Совершенно не секретно
Специалисты аналитического центра компании InfoWatch провели уникальное исследование степени защищенности персональных данных (ПДн) в России. Как следует из отчета, в 2013 году из-за утечек было скомпрометировано в общей сложности более трех миллионов записей персональных данных, и это только та часть инцидентов, которая нашла освещение в СМИ! И что еще более интересно — большинство таких утечек пришлось на государственные органы и силовые структуры, а на втором месте оказалась многострадальная сфера ЖКХ.
В 2013 году утечки произошли в Минобороны, Минобрнауки, МВД РФ, в финансовом ведомстве Якутии, в ряде региональных отделений ФНС, ФМС и Пенсионного фонда России. Помимо государственных организаций и ЖКХ источниками утечек регулярно становились кредитные организации и страховые компании.
Так, например, InfoWatch цитирует новость о том, что конфиденциальные документы с личными данными клиентов зеленоградского отделения одного из банков оказались разбросаны возле здания кредитной организации в третьем микрорайоне города Зеленограда. Часть документов находилась возле мусорного контейнера, а часть — на газоне. Среди листов были обнаружены заявления на получение карт и банковское обслуживание, договоры на открытие счетов с именами клиентов, их адресами, телефонами, паспортными данными и суммами вкладов.
Впрочем, эксперты InfoWatch отмечают достаточно высокий «в среднем по больнице» уровень информационной безопасности в кредитно-финансовых организациях и подчеркивают тот факт, что персональные данные в финансовых организациях обладают самой высокой (по сравнению с другими отраслями) «ликвидностью». Поэтому утечки ПДн из финансового сектора остаются во главе списков самых крупных и «громких». Эта информация (копии паспортов клиентов, например), очевидно, будет и дальше привлекать злоумышленников.
В случае же с муниципальными органами и некоммерческими организациями, по мнению специалистов, уместно, к сожалению, говорить о недостаточной защищенности персональных данных как основной причине утечек. Дело не только в отсутствии технических средств защиты, но и собственно в непонимании сути проблемы — зачем и что требуется защищать. Утечки в этой сфере раз за разом происходят по одним и тем же примитивным сценариям с использованием каналов, которые DLP-системы давно и с легкостью перекрывают.
Достаточно предсказуемо, что две трети утечек персональных данных в России пришлись на средний и малый бизнес. Если уж в крупных организациях не всегда защищают данные граждан, то чего ждать от небольших компаний? С другой стороны, неожиданностью стало то, что именно в небольших компаниях часто происходили достаточно масштабные утечки (свыше 5000 записей). Многие ИБ-вендоры прогнозируют рост рынка в 2014 году за счет СМБ-сегмента. Возможно, если эти ожидания оправдаются, уровень безопасности персональных данных в небольших компаниях также повысится.
Пока же ситуация с защитой персональных данных в российских компаниях довольно плачевная. В качестве вероятных причин этого можно перечислить недостаточное распространение технических средств защиты информации, несущественность наказания для операторов ПДн, но главное — отсутствие обратной связи от субъектов ПДн, то есть непосредственно граждан, чьи данные были скомпрометированы.
Действительно, кто не сталкивался с тем, что накануне истечения страховки человеку начинают массово поступать звонки с предложением перестраховаться в другой компании? Однако едва ли кого-то эта явная утечка данных заставила подать в суд на страховую компанию или хотя бы отказаться от ее услуг в дальнейшем. Более того, по мнению InfoWatch, о большинстве утечек граждане вообще не узнают, поскольку в российском законодательстве, в отличие от США, пока нет нормы об обязательном информировании об утечке пострадавших граждан.
«Важным фактором, который может повлиять на изменение количества инцидентов, связанных с утечкой информации, является повышение штрафов, — уверен Андрей Прозоров, ведущий специалист компании InfoWatch по информационной безопасности. — В 2013 году повышения штрафов не произошло, но мы ожидаем его в 2014 году». Высока вероятность того, что в дополнение к существующим штрафам за невыполнение требований по обработке и защите персональных данных появятся новые. Скорее всего операторам придется платить за каждый зафиксированный инцидент, возможно, появится норма, обязывающая операторов персональных данных уведомлять Роскомнадзор и других регуляторов обо всех произошедших инцидентах. Как считают специалисты, снижение темпов роста количества утечек ПДн в России в 2014 году возможно, только если произойдут все эти события.
Статистика
• В России за 2013 год в СМИ обнародовано 109 случаев утечки персональных данных, что в 2,2 раза выше аналогичного показателя 2012 года.
• В результате этих утечек скомпрометировано 3,1 млн записей.
• На персональные данные пришелся 81% от всех российских утечек.
• 49% утечек персональных данных носили злоумышленный характер.
• В 48% утечку данных можно назвать случайной.
• 74% случаев утечек персональных данных были связаны со злонамеренными или неосторожными действиями рядовых сотрудников. В 9% вина за утечку лежит на руководителях (средний и высший уровень).
• 19% утечек персональных данных пришлись на госорганы, 18% — на компании в сфере ЖКХ. Замкнули тройку «лидеров» финансово-кредитные организации с показателем 16%.
• Две трети утечек произошло из небольших (менее 500 ПК) организаций.
• Основным каналом утечек ПДн по-прежнему остается бумажная документация.