© ComNews
07.09.2023

Утечки данных чреваты многомиллионным ущербом для российских предприятий и компаний, а также для государственных организаций. Ущерб обычно обусловлен потерей информации, составляющей ноу-хау, коммерческую или иную (врачебную, банковскую, налоговую) тайну.

Такой вывод следует из исследования "Оценка ущерба вследствие утечек информации", проведенного в России экспертно-аналитическим центром (ЭАЦ) группы компаний InfoWatch. Анонимный опрос проводился в июле 2023 года по всей стране с применением уникальной собственной методики, зарегистрированной как объект авторского права. Опрос велся путем целевых и массовых рассылок от группы компаний InfoWatch и Ассоциации по защите деловой информации (BISA).

Основную долю респондентов составили представители крупных частных и государственных организаций из отечественного промышленного сектора (у 53% штат превышает 500 человек), 35% участников опроса представляли средние и 12% — малые компании.

Самыми "дорогими" утечками, согласно результатам исследования, стали сведения, составляющие коммерческую тайну и ноу-хау (секреты производства), а также утечки персональных данных. Практически никто из респондентов, которые ответили, что оценивали понесенный ущерб, не назвал точные цифры, а на просьбу указать сумму понесенного ущерба, большая часть (37%) сообщила, что не рассчитывали убытки, а 23% ответивших указали, что организация не понесла ущерба.

Ущерб оценивали, в основном, крупные и средние предприятия и финансовые организации. В тех структурах, где ущерб был подсчитан, в 14% случаев он составил свыше 1 млн рублей. К таковым, например, можно отнести ошибку топ-менеджера из-за потери съемного носителя — произошла утечка информации, составлявшей коммерческую тайну, которая обошлась организации в "более 1 млн рублей".

К ущербу от 100 до 500 тыс. руб. в половине случаев также привели утечки персональных данных, зачастую одновременно с утечками коммерческой тайны.

В подавляющем большинстве случаев (70%) утечка данных является следствием умышленных действий. Эти показатели соотносятся с выводами последних аналитических отчетов ЭАЦ ГК InfoWatch по утечкам в России, согласно которым последние годы отмечается рост доли утечек данных в результате умышленных нарушений.

В 79% случаев утечек произошли по вине внутреннего нарушителя. В большинстве случаев к ущербу привела утечках данных через корпоративную электронную почту.

Почти половина утечек (46%) произошли через подключение корпоративной или промышленной сети, ЦОД к сети Интернет, а также через корпоративную электронную почту. Далее по частоте инцидентов идут потеря и кража съемных носителей (14%). В 9% случаев утечка информации произошла через бумажные носители, информация также "утекала" вследствие нелегитимного использования мобильных устройств (7%) и через облачные сервисы (5%).

Как выяснили специалисты ЭАЦ ГК InfoWatch, почти у половины организаций (47%) вообще отсутствует методика по оценке ущерба от утечки информации. Наличие в организации такой методики и, одновременно, отсутствие у них за последние три года утечек позволяет предположить, что подобные организации имеют более высокий уровень зрелости информационной безопасности.

Трудно оценить иначе, как парадоксальный, факт, что подавляющее большинство организаций (71% опрошенных) не застрахованы от ущерба в случае утечки информации. Именно в большинстве из них за последние три года произошли утечки данных. Застрахованными оказались организации только из трех секторов — образование, банки и финансовые услуги, топливно-энергетический комплекс.

"Утечки информации ограниченного доступа несут для пострадавшей организации угрозу причинения различных видов ущерба — от материального до репутационного, — говорит главный аналитик экспертно-аналитического центра группы компаний InfoWatch Дарья Пырина. — В современной практике информационной безопасности (ИБ) проблема оценки ущерба от утечек информации заключается в отсутствии проверенных и экономически обоснованных методик, которые позволили бы объективно и комплексно оценить ущерб и структуру понесенных затрат и подготовить оценку рисков ущерба и финансово-экономическое обоснование для создания и эксплуатации системы защиты от утечек информации. Но можно уверенно утверждать, что затраты на обнаружение и ликвидацию последствий утечки по вине внутреннего нарушителя обходятся дороже, чем комплекс реагирования на утечки в результате хакерских атак".

Новости из связанных рубрик