Изучение статистики – первый шаг к грамотным инвестициям в систему безопасности. Именно поэтому компании, специализирующиеся на аналитике, ежегодно подводят итог предыдущего периода. 2018 год не стал исключением: свою картину мира широкой общественности представила RBS — Risk Based Security.
Цифры отчета внушают оптимизм: если в 2017 количество украденных приватных записей составляло примерно 7,9 миллиардов, в 2018 цифра снизилась примерно на треть – 5 миллиардов. Позитивная тенденция наблюдается в первую очередь в странах Европы, где полным ходом запущена General Data Protection Regulation (GDPR): государственные регуляторы вплотную взялись за защиту информации и без устали следят за бизнесом. Аналогичная программа развивается в РФ – ГосСОПКА.
Самыми уязвимыми для утечек секторами оказались: частный бизнес – более 65% утечек; правительственные структуры – 13,9%; медицинские учреждения -13,4%; сфера образования – 6,5%.
Самый крупный инцидент ушедшего года произошел в Индии: в сеть была слита информация крупнейшей базы данных страны – Aadhaar. В общий доступ попали идентификационные номера, адреса, номера телефонов, адреса электронной почты, почтовые индексы и фотографии почти 1,2 миллиарда индийских граждан.
Среди других значительных ЧП – утечка данных программы лояльности сети отелей Marriott и разглашение информации о персонах, посетивших гостиницы Huazhu Hotel Group.
Стоит отметить и «внутреннюю» угрозу. Хоть большие компании чаще всего атакуют извне, как минимум 925 известных крупных информационных инцидентов связаны с действиями работников. Причем далеко не все сотрудники имели злой умысел. Утечки данных по неосторожности происходят с завидной регулярностью. По уровню ущерба именно внутренний враг занимает лидирующие позиции. В то время как хакеры похитили 1,7 миллиардов записей, внутренние проблемы привели к потере 2,6 миллиардов записей.
Среднее количество дней, необходимых на обнаружение информационного инцидента, возросло и составляет 49,6 дней. И это при том, что Европейские регуляторы дают бизнесу всего 72 часа на выявление и ликвидацию угрозы.
Отдельным пунктом RBS выделяет социальную инженерию, ведь это самый быстрый и дешевый способ завладеть конфиденциальной информацией. Самым ярким примером стал случай с консалтинговой компанией, специализирующейся на политических исследованиях — Cambridge Analytica. Представители организации собрали детальную информацию о, примерно, 87 миллионах пользователей, преимущественно проживающих на территории США. Нелегально получить доступ к персональной информации удалось благодаря приложению в социальной сети Facebook.
И это всего лишь один из крупномасштабных примеров мошенничества. Приемы социальной инженерии широко распространены не только в социальных сетях. Злоумышленники изучают модели поведения потенциальных жертв для увеличения эффективности фишинга. А крупные компании применяют бихевиористический подход в конкурентной разведке и промышленном шпионаже, для нелегального внедрения инсайдеров, или банальной кражи данных без личного контакта с работниками компании-жертвы.
Все аналитики, изучившие данные за 2018 год сходятся в одном: в периметре информационной безопасности предприятия наиболее уязвим «человеческий фактор». И дело не только в «кротах», продающих коммерческую тайну «налево». Банальная глупость, безалаберность или безответственность может стать причиной утечки данных. К тому же хакеры отнюдь не дураки. Взломать современную систему защиты – крайне сложно и дорого. А вот обвести вокруг пальца среднестатистического работника – быстро, просто и дешево.
На сегодняшний день единственный способ снижения рисков – использование систем безопасности, нацеленных на контроль и анализ действий работников фирмы. Только так можно своевременно обнаружить потенциальную угрозу и ликвидировать ее.
