Несмотря на постепенное ужесточение нормативного прессинга и грядущее увеличение штрафных санкций за утечки информации, ситуация в области защиты от внутренних угроз практически не меняется к лучшему. Количество утечек по-прежнему высоко, что указывает на относительную слабость используемых компаниями средств защиты и недостаток внимания к проблеме со стороны топ-менеджмента.

Громкие российские утечки
Концерн «Тракторные заводы»
Доступ к коммерческой тайне конкурента дает серьезные преимущества не только в сфере высоких технологий. Горячий спор о краже коммерческой тайны разгорелся между российскими машиностроительными предприятиями — концерном «Тракторные заводы» (КТЗ) и «ЧТЗ-Уралтрак», созданным на базе обанкротившегося Челябинского тракторного завода. По версии представителей КТЗ, генеральный директор «ЧТЗ-Уралтрак», ранее работавший в КТЗ, организовал с помощью своих бывших коллег хищение конструкторской документации, касающейся серийно изготавливаемых изделий и перспективных разработок. По оценкам владельцев коммерческой тайны, им был нанесен крупный ущерб — свыше 50 млн руб.

Мобильные операторы
Утечки информации у мобильных операторов обычно характеризуются большими объемами данных, однако инцидент, зафиксированный летом 2012 года, выбивается из общей картины. Инсайдеры из МТС и «ВымпелКома» «сливали» информацию о переговорах всего трех абонентов — высокопоставленных российских чиновников. По версии ФСБ, инсайдеры действовали с января 2010 по май 2012 года. В незаконном сборе и распространении информации оказались замешаны сотрудники технических центров компаний.
Примечательна полярная реакция мобильных операторов на инцидент. В «ВымпелКоме» признали факт утечки информации через бывшего сотрудника. Утечка была обнаружена с помощью действующей в компании системы защиты конфиденциальной информации и персональных данных. Непонятно только, почему инцидент зафиксировали спустя 2,5 года после того, как началась кража информации. В свою очередь, в МТС заявили, что внутренней службой безопасности фактов утечки не выявлено.

Следственный комитет
В декабре 2012 года на сайте Следственного комитета России в открытом доступе появились тексты обращений граждан через интернет-приемную. Наиболее вероятные причины инцидента — ошибки при разработке сайта или халатность обслуживающих его технических специалистов.
В пресс-службе ведомства заявили о том, что имел место технический сбой.

По подсчетам Zecurion Analytics, ущерб от утечек конфиденциальной информации в 2012 году остался примерно на уровне предыдущего года и составил 20 млрд долл. Средний ущерб от каждого инцидента оценивается в 24,3 млн долл.

За 2012 год число российских утечек с ощутимым потенциальным ущербом осталось примерно на уровне 2011 года (36 против 41 соответственно), что составляет 4,4% от общемирового количества зарегистрированных инцидентов. Необходимо отметить, что учтены только инциденты, ставшие публичными, а таковых не более 0,1% от общего их числа. Тем не менее собранная статистика позволяет выявить актуальные тенденции в области внутренних угроз.

В 2011 году была отмечена одно­временно большая доля «медицинских» утечек и высокая стоимость сведений, утекающих из поликлиник и больниц. Двух этих факторов вполне достаточно, чтобы сосредоточить пристальное внимание на защите информации в медучреждениях. В 2012 году ситуация с безопасностью в медицине улучшилась, но объяснять это решительными мерами было бы неправильно — ситуация вряд ли могла кардинально измениться за короткий промежуток времени. К тому же вновь повысилась доля утечек из организаций финансового сектора, хотя банки и страховые компании также обладают большими объемами критичной внутренней информации, а санкции регуляторов в финансовом секторе могут быть достаточно суровыми.

Доля утечек в госсекторе на протяжении нескольких лет находится на стабильно высоком уровне. Нельзя не отметить низкую заинтересованность госучреждений в защите информации, и прежде всего персональных данных. Убытки, связанные с репутационным ущербом и потерей конкурентоспособности, для частных компаний гораздо выше, нежели для госучреждений, для которых само понятие «конкурентоспособность» зачастую просто неприменимо. Если сюда добавить большие объемы обрабатываемой информации и не всегда высокий уровень подготовки служащих, объяснение высокой доли утечек вполне очевидно.

Монетизировать можно всё

Подавляющую часть утекающей информации составляют персональные данные. Считается, что монетизировать большинство типов персональных данных невозможно. Вследствие этого появляются призывы к максимальной публичной открытости и прекращению утаивания такой информации. Действительно, вряд ли у большинства пользователей на аккаунтах в социальных сетях «спрятаны» действительно важные сведения. Но и эти «никчемные» аккаунты привлекают внимание злоумышленников: ведь из них можно рассылать спам, а значит — монетизировать.

Если к мошенникам попадет крупная база данных, большинство записей из нее, скорее всего, не будет использовано в преступных схемах. Но это вовсе не означает, что данные находятся в безопасности.

Сведения об утечках других типов информации (коммерческой тайны, интеллектуальной собственности) встречаются гораздо реже. Утечки коммерчески важной информации обычно происходят при увольнении сотрудников, а особенно — при переходах в конкурирующие компании. В прошлом году было немало случаев подобных утечек. Так, несколько топ-менеджеров AMD, включая вице-президента Роберта Фельдштейна, при переходе летом 2012 года в конкурирующую корпорацию Nvidia скопировали порядка 100 тыс. документов, содержащих конфиденциальные сведения о продуктах компании и соглашениях с партнерами.

Инфографика
Инфографика

 

Инфографика
Инфографика

Неопределенность растет

Человеческий фактор, как известно, является одной из ключевых проблем информационной безопасности. Перефразируя известное высказывание Иосифа Сталина, можно сказать, что «каждая утечка имеет свою фамилию, имя и отчество». Но, даже понимая, что за каждой утечкой стоит халатность или злой умысел инсайдера, не всегда получается определить, каким же образом информация оказалась скомпрометированной. Для уточнения деталей необходимо провести расследование инцидента. В свою очередь, расследование сложных случаев требует глубокой экспертизы журналов компьютерных систем, задействованных в передаче данных. Далеко не всегда пострадавшая от утечки компания может провести экспертизу или даже предоставить все необходимые журналы, просто потому что не располагает ими.

По статистике 2012 года, большая доля утечек по-прежнему происходит случайно, из-за ошибок или халатности собственных сотрудников. Типичной является утеря незашифрованных носителей с конфиденциальной информацией. Хотя, по статистике, доля умышленных утечек информации снизилась, одновременно возросла доля неопределенности. Вкратце можно резюмировать, что сегодня подготовленные атаки на информационные ресурсы становятся все более изощренными и умелыми.

Не всегда удается определить и канал утечки данных, однако можно выделить наиболее явную тенденцию — рост доли утечек через ноутбуки. Несмотря на схожее предназначение, с точки зрения безопасности использование мобильных и стационарных компьютеров принципиально различно. Если уж из организации выносят системный блок, в большинстве случаев это классифицируется как кража со взломом. Мобильные же компьютеры сотрудники сами часто выносят за пределы офиса и забывают в общественных местах.