Более 98% пользовательских данных внутри компаний утекают в результате случайных нарушений

В 2019 г. по вине внутренних нарушителей (рядовые сотрудники, руководители, системные администраторы) произошло 53,7% всех утечек, зарегистрированных экспертно-аналитическим центром ГК InfoWatch.  Это меньше чем в 2018 г., когда внутренние нарушители случайными или преднамеренными действиями спровоцировали  61,6% всех утечек. При этом объем скомпрометированных записей данных в результате внутренних нарушений вырос в 3,6 раза и составил более 9,87 млрд записей.

В расчете на одну утечку для внутренних нарушителей в среднем скомпрометировано 7,3 млн записей. Данный показатель фиксирует общее число скомпрометированных записей, относящихся к персональным данным и платежной информации. Эти типы данных характеризует высокая способность к формализации: они легко поддаются машинной обработке и, как следствие, утечки такой информации чаще выявляются средствами контроля. Значительный рост утекших записей о многом связан с неисполнением сотрудниками правил работы с охраняемыми данными или, что более вероятно, со стремлением ряда компаний максимизировать полезность корпоративных данных для их дальнейшего «обогащения», что порой предполагает доступ к данным со стороны длинной цепочки партнеров. Часто подобная практика оборачивается человеческими ошибками. Так, в 2019 году 58,1% случаев компрометации данных в компаниях и госорганах носили ненамеренный характер.  При этом в результате внутренних утечек случайного характера утекло более 98% всех записей пользовательских данных (персональные и платежные данные).

«В том случае, когда утечка происходит по злому умыслу, объем похищенной информации (по числу записей) обычно оказывается сравнительно небольшим — только действительно ликвидные сведения, относящиеся, в том числе, к категории «коммерческая тайна». Стоит отметить, что умышленные утечки, составляющие коммерческую тайну, присутствуют во всех отраслях экономики, но чаще всего случаются в сфере ИТ, телекоммуникационных и промышленных компаниях, – отмечает ведущий аналитик ГК InfoWatch Сергей Хайрук. – Не менее интересно распределение случайных утечек  внутреннего характера - здесь впереди оказываются медицинские организации, где количество зафиксированных утечек стабильно растет уже много лет».

Стоит отметить, что 80% утечек коммерческой тайны, спровоцированных внутренними нарушителями, являются умышленными. В то же время утечки персональных данных в большинстве случаев (70%) носят непреднамеренный характер.

Авторы исследования обращают внимание на развитие тенденции роста различных видов утечек через сетевые каналы. В таких инцидентах практически нет ограничений по объему данных, которые могут быть скомпрометированы. Однако стоит отметить, что потенциально опасным является любой канал передачи информации,  и даже небольшая утечка несет угрозу бизнеса – от репутационных потерь и снижения лояльности клиентов до штрафных санкций регуляторов и компенсаций по коллективным искам. Поэтому компания должна серьезно задуматься над обеспечением полноценной защиты корпоративных данных как от внешних, так и от внутренних угроз.