Через сеть «утекает» 24% персональных данных, главные источники утечек — госорганы, ЖКХ и кредитные организации

Аналитика

dataleaks

Аналитический центр InfoWatch представил исследование «Безопасность персональных данных в России в 2013 году«.

Основные тезисы исследования:

  • В России за 2013 год в СМИ обнародовано 109 случаев утечки персональных данных, что в 2,2 раза выше аналогичного показателя 2012 года.
  • В результате этих утечек скомпрометировано 3,1 млн записей.
  • На персональные данные пришелся 81% от всех российских утечек.
  • 49% утечек персональных данных носили злоумышленный характер. В 48% утечку данных можно назвать случайной.
  • 74% случаев утечек персональных данных были связаны со злонамеренными или неосторожными действиями рядовых сотрудников. В 9% вина за утечку лежит на руководителях (средний и высший уровень).
  • 19% утечек персональных данных пришлись на госорганы, 18% на компании в сфере . Замкнули тройку «лидеров» финансово-кредитные организации с показателем 16%. 
  • Две трети утечек произошло из небольших (менее 500 ПК) организаций. 
  • Основным каналом утечек ПДн по-прежнему остается бумажная документация.

В 2013 году от утечек ПДн в России пострадали МВД РФ, Минобороны, Минобрнауки, Минфин Якутии, региональные отделения ФНС, ФМС и Пенсионного фонда, Сбербанк России, Альфа-Банк и Банк Хоум Кредит, «Мегафон», МТС, «Связной-логистика». На утечку ПДн ссылались адвокаты Алексея Навального, оспаривая в суде законность выборов мэра Москвы.

Персональные данные являются самым массовым типом утекающей информации, однако в России доля таких утечек на 5% ниже, чем по миру в целом. Если в 2012 году на долю ПДн пришлось 65% от всех российских утечек, в 2013 этот показатель подрос до 81%

Означает ли увеличение доли утечек ПДн в российской картине, что и в нашей стране степень защищенности персональных данных также растет? С большой вероятностью, нет, и вот почему.

По аналогии с США, внимание государства к теме защиты персональных данных сказывается на увеличении сообщений об утечках персональных данных в российских СМИ и блогах. Как следствие, растет доля ПДн в распределении утечек по типам данных для России. Но есть существенное отличие – жесткость санкций (штрафы) к российским операторам,допустившим утечку, пока явно недостаточна. Кроме того, в нашей стране не работает «петля обратной связи» в цепочке государство – оператор – субъект ПДн.

В России утечка персданных не спровоцирует граждан, чьи данные утекли,отказаться от услуг страховой компании, оператора связи, госоргана, допустивших утечку, предъявить претензии государству. Граждане вообще вряд ли об этом узнают – в российском законодательстве, в отличие от США, пока нет нормы об обязательном информировании об утечке пострадавших граждан. А ведь именно такая норма (а вовсе не compliance), заставляет операторов ПДн в США обеспечивать безопасность персональных данных не на бумаге, а на деле. Иначе штрафы, многомиллионные коллективные иски, гражданские протесты.

Налицо две разнонаправленные тенденции. Регуляторы и государство способствуют популяризации темы защиты персональных данных – растет число сообщений об утечках ПДн в СМИ. Но реального сдвига, повышения степени защищенности ПДн не происходит. Рост доли утечек ПДн в России пока не дает оснований говорить об улучшении ситуации с безопасностью персональных данных. Вывод:рост доли утечек ПДн в России объясняется возросшей популярностью этой темы в СМИ (как ответ на активность основных российских ньюсмейкеров в сфере ИБ – государства и регуляторов). Не следует (по аналогии с США) связывать выявленный рост доли утечек ПДн с повышением степени защищенности ПДн. Доля скрытых (латентных)утечек, не ставших достоянием общественности, в России остается высокой – операторы ПДн склонны скрывать факты утечек. Подавляющее число утечек происходит через каналы, которые могут быть перекрыты техническими средствами.

По данным российской статистики утечек ПДн, в 2013 году умышленные и случайные утечки распределились почти поровну – 49% и 48% соответственно.

umysel

Примерно такое же распределение Аналитический центр InfoWatch регистрирует на данных общемировой статистики уже в течение 4-5 лет. Картина утечек персональных данных из российских компаний характеризуется низкой (менее 4%) долей случаев, когда намерения человека, допустившего утечку, остались неизвестными.

Принято считать, что низкий процент «неопределенных» утечек говорит о распространенности в стране или отрасли средств автоматического обнаружения и предотвращения утечек (DLP систем – с их помощью виновника утечки и его мотивы легко установить). Для России, однако, такая логика не срабатывает, и вот почему. Во-первых, исследование выявило совсем небольшое число актуальных каналов утечки. Чаще всего это бумажные документы – выброшенные формы, медкарты, украденные ксерокопии паспортов.

На втором месте по «популярности» утечки через сеть (24% – интернет или
локальная сеть). Во-вторых, не отличаются разнообразием и сценарии утечки. По «сетевому» каналу чаще всего осуществляется доступ к базе данных и последующее нелегитимное использование/копирование персональных данных клиентов, сотрудников – пример умышленной утечки. Типичная случайная утечка через этот канал – публикация в веб данных ограниченного доступа: списки учеников школ, граждан, записавшихся на прием в муниципальные органы и пр.

74% случаев утечек персональных данных связаны с намеренными или неосторожными действиями рядовых сотрудников. В 9% вина за утечку лежит на руководителях.Отсюда вывод: низкий процент «неопределенных» по умыслу российских утечек ПДн не связан с распространенностью средств защиты (в том числе класса DLP). Скорее, причина в типичности самих утечек (сценарии, каналы). Более того, огромное количество случайных утечек по каналам, которые легко контролируются техническими решениями для защиты от утечек, говорит как раз о критически низком уровне проникновения технических средств защиты в российских компаниях. Иначе говоря, для защиты персональных данных технологии DLP в большинстве случаев просто не используются.

Результаты исследования говорят о критически низком уровне использования средств защиты от утечек для обеспечения безопасности персональных данных в нашей стране. Это подтверждает существующее мнение, что большинство компаний занимаются «бумажной» безопасностью ПДн, выполняя требования регуляторов лишь формально. Реальной работы по повышению уровня безопасности персданных не ведется. Судя по характеру утечек – выброшенные документы, публикации баз данных в веб – можно говорить также о невысокой компетенции сотрудников, отвечающих за безопасность ПДн в России.

Ключевой факт: на долю государственных органов и организаций, занятых в сфере ЖКХ, приходится самый большой процент утечек персональных данных В 2013 году 19% утечек персональных данных пришлись на государственные органы и силовые структуры, коммерческие и некоммерческие компании в сфере жилищно-коммунального хозяйства «отличились» почти в 18% случаев. Замкнули тройку «лидеров» финансово-кредитные организации с показателем 16%.

На долю небольших операторов ПДн (до 500 ПК) приходится 66% всех утечек. Причем совсем не обязательно, что число записей или прямой ущерб от утечек в небольших организациях будет также небольшим. В ряде случаев, когда утекали базы данных с числом записей 5 тыс. и выше, а ущерб составлял более 10 тыс. руб., речь шла именно о малых и средних организациях. Отметим, что для среднего бизнеса последствия от утечек крупных массивов ПДн весьма критичны – это серьезный репутационный и финансовый ущерб, который в ряде случаев более ощутим, чем в компаниях крупных.

Впрочем, невысокую долю утечек из крупных компаний (свыше 500 ПК), отягощенную крупным ущербом (таких утечек чуть менее 17%), можно объяснить и тем, что крупные компании лучше скрывают факты «больших» утечек данных, а в средних утечки более «заметны».

Любое информационное сообщение законодателей и регуляторов на тему защиты ПДн порождает волну публикаций в СМИ – тема более чем популярна. Информационный фон в СМИ, в свою очередь, подталкивает к действиям законодателей и регуляторов (создание новых нормативно-правовых актов, предложение поправок в действующие законы). Но, если проанализировать сообщения об утечках ПДн (то, что является предметом данного исследования), мы обнаружим довольно поверхностную подачу материала (в отличие от новостных сообщений об утечках ПДн в США, например). Новости о российских утечках не содержат конкретики. Не уточняется, сколько записей скомпрометировано, какой ущерб субъектам и оператору персональных данных
нанесен.

Для всех заинтересованных сторон (регуляторы, операторы, субъекты) важнее сам факт утечки, чем реальный ущерб. В СМИ сплошь и рядом говорится о том, что утечка ПДн – это плохо, и совершенно не говорится, почему, каковы последствия той утечки для оператора ПДн. В итоге операторы рассматривают лишь один вариант негативного развития событий – штраф за несоблюдение требований законодательства.

Субъекты (то есть граждане) также не осведомлены о возможных последствиях и не стремятся защищать свои интересы. Регуляторы же, судя по всему, текущим состоянием дел вполне довольны. Так, судя по сообщениям СМИ, за два месяца сотрудники «Роскомнадзора» выявили лишь один факт незаконной продажи электронной базы данных граждан. Правда, общее число скомпрометированных записей только по данному факту утечки составляет 2 млн.

Между тем, помимо штрафа за нарушение требований законодательства о защите ПДн, операторы несут в ряде случаев вполне ощутимые материальные потери. Недополученная прибыль вследствие ухода клиентов к конкурентам, похитившим базу данных – показательный, но далеко не единственный сценарий.

Субъекты ПДн – т.е. граждане – страдают еще больше. Не проходит недели, чтобы в СМИ не появилось сообщение об очередном оформлении кредитов на украденные паспортные данные, раскрытии сведений о судимостях, болезнях, финансовом положении, небрежном хранение медицинских данных детей.

blog_credit

«Популярность» в СМИ темы утечек ПДн совершенно не сказывается на повышении степени защищенности ПДн в России. Операторы не видят угрозы в возможных штрафах со стороны регуляторов, не осознают, что утечка ПДн – это ощутимый материальный ущерб в виде упущенной выгоды и репутационных потерь.

Изменить ситуацию к лучшему можно лишь в том случае, если операторы начнут отвечать за утечки персональных данных рублем и репутацией. Только тогда у российских коммерческих компаний и государственных (муниципальных) органов появляется мотивация обеспечить безопасность ПДн на должном уровне. Для первых стимулом будут возможные финансовые потери, для вторых – публичные претензии общественности на фоне фактического неисполнения государством своих обязанностей по защите персональных данных граждан.

Авторы исследования с сожалением вынуждены констатировать критически низкую степень защищенности персональных данных в России. Связано это с комплексом взаимовлияющих факторов, в том числе:

  • Позиция законодателей и регуляторов, требующих от операторов персональных данных соблюдения требований по защите ПДн лишь «на бумаге». Операторы выполняют предписания закона и регуляторов, зачастую, формально, а факты утечек персональных данных просто замалчивают.
  • Мизерные суммы штрафов за нарушение требований по защите ПДн никак не мотивируют операторов повышать защищенность персональных данных. Низкая активность регуляторов в плане проведения плановых и внеплановых проверок исправлению ситуации не способствует.
  • Субъекты персональных данных, в интересах которых, по идее, принимался закон о защите ПДн, остались за скобками применения 152-ФЗ. Даже в перспективе инициатив законодателей речь не идет о том, чтобы обязать операторов персональных данных публиковать факты утечки ПДн и информировать об этом пострадавших граждан.

В распределении по источнику утечки (отраслевой принадлежности операторов персональных данных) большинство утечек пришлось на организации, находящиеся на разных полюсах с позиции зрелости ИБ: банки (и страховые компании, которые мы относим к данному сегменту) — наиболее «продвинутая» отрасль, и государственные органы, где с информационной безопасностью традиционно не все благополучно. Огромное количество утечек персданных в компаниях сферы ЖКХ вынудило авторов исследования выделить эти организации в отдельную категорию.

При этом с банками ситуация более-менее ясна – причина большого количества утечек кроется в ликвидности данных. Конкурент, «уведя» базу данных банка или страховой компании, легко конвертирует ее в дополнительную прибыль, переманив клиентов лучшим предложением.

С госорганами и компаниями из сферы ЖКХ все сложнее. С вероятностью, можно говорить об отсутствии технических мер защиты персональных данных. С еще большей вероятностью – об отсутствии понимания сути проблемы – что и зачем нужно защищать – у сотрудников и руководства компаний.

Изменить ситуацию к лучшему можно лишь в том случае, если операторы начнут отвечать за утечки персональных данных рублем и репутацией. Только тогда у российских коммерческих компаний и государственных (муниципальных) органов появляется реальный стимул обеспечивать безопасность ПДн на должном уровне.

Через сеть "утекает" 24% персональных данных, главные источники утечек - госорганы, ЖКХ и кредитные организации by

Возможно, вас также заинтересует:

При копировании материалов ссылка обязательна.