноз
Источник: ITRC, Perimetrix, 2008
С другой стороны, по мере роста количества утечек их удельная опасность (среднее количество пострадавших на один инцидент) стабильно уменьшается. Казалось бы, ущерб в результате утечек должен также снижаться – однако на деле все происходит с точностью до наоборот. Статистика ITRC базируется на публичных утечках, а удельное снижение ущерба означает рост внимания прессы к более мелким и, казалось бы, незначительным случаям. Это означает, что репутационные издержки для каждого конкретного инцидента (которые по данным Ponemon Institute составляют большую часть ущерба) с каждым годом только растут.
Кроме общей информации о случившихся утечках, ITRC опубликовала и статистику по их причинам. В классическом противостоянии инсайдеры-хакеры на этот раз была зафиксирована ничья: первые стали причиной 15,8% инцидентов (хакеры – 11,7%), а вторые украли 27,4% записей (инсайдеры – 11,3%). Но самой страшной бедой стали ни те и ни другие – почти половина (47%) скомпрометированных записей "утекли" вследствие кражи различных носителей – прежде всего, резервных лент, а также ноутбуков. Получается, что шифровать носители сейчас важнее, чем бороться с неавторизованными вторжениями или следить за инсайдерами.
Такая статистика позволяет понять, насколько много утечек происходит на самом деле. С изрядной долей уверенности можно предположить, что имеющийся тренд будет продолжен на протяжении нескольких следующих лет и количество публичных утечек не перестанет увеличиваться. Общая же численность утечек информации, напротив, практически всегда остается постоянной и несравнимо большей. Публичные утечки – это всего лишь верхушка огромного айсберга.
Ситуация становится совсем плачевной, если учесть, что защищенность российских компаний значительно уступает защищенности заокеанских корпораций. И полагать, что в нашей стране происходит меньше утечек, было бы, по крайней мере, наивно. Другое дело, что абсолютное большинство из них остается "за кадром" - на эту тему практически никто не говорит, и в условиях отсутствия регулирующих законов это оправданно.
Вместе с тем, федеральный закон "О персональных данных" постепенно начинает набирать обороты, и вскоре может даже заработать на практике. "Дальше - больше. Вначале всех операторов персональных сведений занесут в государственный реестр, а потом – заставят оповещать жителей об утечках, - считает директор по маркетингу компании Perimetrix Денис Зенкин. – У нас же все-таки цивилизованная страна, которая заботится о своих гражданах. А если закон об обязательном оповещении все-таки будет принят – всем незащитившимся компаниям мгновенно станет очень плохо".
В любом случае, защищаться от утечек очень и очень полезно уже сейчас. Благо, сегодня на российском рынке существует не один соответствующий продукт, а несколько – на вкус и цвет каждого потребителя. И было бы совсем неплохо, если бы американская статистика сподвигла российские компании на новые внедрения. Которые, помимо всего прочего, наращивают национальный ВВП.
Поделиться
Короткая ссылка
