Zecurion изучил опыт использования DLP-систем в российских компаниях: максимальная стоимость утечки — $30 млн
Аналитический центр компании Zecurion изучил опыт использования DLP-систем в компаниях различных отраслей и размеров и подготовил отчет об утечках, ущербе, инсайдерах и мерах их наказания. Как сообщили CNews в Zecurion, максимальный подтверждённый размер финансового ущерба от утечки информации в российской компании составляет $30 млн. В целом, как выяснилось в ходе исследования, специалисты по ИБ недооценивают возможный ущерб от инцидентов ИБ, связанных с утечкой конфиденциальных данных. Прогнозируемый ущерб (в среднем $310 тыс.) заметно ниже реального (в среднем $820 тыс.).
Примечательно, что только 8% российских компаний среднего и крупного бизнеса не сталкиваются с утечками данных. Чаще всего компании фиксируют от 11 до 20 инцидентов внутренней ИБ в год. Первые инциденты как правило выявляются уже на этапе тестового внедрения DLP. Компании, внедрившие DLP, но использующие их в режиме мониторинга, продолжают терпеть убытки от утечек конфиденциальной информации, указали в Zecurion.
Большое число инцидентов информационной безопасности, по данным компании, связано с передачей конфиденциальной информации непосредственно конкурентам, при этом в некоторых случаях — непреднамеренно.
Интересно, что степень вовлечённости руководства компаний в дела ИБ сильно различается. Отдельный опрос генеральных директоров показал, что менее 50% из них получают отчёты подразделения по защите информации.
«То, что примерно в половине случаев респонденты затрудняются оценить стоимость утечек информации указывает на недостаток организационной работы в части классификации информации и оценки информационных рисков. В результате, если проекты по ИБ и ведутся, то без экономического обоснования, а использование конкретных средств не всегда оказывается оправданным», — отметили эксперты Zecurion.
Как известно, основные статьи ущерба вследствие утечек — это прямые потери, упущенная выгода, а также штрафы со стороны регуляторов. Если говорить о российской практике, наибольшие потери компаний приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных отраслях) или из-за получения конкурентами других преимуществ, указали в Zecurion.
Утекает из организаций самая разнообразная информация, включая проектную документацию, клиентские базы, сведения об инвестиционной деятельности компании, персональные данные сотрудников, коммерческие предложения, сведения о движениях на счетах клиентов и многое другое.
По мировой статистике (отчёт Zecurion «Утечки конфиденциальной информации 2013»), наибольшее количество утечек происходит через веб-сервисы, а также ноутбуки и планшеты. Статистика, которую Zecurion Analytics собрал в рамках опроса пользователей DLP-систем, даёт иные цифры. Различие обусловлено тем, что в мировую статистику не попадают предотвращённые утечки. Именно поэтому в данном отчёте высока доля электронной почты, тогда как в общей мировой статистике её доля составляет лишь 7,4%.
Популярные каналы утечек, включая и предотвращённые утечки (количество ответов — более 100%, так как респонденты указывали несколько вариантов ответа)
Как показывают результаты опроса, подавляющее большинство организаций не информирует об инцидентах собственных сотрудников. Согласно статистике Zecurion Analytics (отчёт «Утечки конфиденциальной информации» за 2013 г.), большинство утечек происходит не по злому умыслу, а из-за ошибок или низкой квалификации персонала по вопросам ИБ. Соответственно, для повышения защищённости информации необходимо проводить регулярные тренинги среди работников, учить людей правильно обращаться с конфиденциальными данными, информировать о мероприятиях, реализуемых службой ИБ, и опыт инцидентов имеет в данном случае немалую ценность, убеждены в Zecurion.
Респонденты также рассказали, какие меры применяются к сотрудникам, которых уличили в сливе информации. Санкции сильно отличаются в зависимости от обстоятельств инцидента. Так, если в действиях сотрудника отсутствует злой умысел, в большинстве случаев всё заканчивается разъяснительными беседами (в 61% случаев). При серьёзных последствиях непредумышленных утечек работодатели прибегают к официальным выговорам (в 17% случаев) и штрафам, в том числе лишают премий (в 11% случаев). Если же сотрудники целенаправленно воровали информацию, применяются более жёсткие санкции: инсайдеров увольняют (в 9% случаев) или даже привлекают к юридической ответственности (в 2% случаев).
В целом авторы исследования провели более 100 интервью специалистов по защите информации, чтобы обобщить опыт использования DLP-систем в компаниях. При этом был выявлен ряд типичных ошибок, снижающих эффективность используемых систем. Среди подобных ошибок заказчиков в Zecurion отметили недостаточную организационную подготовку к внедрению DLP-системы, отсутствие оценки рисков и регулярной классификации информации. Это значительно увеличивает время внедрения системы и затрудняет процесс эксплуатации. Ещё одна ошибка — отсутствие выделенного специалиста (или даже отдела в крупных корпорациях), который занимался бы обслуживанием DLP-системы. Без должного внимания, без регулярной корректировки настроек системы эффективность её будет стабильно падать.
© CNews
