Утечка персональных данных чаще всего просто случайность

Экспертно-аналитический центр группы компаний InfoWatch провел сравнительное исследование утечек информации, произошедших по вине или неосторожности персонала коммерческих компаний за период с 2013 по 2019 год. В отчете авторы исследования представили как ретроспективу, так и актуальную картину инцидентов, связанных с утечками по вине внутренних нарушителей, обозначили тенденции и векторы возможного развития этого типа угроз.

В 2019 г. по вине внутренних нарушителей (рядовые сотрудники, руководители, системные администраторы) произошло 53,7% всех утечек, зарегистрированных экспертно-аналитическим центром ГК InfoWatch. Это меньше чем в 2018 г, когда внутренние нарушители случайными или преднамеренными действиями спровоцировали 61,6% всех утечек. При этом объем скомпрометированных записей данных в результате внутренних нарушений вырос в 3,6 раза и составил более 9,87 млрд записей.

В расчете на одну утечку для внутренних нарушителей в среднем скомпрометировано 7,3 млн записей. Данный показатель фиксирует общее число скомпрометированных записей, относящихся к персональным данным и платежной информации. Эти типы данных характеризует высокая способность к формализации: они легко поддаются машинной обработке и, как следствие, утечки такой информации чаще выявляются средствами контроля. Значительный рост утекших записей о многом связан с неисполнением сотрудниками правил работы с охраняемыми данными или, что более вероятно, со стремлением ряда компаний максимизировать полезность корпоративных данных для их дальнейшего «обогащения», что порой предполагает доступ к данным со стороны длинной цепочки партнеров. Часто подобная практика оборачивается человеческими ошибками. Так, в 2019 году 58,1% случаев компрометации данных в компаниях и госорганах носили ненамеренный характер. При этом в результате внутренних утечек случайного характера утекло более 98% всех записей пользовательских данных (персональные и платежные данные).

«В том случае, когда утечка происходит по злому умыслу, объем похищенной информации (по числу записей) обычно оказывается сравнительно небольшим — только действительно ликвидные сведения, относящиеся, в том числе, к категории «коммерческая тайна». Стоит отметить, что умышленные утечки, составляющие коммерческую тайну, присутствуют во всех отраслях экономики, но чаще всего случаются в сфере ИТ, телекоммуникационных и промышленных компаниях, — отмечает ведущий аналитик ГК InfoWatch Сергей Хайрук. — Не менее интересно распределение случайных утечек внутреннего характера — здесь впереди оказываются медицинские организации, где количество зафиксированных утечек стабильно растет уже много лет».

Стоит отметить, что 80% утечек коммерческой тайны, спровоцированных внутренними нарушителями, являются умышленными. В то же время утечки персональных данных в большинстве случаев (70%) носят непреднамеренный характер.

Авторы исследования обращают внимание на развитие тенденции роста различных видов утечек через сетевые каналы. В таких инцидентах практически нет ограничений по объему данных, которые могут быть скомпрометированы. Однако стоит отметить, что потенциально опасным является любой канал передачи информации, и даже небольшая утечка несет угрозу бизнеса — от репутационных потерь и снижения лояльности клиентов до штрафных санкций регуляторов и компенсаций по коллективным искам. Поэтому компания должна серьезно задуматься над обеспечением полноценной защиты корпоративных данных как от внешних, так и от внутренних угроз.