Наталья Демченко
Егор Губернаторов
Юлия Лымарь
23.04.2018

За 2017 год объем утечек критически важной конфиденциальной информации вырос в четыре раза, подсчитали аналитики InfoWatch. Чаще всего причинами сливов становятся действия сотрудников компаний, чьи данные были скомпрометированы

Объем скомпрометированной в результате утечек информации, в том числе номеров социального страхования, реквизитов пластиковых карт и других критически важных сведений, увеличился за 2017 год более чем в четыре раза — с 3,1 млрд до 13,3 млрд записей.

Об этом свидетельствует исследование аналитического центра компании InfoWatch, подготовленное на основании публичной информации. По оценке авторов исследования, оно охватывает не более 1% случаев предполагаемого совокупного количества утечек.

"Всего за исследуемый период в мировых СМИ и других открытых источниках был зафиксирован 2131 случай утечки данных из организаций. Это на 37% больше, чем в 2016 году", — говорится в исследовании компании.

Почти 99% (13 млрд) записей от совокупного объема украденных данных пришлось всего на 39 случаев утечек информации, от 10 млн записей каждая. Такие утечки аналитики InfoWatch называют мегаутечками.

Исследование показывает, что по сравнению с 2016 годом число мегаутечек уменьшилось, однако одновременно примерно в пять раз вырос объем каждой мегаутечки, до 335 млн записей на каждую.

Подавляющая часть утечек — 86% — была связана с кражей персональных данных (64,8%) и финансовой информации (21,1%).

На высокотехнологичные компании пришлись самые большие объемы скомпрометированных данных — 32%. На втором месте по этому показателю (27%) — компании из сферы торговли, на третьем (23%) — государственные учреждения. Аналитики InfoWatch отмечают, что за минувший год объемы утечек данных в госсекторе выросли в четыре раза.

Причины утечек данных

По данным InfoWatch, главными виновниками крупных утечек (почти 60% всех случаев) становятся сотрудники или бывшие сотрудники компаний, чьи данные были скомпрометированы.

Более половины мегаутечек (54%) также происходило по вине сотрудников компаний. Чаще к тому, что критически важные данные становились доступны посторонним, приводили действия рядовых сотрудников (53% случаев), а по вине топ-менеджемента, глав подразделений и системных администраторов произошло около 3% утечек. Действия злоумышленников, не связанных с компаниями, откуда происходили утечки, стали причиной 41,7% всех учтенных InfoWatch случаев.

​Основными причинами утечек данных в 2017 году ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев в разговоре с РБК назвал отсутствие серьезной защищенности ресурсов, а также беспечность пользователей.

"Защищенность ресурсов становится только хуже. Статистика Positive Technologies (компания специализируется на разработке программного обеспечения в области информационной безопасности. — РБК) показывает, что более 80% сайтов уязвимо и порядка 40% пользователей готово кликать на любую ссылку. При этом антивирус есть у всех, но настраивают его меньшинство, обновления не ставятся. Кроме того, еще одной причиной [утечек] является использование небезопасных версий ПО", — считает Медведев.

Главный фактор утечки — человеческий, согласен руководитель аналитического центра Zecurion Владимир Ульянов. "Утечка без участия человека бывает редко", — сказал он. По его словам, "слив информации может происходить как случайно, когда человек, сам того не желая, помогает информации попасть в открытый доступ, так и целенаправленно".

Специалист также указал, что технология исследования InfoWatch предполагает, что учитываются только те утечки, которые стали публично известными. "Надо понимать, что это [статистика InfoWatch] только верхушка айсберга — десятая или сотая процента от того количества утечек, которые действительно происходят", — утверждает Ульянов.

В США, по словам Ульянова, компании обязаны уведомлять своих клиентов и заказчиков о произошедшей из их системы утечке. Также американские компании должны отчитываться, какие шаги они предпринимают для предотвращения таких ситуаций в будущем и минимизации последствий. В США это закреплено на законодательном уровне, но в России такого закона нет, указывает эксперт.