Код на замок: утечки информации для компаний подорожали до $3,86 млн
Цена одной утечки информации из компании в среднем в мире выросла на 6,4% — до $3,86 млн, показало глобальное исследование IBM Security и Ponemon Institute, с которым ознакомились «Известия». Это связано с ростом объема информации, которая пострадала в ходе инцидентов. При этом наибольший урон наносят не внешние, а внутренние утечки, выяснили в российской InfoWatch. В среднем один внутренний инсайдер компрометирует в 1,5 раза больше данных, чем злоумышленник извне. Чаще всего компании теряют личную информацию, реже — коммерческую тайну и свои новые разработки. По оценкам Ponemon Institute, из-за появления новых каналов доступа к данным вероятность утечек информации из компаний в ближайшие два года вырастет до 29,7%.
Лодка дала течь
Согласно исследованию Ponemon Institute и IBM Security (крупнейшие мировые компании, которые специализируются на безопасности данных), средняя цена утечки для компании в мире в 2018 году выросла на 6,4% и составила $3,86 млн. Объем потерь стал больше, кроме того, «подорожала» и каждая утерянная запись — теперь она стоит не $141, как в 2017 году, а $148. Вероятность утраты информации в ближайшие два года вырастет с 27,7% до 29,7% — появились новые каналы доступа к ней, например, через интернет вещей, отмечают эксперты.
Внутренняя утечка оказалась опаснее внешней атаки. Как показало глобальное исследование компании по защите информации InfoWatch (есть у «Известий»), по итогам первого полугодия 2018-го в среднем за один инцидент по вине сотрудника компания теряла 2,5 млн единиц информации, а из-за злоумышленника только 1,6 млн. По статистике InfoWatch, 58% инцидентов, приводящих к потере данных, происходит внутри компании.
Интересы пересеклись
В ходе внутренних утечек компании чаще всего теряют персональные данные (67,2% случаев), объекты коммерческой тайны (17,7%), информацию о новых разработках (7,1%), а также платежную информацию (2,2%), следует из данных InfoWatch. Личная информация интересует и преступников, атакующих извне, — в 50% случаев им нужны пароли, в том числе дающие доступ к интернет-банку, пояснил руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. Он добавил, что в 15% инцидентов были украдены данные платежных карт, часто при помощи вирусных программ.
Использовать полученную информацию можно по-разному. По словам Евгения Гнедина, 59% всех предложений о продаже данных на «черном рынке» — учетные записи пользователей. Их продают поштучно по цене около $10 или целыми партиями до нескольких миллионов записей. Поэтому вслед за одной атакой довольно скоро может последовать новая: на пользователей или компанию. Когда речь идет о коммерческой тайне, целью становятся зарплатные ведомости, трудовые договоры и любые другие документы ограниченного доступа, добавил эксперт.
— Если похищена ценная коммерческая информация, это может привести даже к краху бизнеса. Кража персональных данных сотрудников повышает риск ущерба для каждого пострадавшего: от назойливого спама и фишинговых атак до кредитного мошенничества, — пояснил аналитик ГК InfoWatch Сергей Хайрук.
В России были случаи хакерских атак на компании, обладающие большим объемом персональных данных клиентов. В 2017 году с этим столкнулась компания «Инвитро», ей пришлось временно приостановить прием анализов пациентов. Руководство «Инвитро» заявило, что утечки личной информации клиентов не произошло. Там уточнили, что инфраструктуре был нанесен ущерб, но не назвали его сумму.
«Известия» опросили топ-50 российских компаний о проблемах, связанных с утечками и обучением сотрудников правилам обращения с информацией. В Трубной металлургической компании «Известиям» сообщили, что с 2007 года у них действует режим «коммерческая тайна» и сотрудников знакомят с его требованиями при приеме на работу.
В ВТБ «Известиям» рассказали, что банк регулярно проводит обучение сотрудников правилам обращения с информацией в соответствии со всеми утвержденными регламентами банка. В Сбербанке все работники проходят обучающий курс с элементами геймификации. В кредитной организации сообщили «Известиям», что банк регулярно проводит киберучения, в рамках которых сотрудникам направляются учебные материалы, имитирующие действия мошенников. В остальных компаниях не смогли оперативно предоставить комментарии.
Ответят все
Если сотрудник компании разгласил информацию без злого умысла впервые и это не привело к проблемам, работодатель ограничится беседой с таким работником, отметил Павел Сигал. Намеренные «утечки» — совсем другая история — здесь в зависимости от тяжести нарушения к виновникам применяются штрафные санкции, добавил Сергей Хайрук. По его словам, на Западе уже есть примеры, когда очень крупный для физического лица штраф (несколько сотен тысяч долларов) накладывали на любопытных сотрудников, просто регулярно просматривавших информацию, к которой по долгу службы они не имели права обращаться.
Иногда дело доходит до суда и заканчивается реальным сроком. В ряде инцидентов, например, если сотрудник передавал информацию о новых разработках или коммерческую информацию конкурентам своего работодателя, суд мог ввести длительный запрет на профессиональную деятельность, добавил Сергей Хайрук.
При этом многие компании уделяют недостаточно внимания защите обрабатываемой информации, что делает ее легкой добычей даже для низкоквалифицированных хакеров, считает Евгений Гнедин. А значит, угроз утечки становится больше.