Утечки персональных данных обходятся дороже всего
По данным IBM Security, в среднем каждая утечка данных обходится компаниям в $3,86 млн, а самые высокие расходы связаны с компрометацией учетных записей сотрудников. Последний тип утечек обходится бизнесу дороже остальных.
"Несмотря на то что средняя стоимость одной утечки, как показывает исследование, может отличаться в несколько раз в зависимости от страны и региона, общие тенденции и тренды, обозначенные в отчете, глобальны и верны для большинства стран, включая Россию, - отмечает руководитель консалтинговой практики ИБ IBM в России и СНГ Алексей Воронцов. - Это касается прежде всего роста разрыва в ущербе для неподготовленных бизнесов, по сравнению с теми, для кого информационная безопасность - в приоритете".
Удаленная работа и растущий масштаб бизнес-операций в облаке увеличивают риски при доступе к чувствительной информации. Отдельное исследование IBM показало, что более половины сотрудников, которым из-за пандемии пришлось осваивать работу из дома, не получали новых указаний по обращению с идентифицирующими персональными данными клиентов.
Исследование Ponemon Institute и IBM Security основано на глубинных интервью с более чем 3200 ИБ-специалистами 500 компаний, которые пострадали от утечек данных за последний год.
По данным опроса, интеллектуальные технологии позволяют вдвое сократить убытки от утечек данных. Компании, которые полностью развернули технологии автоматизации киберзащиты, понесли в два раза меньше убытков от утечки данных, чем компании, которые не внедрили такие инструменты, - в среднем $2,45 млн против $6,03 млн.
"Скомпрометированные учетные данные дорого обходятся. В тех случаях, когда злоумышленники получали доступ к корпоративным сетям с помощью украденных или скомпрометированных учетных данных, расходы компаний, связанные с утечкой данных, были на $1 млн выше, чем средний показатель по миру, и достигали $4,77 млн за одну утечку. Использование уязвимостей третьих сторон занимает вторую строчку в списке причин расходов, вызванных нарушением безопасности данных - $4,5 млн", - говорится в сообщении подразделения IBM в России и СНГ.
По результатам исследования, расходы из-за утечек, при которых скомпрометировано более 50 млн записей данных, в прошлом году увеличились с $388 млн до $392 млн. Утечки, при которых скомпрометировано 40-50 млн учетных записей, обошлись компаниям в среднем в $364 млн. Это на $19 млн больше, чем в прошлом году.
Атаки, финансируемые государствами-нациями, наносят самый большой ущерб. По сравнению с другими источниками угроз безопасности данных, рассматриваемыми в исследовании, наиболее дорогостоящими стали утечки данных, которые, как считается, являются следствием действий со стороны государств-наций. В среднем атаки, спонсируемые государствами, приводят к расходам в размере $4,43 млн на одну утечку данных, что значительно превышает ущерб от финансово заинтересованных киберпреступников и хакеров-активистов.
"Мы заметили, что компании, которые инвестировали в автоматизированные технологии, могут более эффективно нивелировать негативное влияние утечек данных, - заявила вице-президент IBM X-Force Threat Intelligence Венди Уитмор. - Сейчас, когда компании расширяют свои цифровые возможности ускоренными темпами, а в сфере информационной безопасности сохраняется дефицит кадров, для защиты растущего количества устройств, систем и данных требуется все больше усилий. Автоматизация киберзащиты позволяет решить эту проблему. Она способствует не только более оперативному реагированию на утечки данных, но и значительному снижению сопутствующих расходов".
Учетные данные сотрудников и неправильно сконфигурированные облачные среды - это уязвимые места, которые выбирают злоумышленники. Украденные или скомпрометированные учетные данные и неправильно настроенные облачные среды являются самыми распространенными причинами взломов. По данным IBM и Ponemon Institute, на них приходится около 40% всех случаев. В прошлом году целью злоумышленников стали более 8,5 млрд записей данных. В каждом пятом случае преступники использовали ранее взломанные электронные почты и пароли. Компании переосмысливают стратегии киберзащиты, применяя подход "нулевого доверия", и пересматривают порядок аутентификации пользователей, а также уровни предоставляемых им прав доступа.
Компании сталкиваются со сложностью киберзащиты. Из-за этого растут связанные с утечками расходы, а ошибки в облачных конфигурациях становятся все более сложной проблемой. Исследование этого года показало, что злоумышленники использовали ошибки в облачных конфигурациях для взлома сетей приблизительно в 20% случаев, из-за чего сопутствующие расходы увеличились в среднем на полмиллиона - до $4,41 млн. Это третий самый дорогой по потерям первоначальный вектор атаки, рассматриваемый в исследовании.
Хотя на такие атаки приходится всего 13% утечек, злоумышленники, финансируемые государством, наносили самый большой ущерб. Предположительно, это связано с тем, что атаки с целью финансового обогащения (53%) не ведут к бóльшим убыткам для компаний. Качественная подготовка, продолжительность и замаскированность финансируемых государствами атак, а также высокая ценность данных, на которые они нацелены, часто приводят к более высокой степени компрометации пострадавших. Из-за этого расходы, связанные с утечками данных, возрастают в среднем до $4,43 млн, отмечается в исследовании.
По данным IBM Security, на Ближнем Востоке, где исторически кибератаки, финансируемые государствами, происходят чаще, чем в других частях света, расходы на устранение утечек данных в среднем за год увеличились более чем на 9%, до $6,52 млн, что вывело этот регион на второе место в списке 17 регионов, рассматриваемых в исследовании. Одной из наиболее популярных целей кибератак со стороны государств становятся компании энергетического сектора. В годовом выражении их расходы из-за взломов увеличились на 14% - до $6,39 млн.
В исследовании подчеркивается увеличивающийся разрыв в расходах на устранение последствий кибератак между компаниями, которые внедрили передовые технологии киберзащиты, и остальными: предприятия, полностью развернувшие автоматизацию, экономят на $3,58 млн больше. Таким образом, разрыв увеличился до $2 млн в прошлом году по сравнению с $1,55 млн в 2018 г.
Внедрение технологий автоматизации киберзащиты способствует не только снижению соответствующих расходов, но и значительному сокращению времени реагирования на утечки данных. Исследование показало, что благодаря ИИ, машинному обучению, анализу данных и прочим формам автоматизации киберзащиты, компании, внедрившие эти технологии, реагируют на утечки данных на 27% быстрее, чем те, которым еще предстоит их внедрить. Это значит, что в среднем им требуется на 74 дня меньше, чтобы выявить и остановить утечку.
По данным опроса, готовность к реагированию на инциденты также продолжает влиять на финансовые последствия утечки. В среднем компании, которые не имеют команд реагирования и не проводящие тестирования планов реагирования, тратят на устранение последствий взлома $5,29 млн. В компаниях, где есть отделы реагирования на инциденты и проводятся регулярные практические тренинги или эксперименты для проверки планов реагирования, эти расходы на $2 млн ниже.
Специалист IBM Алексей Воронцов говорит, что в среднем 70% организаций по всему миру ожидают роста размеров ущерба, который вызвали утечки из-за перевода сотрудников на удаленку в 2020 г.
Как считает ведущий аналитик отдела развития "Доктора Веба" Вячеслав Медведев, переход на удаленку привел к тому, что сервисы многих бизнесов стали доступны в интернете, и это действительно вызвало всплеск атак с попытками взлома. "Но во-первых, этот всплеск уже сходит или сошел на нет - кого хотели, того взломали. Во-вторых, основная проблема - не в доступности серверов с данными извне. Проблема в том, что доступные для атак сервера в совершенно недостаточной степени безопасны. На них не устанавливаются обновления, не используются надежные пароли и т.д. Так было, так есть и так остается", - сказал представитель компании "Доктор Веб".
По его словам, не менее трети атак - это простейший подбор паролей. Такие "атаки" стали автоматизировать: специальные программы перебирают адреса сети. Можно ли считать такой подбор символов атакой, Вячеслав Медведев сомневается.
"На мой взгляд, для российских компаний стоимость утечки информации ограниченного доступа пока ниже, чем в целом по миру, - говорит руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. - Это связано со спецификой нашего рынка и общим уровнем культуры защиты информации". Во-первых, пока немногие отечественные компании имеют практику оценки имеющихся информационных активов. "Судя по изученным нашими специалистами судебным делам, даже стоимость коммерческих секретов и ноу-хау бизнес может оценить в лучшем случае лишь приблизительно. А значит, и стоимость потерянных данных практически не выражается в реальных цифрах", - сказал представитель InfoWatch.
Во-вторых, отечественные регуляторы достаточно мягко относятся к нарушениям. В законодательстве четко не регламентирована ответственность за утечку. Если штрафы за нарушения выносятся, то только символические. "В-третьих, в России пока не развита практика коллективных исков клиентов к компаниям, допустившим утечку их персональных данных. В-четвертых, оплата труда специалистов по расследованиям киберпреступлений и других специалистов, занятых ликвидацией последствий утечек, существенно ниже, чем на Западе", - перечислил Андрей Арсентьев.