Спецпроекты

Безопасность Стратегия безопасности Техническая защита Пользователю Новости поставщиков

Инсайдеры 2009: кризис диктует свои условия

Проблема утечек персональных данных не теряет актуальности. Тем не менее, экономические "катаклизмы" накладывают свой отпечаток на ситуацию в этой области. Так, значительно выросло количество умышленных преступлений. Кроме того, ужесточение конкуренции (в условиях нехватки денежных средств) спровоцировало увеличение доли инцидентов на коммерческих предприятиях. Какие еще изменения принес 2009 год? Рассмотрим статистику по первому полугодию.

Количество зафиксированных в расчете на 1 день утечек продолжает постоянно увеличиваться. Так, за 1-е полугодие 2009 года была опубликована информация о 413 утечках (2,3 утечки в сутки). Для сравнения: во втором полугодии 2008 было зафиксировано 273 утечки. Таким образом, рост составил 51%.

Интересно, что в нашей стране за первое полугодие 2009 года зафиксировано 23 инцидента (для сравнения: во втором полугодии 2008 их было всего 2). Это является прямым следствием актуализации темы персональных данных. Новый российский закон "О персональных данных" (152-ФЗ) стал активно применяться государственными органами: набирают обороты проверки Роскомнадзора, компании серьезно озаботились приведением в соответствие своих информационных систем. Все эти факты породили очередной всплеск интереса СМИ к теме персональных данных и их утечек.

Из корыстных побуждений

По данным Infowatch, в первом полугодии 2009 года выросла доля умышленных инцидентов (56% против 48,7% во втором полугодии 2008 года). При этом увеличилось и количество преступлений данного типа. Так, если во втором полугодии 2008 года было зафиксировано 133 умышленных и 105 случайных утечек, то в текущем году это значение выросло до 231 и 133 соответственно.

Разные виды персональных данных имеют разную цену для злоумышленников (многие виды им вообще не нужны). Так, в США и Великобритании (откуда "родом" большинство фиксируемых утечек) прагматично защищают не любые персональные данные, а лишь те, которые можно быстро конвертировать в деньги. Именно за такими данными охотятся злоумышленники. Прежде всего, это данные банковских карт и номера социального страхования. Сбыт и дальнейшее использование такой информации отлажены. И чем дальше, тем больше возможностей появляется у людей, желающих незаконным образом заработать на продаже ПД, и тем шире масштабы этого криминального рынка.

Доли умышленных и случайных утечек в 1-м полугодии 2009 года

Источник: Infowatch, 2009

Современные средства противодействия утечкам (в том числе, DLP-системы) достаточно эффективно предотвращают лишь случайные инциденты. Для противодействия же умышленным утечкам данных требуется полный контроль всех информационных каналов и грамотные специалисты, способные должным образом настроить систему защиты и умеющие правильно ее использовать. Таким образом, есть основания полагать, что более широкое внедрение технических методов борьбы с утечками, отмечаемое почти во всех странах, приведет к выявлению и пресечению утечек обоих видов. Но эти методы будут менее эффективны в случае с умышленными утечками. Следовательно, доля умышленных утечек в ближайшее время будет неуклонно расти.

Не важно, как и откуда

По данным Infowatch, в 1-м полугодии 2009 года доля утечек конфиденциальных данных в образовательных учреждениях заметно снизилась за счет увеличения соответствующего числа на коммерческих предприятиях. Предполагается, что это может быть связано с мировым финансовым кризисом. В этот период в коммерческом секторе обостряется конкуренция и происходят массовые увольнения персонала. И то, и другое способствует увеличению числа утечек данных. На учебные заведения кризис в этом смысле не влияет. Персональные данные студентов не являются инструментом недобросовестной конкуренции, поэтому если их и воруют, то не более интенсивно, чем до кризиса.

Распределение источников утечек по видам организаций в 1-м полугодии 2009 года

Источник: Infowatch, 2009

С другой стороны, еще совсем недавно ситуация в системах информационной безопасности вузов была столь удручающей, что наведение в ней элементарного порядка (хотя бы установка паролей на доступ к сети, запрета общего доступа к данным на дисках рабочих станций и т.п.) было достаточно для того, чтобы значительно сократить риск утечек ПД студентов.

В предыдущие годы в коммерческих организациях преобладали умышленные утечки, а в учебных заведениях – случайные. В свою очередь, сейчас такое распределение отсутствует. Это можно объяснить усовершенствованием методов защиты и профилактики инцидентов. После того, как вопрос о важности защиты персональных данных в течение многих лет обсуждался в СМИ ведущих мировых держав, сегодня в этих странах существует четкое осознание необходимости обеспечения информационной безопасности во всех типах организаций, включая школы. Везде присутствует хоть какая-то организационная и техническая защита от утечек данных. Следовательно, принципиальной разницы между умышленными и случайными инцидентами для разных типов организаций не будет.

Не только персональные данные

Если в прошлом году предметом утечек практически всегда являлись персональные данные (98,5%), то в этом году ситуация значительно изменилась. В первом полугодии 2009 года доля утечек персональных данных немного уменьшилась и сегодня составляет только 87,2%. Причиной этому можно считать рост количества утечек сведений иных типов, - прежде всего, составляющих коммерческую тайну.

Распределение утечек по типам конфиденциальных данных в 1-м полугодии 2009 года

Источник: Infowatch, 2009

Тем не менее, эти изменения все же нельзя признать принципиальными. Пресса по-прежнему уделяет наибольшее внимание именно утечкам персональных данных. Иные же виды конфиденциальной информации "утекают" значительно реже и вызывают меньший интерес публики. Кроме того, скрывать инциденты с коммерческой тайной несравненно проще – в их отношении либо отсутствуют нормативные акты об обязательном уведомлении, либо уведомляется узкий круг лиц. Утечку государственной или военной тайны скрыть еще проще.

Особое внимание бумагам

По данным Infowatch, в первом полугодии 2009 года существенным образом снизилось число инцидентов с мобильными компьютерами, а доли утечек через бумажные и архивные носители, наоборот, увеличились.

Основные каналы утечки данных в 1-м полугодии 2009 года

Источник: Infowatch, 2009

Первое было предсказуемо - большое количество публикаций о потере и краже ноутбуков с конфиденциальными данными должно было привести к тому, что пользователи, наконец, озаботятся их защитой. Тем более что это довольно просто технически – надо зашифровать жесткий диск, раздел диска или хотя бы некоторые файлы. Программ для такого шифрования на рынке имеется предостаточно, в том числе, бесплатных. Но для того, чтобы дело сдвинулось с мертвой точки, потребовалось значительное время.

Короткая ссылка