| 0 |
|
Прошедший под знаком пандемии 2020 г. привел к росту латентности инцидентов информационной безопасности. Как следствие, в мире зарегистрировано на 4,5% меньше утечек информации из государственных организаций и коммерческих компаний. Вместе с тем в прошлом году резко выросли доли умышленных утечек, а также утечек по вине внешних нарушителей. Такие выводы содержатся в отчете компании Infowatch, посвященном ежегодному исследованию утечек информации ограниченного доступа в мире.
В 2020 г. экспертно-аналитическим центром Infowatch зарегистрировано (стали известными) 2395 случаев утечки информации ограниченного доступа из коммерческих компаний, государственных органов и организаций. Это на 4,5% меньше, чем годом ранее, но на 5,8% превышает показатель 2018 г. Главный вклад в снижение числа утечек внесли США – там случаев компрометации данных за год стало меньше почти на 20%.
В результате утечек, ставших достоянием общественности за год, во всем мире оказались скомпрометированы 11,06 млрд записей персональных данных и платежной информации, в частности, имена и фамилии, адреса электронной почты, номера телефонов, пароли, сведения о постоянном месте жительства, номера социального страхования, реквизиты банковских карт и данные о банковских счетах. Таким образом, общее число скомпрометированных записей по сравнению с 2019 г. снизилось на 25,5%. В результате среднестатистическая утечка стала «легче» на 22% – 4,62 млн записей в 2020 г. по сравнению с 5,92 млн записей в 2019 г.
Несмотря на сокращение как количества утечек, так и общего количества скомпрометированных пользовательских записей, в 2020 г. стало больше крупных утечек, в результате каждой из которых было скомпрометировано не менее 1 млн записей. Если в 2019 г. таких утечек было 169, то в 2020 г. их зафиксировано 213 (рост на 26%).
Без учета утечек объемом свыше 1 млн записей, в 2020 г. на каждую утечку в среднем пришлось 28,1 тыс. записей, тогда как в 2019 г. на подобную утечку в среднем приходилось 19,9 тыс. записей. То есть «типичная» утечка в среднем «потяжелела» примерно на 41,2%. Кстати, в 2019 г. средняя утечка объемом менее 1 млн записей «прибавила в весе» около 43% по сравнению с 2018 г. Поэтому интересно будет посмотреть, сохранится ли такая динамика в 2021 г.
Интересные изменения произошли в распределении случаев утечек информации по типам данных. Доля ПДн в общем распределении инцидентов, связанных с утечками, за год выросла с 76,6% до 80,6%, а доля случаев утечки платежных сведений сократилась с 9,8% до 4,8%. Во-первых, такая динамика связана с усилением зашиты платежной инфраструктуры и с тем, что злоумышленникам все сложнее становится использовать данные скомпрометированных карт. Во-вторых, на черном рынке растет ценность персональных данных, у преступников есть довольно широкие возможности извлечения прибыли из личной информации о человеке: оформление кредитов, получение пособий, продажа баз с ПДн для электронного маркетинга, фишинг, шантаж.
В 2020 г. основной вектор утечек продолжал смещаться в сторону внешнего нарушителя. Действия хакеров и неизвестных лиц из-за пределов информационного контура организаций привели к 55,9% утечек. Соответственно, 44,1% утечек были спровоцированы различными действиями (а порой и бездействием) персонала.
В 2019-2020 гг. значительно сократился объем данных, скомпрометированных в результате одной утечки, вызванной внешним воздействием. В среднем на одну «внешнюю» утечку в 2020 г. пришлось 2,8 млн скомпрометированных записей. Вероятно, хакеры стали более разборчивы в своих предпочтениях и, проникнув в сеть компании, стараются украсть самую ликвидную информацию.
При этом в результате одной утечки данных по вине внутреннего нарушителя было скомпрометировано в среднем 6,8 млн записей. Такое соотношение связано, в первую очередь, с бурным развитием облачных сервисов и накоплением в хранилищах огромных объемов информации, которая может утекать из-за халатности сотрудников. Речь идет, прежде всего, о некорректных настройках хранилищ в облачных сервисах типа Amazon и MongoDB, а также допущенных уязвимостях на веб-сервисах.
В 2020 г. 98,2% записей персональных данных и платежной информации по вине внутренних нарушителей, то есть сотрудников компаний, утекли в результате случайных нарушений.
В 2020 г. во всех отраслях отмечен всплеск доли умышленных утечек, что в первую очередь связано с существенным ростом ликвидности данных в период пандемии: в это время недобросовестные сотрудники активно искали дополнительный заработок, а хакеры пользовались тем, что компании в авральном режиме меняли привычные формы реализации процессов и могли при этом ослабить контроль информационных активов. В результате совокупная доля умышленных утечек пользовательской информации достигла 72,5%, тогда как годом ранее она составила 60,2%.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
