О причинах утечек информации – исследование Symantec и Ponemon Institute
Корпорация Symantec и Ponemon Institute опубликовали результаты совместного исследования 2013 г. «Оценка стоимости утечки информации: глобальный анализ» (2013 Cost of Data Breach Study: Global Analysis).Согласно им, системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации и подняли средний мировой показатель убытка от кражи одной учетной записи до 136 долл.
Восьмой ежегодный глобальный отчет основан на данных об утечках информации, случившихся в 2012 календарном году у 277 компаний в 9 странах мира: США, Великобритании, Франции, Германии, Италии, Индии, Японии, Австралии и Бразилии. Чтобы избежать искажений, в исследовании не учитывались огромные утечки с кражей более 100 тыс. учетных записей.
В списке ключевых причин утечек – непонимание сотрудниками того, что является конфиденциальной информацией; недостаточность системного контроля (средств управления системой); несоблюдение государственных и отраслевых нормативов. В таких строго регулируемых отраслях, как здравоохранение, экономика и фармацевтика, убытки от утечки информации оказались в среднем на 70% выше.
Средняя по миру убыточность скомпрометированной записи возросла, при этом цена одного инцидента утечки в США снизилась до 5,4 млн долл. Такое снижение связано с распространенностью должности руководителя отдела ИТ-безопасности (Chief Information Security Officer, CISO), отвечающего за безопасность на уровне всей компании, а также с формированием планов реагирования на инциденты и усилением программ безопасности в целом.
Основные выводы исследования приведены ниже.
Средняя цена утечки информации сильно различается в разных странах. Многие из различий связаны с типами угроз, с которыми организации приходится иметь дело, а также со спецификой законодательства по защите информации в конкретной стране. Так, в Германии, Австралии и США законодательство в области защиты потребителей более развито, что обеспечивает большую конфиденциальность данных и общую кибербезопасность. США и Германия пока отличаются самой высокой стоимостью утечки: в среднем 188 и 199 долл. за каждую скомпрометированную учетную запись и 5,4 млн и 4,8 млн долл. соответственно за каждый инцидент утечки.
Ошибки людей и систем – главные причины утечек. Человеческий фактор и системные ошибки стали причиной 64% утечек по всему миру, при этом, как показало проведенное ранее исследование, 62% сотрудников компаний считают приемлемым перемещение корпоративных данных за пределы компании и большинство сотрудников никогда не удаляют данные, тем самым способствуя утечкам. В наибольшей степени влиянию человеческого фактора подвержены бразильские компании. А компании в Индии чаще всего становятся жертвами утечек, связанных с системными сбоями и нарушениями бизнес-процессов. Системные сбои включают в себя сбои приложений, случайные выгрузки данных, логические ошибки при передаче данных, ошибки идентификации (неправомерный доступ), ошибки восстановления данных и др.
Хакерские атаки обходятся дороже всего. Консолидированные исследования показывают, что преднамеренные атаки являются причиной 37% всех утечек информации в мире, при этом во всех исследованных странах эти утечки оказываются самыми дорогостоящими. Компаниям из США и Германии хакерские атаки стоили 277 и 214 долл. за каждую скомпрометированную учетную запись, а в Бразилии и Индии эта цифра составляет лишь 71 и 46 долл. соответственно. Помимо того, немецкие компании, вместе с компаниями в Австралии и Японии, больше всего подвержены риску стать жертвами хакерской атаки.
Некоторые организационные факторы приводят к снижению расходов. Компаниям в США и Великобритании удалось добиться наибольшего снижения расходов при утечках за счет сильной стратегии ИБ, наличия плана реагирования на инциденты и назначения руководителя отдела ИТ-безопасности. США и Франция также снизили расходы за счет привлечения сторонних консультантов по расследованию утечек.
Специалисты Symantec рекомендуют придерживаться лучших практик, направленных на предотвращение и снижение цены утечек. Они включают:
- обучение персонала правилам работы с конфиденциальной информацией;
- использование системы предотвращения утечек, позволяющих распознавать конфиденциальную информацию и препятствовать ее выходу за пределы компании;
- внедрение надежных систем шифрования и строгой аутентификации;
- подготовку плана реагирования на инциденты, включающего адекватные шаги по оповещению клиентов.