Кадры сливают всё
Сотрудники компаний наращивают торговлю корпоративной информацией
За первые три квартала 2020 года 77% утечек из российских компаний случились в результате умышленных действий персонала, а число крупных инцидентов выросло более чем в два раза, подсчитали в InfoWatch. Общий рост утечек по итогам года составит около 40%, ожидают в компании «Ростелеком-Солар». Работники пытаются компенсировать финансовые потери с помощью продажи конфиденциальных данных, полагают эксперты.
Более 79% утечек из российских компаний за январь—сентябрь 2020 года случились в результате внутренних нарушений, 77% были умышленными, следует из отчета InfoWatch, с которым ознакомился “Ъ”. Исследование основано на собственной базе утечек компании, составленной на основе публичных сообщений. По его данным, доля утечек по вине сотрудников в России вдвое выше, чем в мире.
В целом в 2020 году в России стало больше крупных инцидентов, в результате каждого из которых утекало от 1 млн записей персональных данных и платежной информации, подсчитали в InfoWatch. Если в январе—сентябре 2019 года таких было зафиксировано всего шесть, то за тот же период 2020 года — 15. В числе таких инцидентов, например, утечка из школы английского языка Skyeng (см. “Ъ” от 27 июня), база данных водителей по Москве и Московской области (см. “Ъ” от 3 августа), база клиентов курьерской службы СДЭК (см. “Ъ” от 13 мая). Всего, по данным InfoWatch, за девять месяцев 2020 года объем утечек в России вырос на 5,6% и составил 96,5 млн записей персональных данных и платежной информации.
В «Ростелеком-Солар» полагают, что рост утечек по итогам 2020 года в России составит чуть менее 40%.
В период первой волны самоизоляции из-за коронавируса (конец марта — начало июня) эксперты компании фиксировали рост числа инцидентов на 25%, отметил руководитель группы развития бизнеса центра продуктов Solar Dozor Алексей Кубарев. По данным IT-компании «Крок», по итогам первого полугодия 2020 года число утечек из российских компаний по вине сотрудников выросло на 47% к аналогичному периоду прошлого года, а совокупный ущерб от них превысил 1,8 млрд руб., писал “Ъ” 28 августа.
Умышленные утечки отчасти провоцируют сами компании, которые пытаются сэкономить, в результате чего доходы персонала снижаются и некоторые работники пытаются компенсировать потери с помощью слива и продажи конфиденциальных данных, рассуждает Алексей Кубарев. Мошенникам сейчас зачастую проще и дешевле заплатить сотруднику компании, чем провести традиционную атаку на нее извне, говорит эксперт по прикладной безопасности Step Logic Виктор Семьехин. При этом в период пандемии заинтересованность бизнеса в решениях для предотвращения утечек, по его словам, снизилась, так как компаниям пришлось закрывать более актуальные задачи, однако в Step Logic рассчитывают, что в ближайшие пару лет спрос на них вырастет на 20–30%.
В России инсайдерских утечек данных действительно больше, чем в среднем по миру, но это не 77% от общего объема, полагает основатель DLBI Ашот Оганесян.
Общий уровень цифровизации бизнеса у нас значительно ниже мирового, а поставщики онлайн-продуктов для бизнеса в основном крупные компании, которые умеют обезопасить их от взломщиков, рассуждает он, тогда как на Западе много «мелких и самодельных IT-решений, которые могут сломать даже школьники».
При этом в России организации чаще всего стремятся сохранить информацию об утечке в тайне: они редко обращаются в следственные органы, предпочитая замять ситуацию или просто уволить сотрудника, поэтому адекватной статистики по числу внутренних утечек нет, уверен руководитель направлений «Комплаенс» и «Аудит» управления информационной безопасности Softline Илья Тихонов. В России нет законодательства, обязывающего компании информировать общественность об утечках, подтверждает господин Кубарев, а на Западе компании по закону обязаны сообщать регуляторам и пострадавшим клиентам обо всех таких фактах.