Ущерб предприятиям во всём мире, нанесённый утечками информации, за последний год увеличился без малого на четверть. Только официально объявленные фирмами потери превысили $25 млрд. Причиной большей части регистрируемых защитниками конфиденциальных данных потерь являются ошибки работников, а также их халатность. Этот диагноз вынесен специалистами компании Zecurion в годовом отчёте по утечкам конфиденциальных данных. Процесс этот происходит вопреки тому, что ряд нанимателей обязывают кандидата заверять подписью соглашения о сохранении в тайне закрытых сведений.
★☆ Из электронного архива ОВИОНТ ИНФОРМ: Среднестатистические потери каждой пострадавшей организации составляют $ 31,23 млн. от каждой утечки, которая классифицирована специалистами как «крупная». В РФ средний урон ниже: предельные недостачи от каждого из инцидентов составляют порядка четырёх миллиардов рублей. Невысок процент в глобальной статистике зарегистрированных отечественных утрат подобного рода, он равен шести против четырёх за 2012-й. ☆★
По мнению российских аналитиков компании Forrester, непосредственный корень зла большей части утечек, — почти 40%, — сотрудники предприятия. 31% — следствие потери или кражи устройств, где содержатся корпоративная информация. 27% порождены небрежным обращением с применяемым в работе устройством.
Расплата за утрату личных данных, порой — репутация компании. Выход из положения специалисты видят во внедрении высокотехнологичных решений. Задача их, прежде всего, — снижение воздействия человеческого фактора, то есть лишение сотрудников технической возможности ошибиться либо воплотить в жизнь злой умысел. Решение данной задачи во многом может быть достигнуто благодаря чёткому разделению компетенций.
Ещё одной мерой является аудит действий всех пользователей для выявления на ранних стадиях мошенничеств, выражающегося в подозрительном поведении. Для этого может быть использован соответствующий инструментарий. Отдельные технологии имеются и для того, чтобы обеспечить безопасность корпоративной информации, которые хранятся и на мобильных устройствах.
В данное время разработано немало средств, при помощи которых предприятия получают возможность выявлять работника, допустившего утечку информации. В их числе как технические, — отработанные и постоянно усовершенствуемые системы контроля над физическим доступом к данным, — так и нормативные, — то есть, прописанные в контракте, — меры. Пользоваться этими инструментами следует в комплексе.
С точкой зрения, что необходимо до минимума уменьшить сам человеческий фактор в области защиты информации, согласны все специалисты отрасли. Один из рецептов этого — «вынесение на сторону» управления данной инфраструктурой на основании договора с «внешним» специалистом. Эта мера позволит финансово защитить любую утечку, даже в том случае, когда она произойдёт. Дело в том, что типовой договор с подобной фирмой-аутсорсером налагает именно на исполнителя материальную ответственность за сохранность данных.
Ряд специалистов считает, что такой подход, то есть вывод инфраструктуры в «облака», которыми управляет внешняя компания, одно из желательных условий решения проблемы. Но здесь возможен целый ряд подводных камней, например, каким образом «внешняя» компания будет компенсировать вред, нанесённый имиджу клиента?
Однако все перечисленные выше меры не являются стопроцентной гарантией. Необходимы также отработанные корпоративные регламенты в области информационной безопасности. Солидные предприятия на постоянной основе проводят обучающие тренировки, натаскивающие сотрудников на обращение с особо важной информацией. Правда, в большей части прецедентов, проведённое постфактум расследование выявляет, что в операцию по похищению данных были вовлечены работники предприятия, — случайно или сознательно.
И Россия здесь — не уникум. Это происходит по всей планете. Лишь два процента утечек случается без участия человеческого фактора. Виною 57% из них — мобильные устройства. Что не просто подталкивает «службу информационной безопасности» к постоянной и кропотливой работе с человеческим фактором, но и делает её незаменимой.
Необходимо проведение постоянной работы над повышением информированности служащих в области угроз безопасности данных. Но, в то же самое время, необходимо учитывать, что и злоумышленниками постоянно проводятся свои «курсы повышения мошеннической квалификации». Ими взят на вооружение социальный инжиниринг, то есть сначала выбираются в качестве атаки объекты внутри выбранной как цель организации, а затем из них вербуются сторонники. Или подельники.
Важнейший вывод аналитиков — число значимых инцидентов внутренней безопасности, зафиксированных в 2013-м, выросло незначительно. Важнейшая причина — наполнение СМИ информацией об утечках.
Но, в то же время разработаны и отлажены криминальные цепочки исполнителей, где функции жёстко распределены. А компетентное руководство из центра позволяет замести следы, сократив до минимума свои риски в случае обнаружения клиентами несанкционированных списаний с собственных счетов.
Особо эффективными оказываются преступные схемы по проникновению в тайну эмиссии ценных бумаг, эквайринга пластиковых карт, и, безусловно, в удалённое обслуживание клиентов банками. Подобные афёры позволяют практически без промедления «монетизировать» добытую информацию. Правда, сохранность финансовых данных стала значительно надёжней в сравнении с 2012-м: «протечки» конфиденциального информационного пространства сократились почти на треть, и теперь их доля в общей структуре «награбленного» составляет 14,7%.
★☆ Из электронного архива ОВИОНТ ИНФОРМ: География утечек показательна. Подавляющее их большинство происходит в самой законопослушной, демократической державе планеты — США (72,4%). И доля Штатов растёт год от года. В большинстве случаев, от потерь конфиденциальных данных страдают предприятия розничной торговли (их доля — 16,2%), медучреждения (16%), госсектор (15,5%). ☆★
Аналитиками из фирм, занимающихся безопасностью данных, сделан вывод, что и в текущем году количество похищений инсайдерской информации из крупных предприятий и банков не уменьшится. Особенно пострадают кредитно-финансовые структуры. А, может быть, просто денег у них на расследования статистиков по утечкам и привлечение к себе внимания несколько больше, чем у руководства компаний, занимающихся исследованиями, инновациями и внедрением эксклюзивных разработок. Да и реализовать похищенное у банков значительно проще, чем украденное у создателей новых технологий.