В первом полугодии 2014 г. киберпреступники похитили 450 млн записей, содержащих финансовую или другую личную информацию клиентов и пользователей различных организаций. Это следует из мирового отчета разработчика решений по информационной безопасности InfoWatch (отчет еще не опубликован, о нем рассказали представители компании). Количество утечек за год почти удвоилось: за тот же период в 2013 г. было похищено 258 млн записей с данными клиентов.
Собственное исследование InfoWatch включает в себя данные по России. Наша страна занимает второе место по количеству утечек - в исследуемый период зарегистрировано 96 таких случаев, рассказывает аналитик InfoWatch Сергей Хайрук. Хайрук отмечает, что количество российских утечек по сравнению с 2013 г. выросло более чем вдвое. По его словам, в 2013 г. отмечался бум кражи данных из государственных органов. В 2014 г. киберпреступников интересовали данные из образовательных и муниципальных учреждений, а также информация о пользователях интернет-сервисов и провайдеров. Хайрук говорит, что российская картина утечек повторяет американскую, но 3-5-летней давности.
Накануне собственное исследование в области утечек данных по всему миру представила компания Safenet. Safenet подсчитала, что киберпреступники похитили более 375 млн записей. Это результат 559 крупных утечек данных, говорится в отчете компании.
Правда, российские данные статистика не включает. Safenet учитывает только те страны, законодательство которых обязывает компанию сообщать о факте утечки и раскрыть подробности. Такая норма в российском законодательстве еще только планируется. В том случае, если все же в российской компании происходит утечка, ее масштаб всячески преуменьшается, говорит представитель компании InfoWatch Наталья Лезина. Поэтому подробная аналитика о количестве скомпрометированных данных россиян - большая редкость, объясняет она.
Safenet также измерила репутационный ущерб для компаний - по результатам опроса 4500 пользователей, 40% респондентов заявили, что вряд ли будут вести дела с компаниями, которые допустили утечку. Если же скомпрометированные данные будут включать в себя финансовую информацию пользователей, количество отказавшихся от услуг компании поднимется до 65%.
Руководитель аналитического центра Zecurion Владимир Ульянов приводит пример влияния безопасности на бизнес отдельной компании. В июле 2013 г. из российского подразделения страховой компании Zurich была украдена актуальная база клиентов (более 1 млн человек). Спустя год, летом 2014 г., стало известно о том, что Zurich сворачивает розничный бизнес в России. Ульянов допускает, что утечка базы к конкурентам стала одним из факторов, повлиявших на ухудшение экономических показателей и решение топ-менеджмента закрыть направление. По его мнению, проблема с утечками заключается в недостаточной ответственности компаний - законодательство не предполагает существенных штрафов за попадание данных вовне.
Многие компании формально подходят к делу и следят лишь за соответствием требованиям внутренних документов, объясняет замруководителя отдела компании "АйТи" Аркадий Прокудин. Вместо этого, объясняет Прокудин, они могли бы перекрывать реальные каналы утечек, констатирует он.
Российское законодательство требует от компаний защищать данные юридически и технически. Юридическая часть предполагает разработку и внедрение компанией большого количества документов. Технически защита представляет собой закупку дорогостоящих средств защиты (например, межсетевых экранов, антивирусов, криптографическую защиту).
Российская ассоциация электронных коммуникаций считает требования российского законодательства по защите избыточными - с одной стороны и неэффективными - с другой.
По подсчетам ассоциации, чтобы все российские организации полностью выполнили требования законодательства, нужно потратить около 6% ВВП России. Тем не менее доходы системных интеграторов от проектов по защите данных растут, констатируют эксперты. Прибыль по данному направлению в среднем увеличивается на 30% ежегодно и в общем пуле проектов по информационной безопасности доля персональных данных составляет около 10%, заключает глава "Астерос информационная безопасность" Александр Чижов.