Вестник цифровой трансформации

InfoWatch: утечки данных больно бьют по капиталу
InfoWatch: утечки данных больно бьют по капиталу




12:27 07.09.2023  |  3989 просмотров



Утечки данных чреваты многомиллионным ущербом для российских предприятий и компаний, а также для государственных организаций. Такой вывод следует из исследования «Оценка ущерба вследствие утечек информации», проведенного в России экспертно-аналитическим центром группы InfoWatch.

Сколько «весит» серьезная утечка

Самыми «дорогими» утечками, согласно результатам исследования, стали сведения, составляющие коммерческую тайну и ноу-хау (секреты производства), а также утечки персональных данных. Практически никто из респондентов, которые ответили, что оценивали понесенный ущерб, не назвал точные цифры. На просьбу указать сумму понесенного ущерба, большая часть (37%) сообщила, что не рассчитывала убытки, а 23% ответивших указали, что организация не понесла ущерба.

Ущерб оценивали, в основном, крупные и средние предприятия и финансовые организации. В тех структурах, где ущерб был подсчитан, в 14% случаев он составил свыше 1 млн руб. К таковым, например, можно отнести ошибку топ-менеджера из-за потери съемного носителя — произошла утечка информации, составлявшей коммерческую тайну, которая обошлась организации в «более 1 млн рублей».

К ущербу такого же масштаба приводили:

  • ошибка сотрудника, который скопировал секреты производства на съемный носитель;
  • умышленные действия подрядчика организации, в результате которых произошла утечка персональных данных, а также банковской и служебной тайны;
  • умышленные действия сотрудника, в результате которых через корпоративную электронную почту произошла утечка коммерческой, служебной тайны и персональных данных.

К ущербу от 100 до 500 тыс. руб. в половине случаев также привели утечки персональных данных, зачастую одновременно с утечками коммерческой тайны.

Как отмечают аналитики, утечки информации ограниченного доступа несут для пострадавшей организации угрозу причинения различных видов ущерба — от материального до репутационного. В современной практике ИБ проблема оценки ущерба от утечек информации заключается в отсутствии проверенных и экономически обоснованных методик, которые позволили бы объективно и комплексно оценить ущерб и структуру понесенных затрат и подготовить оценку рисков ущерба и финансово-экономическое обоснование для создания и эксплуатации системы защиты от утечек информации. Но можно уверенно утверждать, что затраты на обнаружение и ликвидацию последствий утечки по вине внутреннего нарушителя обходятся дороже, чем комплекс реагирования на утечки в результате хакерских атак.

Что за границей?

Согласно последним данным из отчета «Cost of a Data Breach Report 2023», средний ущерб после утечки составил 4,5 млн долл., что на 15% больше, чем три года назад. При этом ущерб от утечки по вине внутреннего нарушителя выше — сумма потерь в таком случае составила 4,9 млн долл. В совместном отчете компаний Proofpoint и Ponemon Institute отмечается, что для пострадавшей организации на Западе средняя стоимость кражи учетных данных в результате действий внутреннего нарушителя составила 4,6 млн долл., а утечка из-за халатности работника (неумышленная) — 6,6 млн долл.

При этом ущерб от инцидентов ИБ может затрагивать не только отдельные организации, но и целые города. Так, недавно городской совет Далласа выделил из бюджета города 8,6 млн долл. на оплату услуг ИБ-компаний, участвовавших в восстановлении информационной инфраструктуры города после кибератаки. Используя программу-вымогатель, злоумышленники украли персональные данные 26 тыс. человек.

В то же время структура затрат, статьи финансового учета, размеры оплаты услуг и штрафов в США, Канаде, странах Евросоюза значительно отличаются от российских. Поэтому приводимые в зарубежных отчетах данные практически не соотносятся с российскими реалиями. В связи с этим InfoWatch разработала и зарегистрировала собственную методику сбора достоверной информации для оценки ущерба от утечки данных, которая частично использована в данном исследовании.

Что утекает и кто виноват?

Первую тройку «утекших» данных составили следующие категории: персональные данные (39%), коммерческая тайна (24%), служебная тайна (18%).

В подавляющем большинстве случаев (70%) утечка данных является следствием умышленных действий. Эти показатели соотносятся с выводами последних аналитических отчетов InfoWatch по утечкам в России, согласно которым последние годы отмечается рост доли утечек данных в результате умышленных нарушений. В 79% случаев утечек произошли по вине внутреннего нарушителя. В большинстве случаев к ущербу привела утечка данных через корпоративную электронную почту.

Почти половина утечек (46%) произошли через подключение корпоративной сети или ЦОД к сети Интернет, а также через корпоративную электронную почту. Далее по частоте инцидентов идут потеря и кража съемных носителей (14%). В 9% случаев утечка информации произошла через бумажные носители, информация также «утекала» вследствие нелегитимного использования мобильных устройств и через облачные сервисы.

Как выяснили специалисты InfoWatch, почти у половины организаций (47%) вообще отсутствует методика оценки ущерба от утечки информации. Наличие в организации такой методики и, одновременно, отсутствие у них за последние три года утечек позволяет предположить, что подобные организации имеют более высокий уровень зрелости информационной безопасности.

Трудно оценить иначе, как парадоксальный, факт, что подавляющее большинство организаций (71% опрошенных) не застрахованы от ущерба в случае утечки информации. Именно в большинстве из них за последние три года произошли утечки данных. Застрахованными оказались организации только из трех секторов — образование, банки и финансовые услуги, топливно-энергетический комплекс.

Теги: Информационная безопасность InfoWatch Утечки данных

На ту же тему: