Утечки данных: текущий год уже обогнал прошедший?

Данил Анисимов

  По данным американского центра исследований исследования преступлений, связанных с хищениями персональных данных (Identity Theft Resource Center, ITRC), в прошлом году на территории США произошло как минимум 656 публичных утечек информации. Это значение на 47% превосходит показатели позапрошлого года и более чем в четыре раза – данные за 2005 год. Если темпы роста количества утечек сохранятся и в нынешнем году (а пока предпосылок к их снижению не наблюдается), то общее количество публичных инцидентов может приблизиться к психологической отметке в 1000 случаев за год.

  По мнению экспертов, основные причины столь бурного роста связаны с усилением законодательного регулирования, а не объективным ростом киберпреступности. "На территории большинства штатов США и других развитых стран уже приняты законы, регламентирующие обязательные оповещения об инцидентах, - отмечает директор по маркетингу Perimetrix Денис Зенкин. – С каждым годом наращивается правоприменительная практика в отношении данных законов, что позволяет властям эффективнее контролировать их исполнение. Как следствие, растет и количество публичных утечек информации".

  Вместе с тем, те 656 инцидентов, которые были зафиксированы ITRC, – это всего лишь верхушка айсберга. "Статистика компании Perimetrix показывает, что средняя российская организация допускает не менее 4 утечек информации за год, - рассказывает Зенкин. – Конечно, информационная защищенность американских компаний выше, однако одну-две утечки в год они все равно должны допустить. Таким образом, общее количество случившихся инцидентов должно превзойти данные ITRC на несколько порядков".

  На данный момент существуют две основные группы причин, из-за которых компании скрывают информацию об инцидентах. Во-первых, это нежелание нести дополнительные расходы на ликвидацию последствий утечек, оповещение пострадавших и возмещение понесенного ими ущерба. Зачастую организации полагаются "на авось", считая, что утечку никто не заметит. При этом они неизбежно испытывают риски, связанные с возможными последствиями инцидента.

  Однако еще большую важность имеет вторая группа причин, смысл которой заключается в том, что информация о случившихся инцидентах часто не доходит до руководства. Всего лишь одна потерянная флешка или письмо, отправленное по чужому адресу, может привести компанию к невосполнимым финансовым потерям. При этом персонал по безопасности и ИТ часто просто игнорирует такого рода инциденты, опасаясь санкций со стороны начальства или просто не принимая их всерьез.

  Добавим, что кроме инцидентов, которые хоть как-то обнаруживаются внутри компаний, существуют еще и утечки-фантомы, о которых никто ничего не знает. Доля таких утечек особенно велика для внутренних инцидентов по безопасности, поскольку далеко не все компании имеют средства для выявления данных проблем.

Сколько информации утекает?

  Понятно, что общее количество случившихся инцидентов не дает полного представления об их масштабе. В рамках всего лишь одной утечки может быть скомпрометировано как несколько записей, так и гигантская база данных с миллионами полей. В качестве стандарта, позволяющего измерять масштабы инцидентов, де-факто принято количество пострадавших в результате утечки жителей.

  Статистика показывает, что количество жертв утечек в 2008 году сократилось как на территории США, так и во всем мире. Однако этот факт не говорит о том, что проблема стала менее актуальной. Дело в том, что существенная доля жертв 2007 года приходится на инцидент с розничной компанией TJX в рамках которого была скомпрометирована база с 94 млн банковских транзакций. На данный момент эта утечка считается крупнейшим инцидентом приватности в истории.

  В 2008 году просто не произошло настолько крупных инцидентов. Крупнейшая утечка года случилась в октябре в компании Deutsche Telekom. По уточненным данным, из-за нее пострадали 17 млн человек. При этом 8 из 20 крупнейших инцидентов за всю историю (по данным DatalossDB) приходятся именно на 2008 год.

  Строго говоря, тезис о том, что некоторое снижение общего количества жертв ни о чем не говорит, уже подтвердился в 2009 году. Напомним, что 20 января американская процессинговая компания Heartland Payment Services объявила об утечке информации, которая может оказаться крупнейшей в истории. Дело в том, что Heartland Payment Services является шестым по величине процессинговым центром в США и обрабатывает 100 млн транзакций по банковским картам ежемесячно. Причиной утечки стала заточенная по Heartland вредоносная программа, которая как минимум несколько месяцев оставалась незамеченной и передавала сведения неизвестным злоумышленникам. По мнению экспертов Perimetrix, общий объем данной утечки может превысить показатели TJX и составить несколько сотен миллионов записей.

  В этом случае 2009 год автоматически станет самым проблемным периодом за всю историю наблюдений за утечками информации. Одна только утечка в Heartland сразу же перекроет все показатели прошлого года как на территории США, так и во всем мире.

Где происходят утечки?

  Еще одна интересная статистика ITRC связана с распределением утечек по отраслям экономике. В методологии ITRC все организации делятся на пять секторов, для каждого из которых оценивается доля в общих количествах инцидентов и скомпрометированных записей. Максимальное количество утечек в 2008 году (36,6%) пришлось на коммерческий сектор, который практически в два раза опередил каждый из остальных. Однако наибольший ущерб принесли утечки не из коммерческого, а из финансового сектора – на них пришлось более половины (52,5%) всех пострадавших.

  По-видимому, такое распределение объясняется большим количеством консолидированных финансовых баз данных, которые, к тому же, весьма привлекательны как для внешних, так и для внутренних злоумышленников. "Из данных статистики следует, что от утечки из финансовых структур страдают в среднем в восемь раз больше людей, чем от утечки из любой другой организации, - отмечает руководитель аналитического центра компании Perimetrix Владимир Ульянов. – Это означает, что и ущерб от таких инцидентов окажется значительно более масштабным. Таким образом, финансовые компании, испытывающие, кроме того, масштабный нормативный прессинг, должны стать основными потребителями систем защиты".

  Единственная проблема заключается в том, что современным финансовым структурам пока не до решения вопросов безопасности – им надо спасаться в условиях экономического кризиса. Отсюда можно сделать вывод, что масштабная эпидемия утечек получит свое закономерное развитие в нынешнем, 2009 году.