Не успел завершиться 2008 год и бурные праздники, как несколько серьезных исследовательских организаций решили представить свой отчет по зафиксированной утечке информации. Следует отметить, что конкретные цифры несколько разнятся, но в целом, все эксперты сходятся в том, что общий масштаб проблемы и количество инцидентов растет угрожающими темпами. Уже в январе текущего года было объявлено о новой, самой крупной утечке. По оценкам экспертов, потери по ней составят несколько миллиардов записей. Если эта информация найдет официальное подтверждение, то уже по одному этому эпизоду 2009-ый год в разы превзойдет 2008-ой.
Как отмечает американский центр исследования преступлений по хищению персональных данных (ITRC — Identity Theft Resource Centre), на территории США в прошлом году произошло минимум 656 публичных утечек данных. Это значение значительно превосходит показатели прошлого года (на 47%), и более чем в 4 раза данные 2006 года. Если темп прироста количества утечек сохранится и в этом году (а пока все говорит именно об этом), то общее количество инцидентов, получивших огласку, приблизится к критической, психологически важной отметке в 1000 случаев в год.
Как отмечают эксперты, к основным причинам такого бурного роста преступности относится усиление законодательного регулирования, а не объективный рост кибер преступности. На территории многих штатов США и в других развитых странах были приняты законы, обязывающие компании информировать общественность о подобных инцидентах. Правоприменительная практика к подобным делам наращивается год от года, что позволяет властям более эффективно контролировать исполнение законов. В связи с этим и растет пугающими темпами число публичных утечек информации. Просто компании вынуждены чаще говорить об этом.
Количество публичных утечек информации на территории США
Однако зафиксированные ITRC 656 инцидентов лишь малая толика того, что реально произошло. По статистике компании Perimetrix, средняя российская организация ежегодно допускает как минимум 4 серьезных утечки информации. Безусловно, защищенность американских компаний значительно выше, но даже там случаются ошибки. То есть реальная цифра в несколько раз выше, чем в официальной статистике.
Существуют две основные причины, по которым компании стараются скрывать информацию о инцидентах такого рода. По оценкам специалистов нашего сайта bughunter.ru, первой причиной является нежелание тратить дополнительные средства на устранение последствий утечек, в том числе на оповещение пострадавших и возмещение им материального и морального вреда. Часто многие организации ведут себя крайне неосмотрительно, думая, что никто не заметит утечки. Но это не отменяет риски, неизбежно возникающие в связи с последствиями подобных инцидентов.
Однако вторая группа причин имеет еще большее значение, ведь информация о произошедших инцидентах часто может не доходить до руководства компании. Всего лишь одно отправленное по чужому адресу письмо или потерянная флэшка с данными могут привести компанию к непоправимым потерям. При этом служба безопасности и отдел ИТ часто игнорируют подобные ситуации, так как опасаются жестких санкций со стороны начальства или же не принимают случившееся всерьез.
Отметим, что помимо инцидентов, которые возможно обнаружить внутри компании, есть фантомные утечки, о которых не известно никому. Для внутренних инцидентов по безопасности эта доля особо велика, ведь средства для выявления подобных проблем есть далеко не у всех компаний.
Безусловно, статистика по общему количеству инцидентов по утечке информации не способна дать полного представления об их масштабе. В рамках всего лишь одной утечки, попавшей в отчет, может находиться либо несколько ничего не значащих записей, либо огромная база данных с конфиденциальной информацией, содержащая миллионы полей. В качестве общепринятого стандарта измерения масштабов подобных эпизодов часто используют количество пострадавших, в результате потери данных, жителей.
Как говорит статистика, в 2008 году количество жертв утечек сократилось во всем мире, в том числе и в США. Впрочем, этот факт вовсе не свидетельствует о том, что проблема вдруг стала менее актуальной. Существенная доля жертв в 2007 году пришлась на утечку в сети розничных компаний TJX, в результате которой в руки злоумышленников попала база транзакций по кредитным картам, содержавшая более 94 миллионов записей. В настоящее время эта утечка считается самой крупной в истории.
Количество пострадавших от утечек в 2008 году (миллионов человек)
Настолько крупных инцидентов в 2008 году просто не было. Самой крупной потерей этого года стала утечка, случившаяся в Deutsche Telekom в октябре. По мнению независимых экспертов, в том числе специалистов ООО «Стилс-групп», жертвами ее стало более 17 миллионов человек. При этом 8 из 20 крупнейших за всю историю наблюдений инцидентов приходятся именно на 2008 год.
В связи с этим, утверждение о том, что снижение общего количества жертв не свидетельствует об уменьшении объема шпионажа, было подтверждено уже в начале 2009 года. Хотелось бы напомнить, что уже 20 января американская компания, осуществляющая процессинг банковских карт, HPS (Heartland Payment Services) объявила об утечке информации, которая вполне может оказаться крупнейшей за всю историю. Как известно, HPS является 6-ым по величине центром процессинга в США. Ежемесячно компания обрабатывает более 100 млн. транзакций по банковским картам. Утечка была вызвана компьютерным вирусом, созданным специально для этих целей и проникшим в компьютеры компании. В течение нескольких месяцев вредоносная программа оставалась незамеченной, передавая сведения злоумышленникам, которые пока не найдены. Эксперты сходятся во мнении, что объем утечки информации по данному инциденту станет крупнейшим в истории, опередив показатели TJX, и составит более сотни миллионов записей.
В этом случае 2009 год, конечно же, сразу станет самым проблемным периодом за всю историю наблюдений. Только инцидент в компании Heartland перекроет все показатели 2008 года, как на территории США, так и во всем мире.
Интересна и статистика компании ITRC по распределению утечек информации по отраслям экономики. ITCR использует следующий метод: все организации разделяются на 5 групп, для каждой из них оценивается доля в общем числе инцидентов и количество украденных записей. Максимальное количество утечек в 2008 году пришлось на коммерческий сектор — 36,6%, который в 2 раза опередил все остальные группы. Однако, стоит отметить, что наибольший ущерб от утечек понес финансовый сектор — 52,2% от всех пострадавших.
Распределение инцидентов по отраслям
Такое распределение объясняется, по-видимому, большим количество обобщенных финансовых баз данных, которые очень привлекательны как для внутренних, так и для внешних злоумышленников. Как отмечают специалисты нашей компании ООО «Стилс-групп», от утечки из финансовых структур страдают в 8 раз больше людей, чем от утечек из других организаций. Это автоматически означает, что ущерб от подобных инцидентов будет гораздо масштабнее. То есть финансовые компании, на которых жестко давят различные нормативные акты, должны быть основными потребителями систем защиты от киберпреступников.
К сожалению, современным финансовым структурам пока нет дела до решения вопросов безопасности, всех куда более волнует экономический кризис. В связи с этим вывод можно сделать один: количество утечек и ущерб от них в 2009 году будут беспрецедентно высокими.