2022/05/10 08:31:24

Потери от утечек данных

Финансовые потери от утечки данных наносят существенный урон бизнесу компании, а иногда могут его разрушить.

Содержание

Утечки данных и системы защиты от утечек данных

2024: Google выплатит $350 млн компенсации за нарушение конфиденциальности данных в Google+

Google выплатит компенсацию за нарушение конфиденциальности данных в социальной сети Google+. Об этом 12 февраля 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина. Подробнее здесь.

2022: Кибератаки деловой почты привели к убыткам $43 млрд

ФБР и Центр рассмотрения жалоб на интернет-преступления (Internet Crime Complaint Center, IC3) обнаружили, что с июня 2016 года по декабрь 2021 года в результате более 241 000 инцидентов было похищено $43,31 млрд. Об этом стало известно 5 мая 2022 года.

Взлом служебной электронной почты еще остается прибыльным для киберпреступников.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.6 т

Мошенничество с компрометацией деловой электронной почты (Business Email Compromise, BEC) позволяет злоумышленнику осуществить несанкционированный перевод средств с помощью взлома служебной или личной учетной записи электронной почты, используя социальную инженерию или компьютерное вторжение. По заявлению ФБР, на май 2022 года осуществляются кражи личной информации сотрудников, бланков отчетов о заработной плате и налогах (W-2) и криптокошельков.

«
Цифры в отчете, вероятно, являются нижней границей фактических цифр, учитывая, что большое количество инцидентов остается незарегистрированным, - сказал старший консультант по безопасности LARES Consulting Энди Гилл.
»

«
BEC-атаки часто проводятся с помощью фишинга цели для получения доступа к почтовым ящикам. Злоумышленник ищет важные темы, такие как переписка с поставщиком или с сотрудником внутри компании для дальнейшей атаки на работников или внешнюю компанию, - добавил Гилл.
»

«
BEC-мошенничество было зарегистрировано во всех 50 штатах и 177 странах, причем мошеннические переводы осуществлялись в более чем 140 стран, - пояснили в ФБР. — Основываясь на финансовых данных IC3 за 2021 год, основные средства от мошенников проходили через банки Таиланда и Гонконга. Китай, входивший в число двух крупнейших получателей средств в предыдущие годы, в 2021 году занял третье место, за ним последовали Мексика и Сингапур.
»

По заявлению специалиста Сунила Юй с сервиса JupiterOne, у BEC-киберпреступников также была структура поддержки, включающая наличие денежных мулов. Смурферы передавали отмытые украденные средства мошенникам.

«
Более широкие информационно-просветительские кампании и более строгие и публичные наказания для денежных мулов могут сократить их деятельность и помешать злоумышленникам украсть незаконно присвоенные средства, - сказал Юй. — Когда переводы средств замедлятся или приостановятся, у жертвы появится шанс вернуть украденные средства при обнаружении взлома[1].
»

2021: Утечки данных обходятся компаниям в среднем в $4,24 млн

28 июля 2021 года компания IBM Security поделилась результатами глобального исследования, посвященного финансовой оценке ущерба от утечек данных. Каждый такой случай в среднем обходится компаниям, участвовавшим в исследовании, в $4,24 млн — это самое высокое значение за 17 лет ведения исследований IBM. Глубинный анализ утечек данных более чем в 500 организациях показал, что инциденты в сфере безопасности приводят к возросшим расходам и их сложнее сдерживать, потому что в условиях пандемии кардинально изменились методы работы организаций. Ущерб по сравнению с 2020 годом увеличился на 10%.

В 2020 году компаниям пришлось срочно адаптировать подходы к использованию технологий, поскольку многие организации рекомендовали сотрудникам работать из дома или вводили удаленный режим работы в обязательном порядке, и 60% организаций стали в большей степени использовать облачные решения во время пандемии. Судя по последним результатам, сфера информационной безопасности (ИБ), похоже, не поспевает за стремительными изменениями в ИТ, и это сказывается на способности компаний реагировать на утечки данных.

По результатам ежегодного исследования «Cost of a Data Breach Report», проведенного Ponemon Institute при спонсорской и аналитической поддержке IBM Security, были выявлены следующие тенденции:

  • Влияние удаленной работы. Быстрый переход на удаленную работу во время пандемии предположительно увеличил размеры ущерба от утечек данных. В тех случаях, когда одной из причин утечки был признан дистанционный режим работы, ущерб в среднем был на $1 млн выше, чем в ситуациях, в которых этот фактор не был задействован ($4,96 млн против $3,89 млн).
  • Вырос ущерб от утечек в сфере здравоохранения. Отрасли, которым пришлось кардинально изменить подходы к работе во время пандемии (здравоохранение, розничная торговля, гостиничный и ресторанный бизнес, производство и дистрибуция потребительских товаров), также столкнулись с существенным ростом ущерба от утечек данных по сравнению с 2020 годом. Самые дорогостоящие утечки — в здравоохранении: $9,23 млн на каждый случай, что на $2 млн больше, чем в 2020 году.
  • Компрометация учетных записей приводит к краже данных. Доступ с помощью украденных учетных данных стал причиной большей части утечек, указанных в исследовании. Злоумышленники при этом чаще всего крали персональные данные рядовых пользователей (имя, адрес электронной почты, пароль) — в 44% случаев утечек пострадали данные именно такого типа. Получается движение по спирали: украв имя пользователя и пароль, злоумышленник может в будущем получать доступ к новой информации.
  • Современные подходы помогают снизить убытки. Применение искусственного интеллекта, ИБ-аналитика и шифрование — три главных фактора, которые доказали свою эффективность в плане уменьшения расходов, связанных с утечками данных. Экономия составила от $1,25 млн до $1,49 млн (по сравнению с организациями, где эти инструменты практически не используются). Что касается утечек данных, находящихся в облаке, организациям, применяющим гибридные облака, утечки обходятся дешевле ($3,61 млн), чем тем, кто использует только публичное облако ($4,80 млн) или только частное облако ($4,55 млн).

«
Более высокие убытки от утечек данных — еще одна статья расходов для бизнеса на фоне быстрого изменения технологий во время пандемии, — сказал Крис МакКерди, вице-президент и генеральный директор IBM Security. — За последний год ущерб от утечек данных достиг рекордных значений, но отчет также показал положительное влияние современных методов защиты, таких как искусственный интеллект, автоматизация и применение подхода нулевого доверия — они потенциально могут и в дальнейшем снижать ущерб от подобных инцидентов.

»

Из-за пандемии люди все больше пользуются цифровыми средствами общения. Компании переходили на удаленную работу и облачные технологии, подстраиваясь под реалии.

Отчет показал, что эти факторы существенно влияют на способность компаний реагировать на утечки данных. Почти 20% организаций, принявших участие в исследовании, отметили, что дистанционный режим работы стал одной из причин утечек данных, причем связанные с ним утечки обходились организациям в $4,96 млн (почти на 15% дороже, чем в среднем).

Компании, участвовавшие в исследовании и столкнувшиеся с утечками во время перехода на облачные решения, понесли ущерб, на 18,8% превысивший среднее значение. Однако исследование также показало, что компании, которые дальше других продвинулись по пути модернизации и перехода на работу в облаке (то есть, находились на более «зрелой» стадии), более эффективно выявляли и предотвращали инциденты — в среднем на 77 дней раньше, чем организации, находившееся на начальных стадиях. Исследование случаев утечки данных в облачных инфраструктурах показало, что организациям, применяющим гибридные облака, утечки обходятся дешевле ($3,61 млн), чем тем, кто использует только публичные облака ($4,80 млн) или только частные облака ($4,55 млн).

Отчет также выявил нарастающую проблему: утечки влекут за собой компрометацию данных потребителей (в том числе учетные данные), что в дальнейшем может использоваться для проведения других атак. 82% индивидуальных пользователей, принявших участие в исследовании, признают, что используют одинаковые пароли для разных учетных записей, поэтому компрометация учетных данных является, с одной стороны, основной причиной утечек информации, а с другой, ведет к дальнейшим негативным последствиям, а значит, представляет собой двойной риск для бизнеса.

  • Персональные данные оказываются в руках мошенников. Почти половина (44%) из проанализированных утечек была связана с кражей персональных данных потребителей
    • (имя, адрес электронной почты, пароль и так далее — даже медицинские сведения), и это самый распространенный тип инцидентов в отчете.

  • Самый большой ущерб возникает при краже идентифицирующих персональных данных. $180 на каждую украденную запись по сравнению со $161 на каждую запись в среднем по всем категориям утечек.
  • Наиболее распространенный метод атаки. Скомпрометированные учетные данные чаще всего использовались как средство для взлома (20% проанализированных утечек данных).
  • Более длительное выявление и пресечение. На выявление утечек, причиной которых стала компрометация учетных данных, требуется больше времени — в среднем 250 дней (по сравнению с общим средним показателем — 212 дней).

Некоторые изменения в сфере ИТ во время пандемии увеличили стоимость утечек данных, однако организации, которые не стали модернизировать свой бизнес, на самом деле несут более высокие расходы, связанные с утечками. В организациях, не начавших цифровую трансформацию в связи с COVID-19, ущерб от одной утечки оказался на $750 тыс. выше, чем средний по всем организациям (на 16,6% выше среднего).

Подход «нулевого доверия» помогает компаниям, принявшим участие в исследовании, бороться с утечками данных. Он подразумевает, что любой пользователь в системе или сама сеть могут уже быть скомпрометированы, и использует средства искусственного интеллекта и инструменты аналитики для непрерывной проверки подключений между пользователями, данными и ресурсами. В организациях с развитым подходом «нулевого доверия» ущерб от утечек данных составил в среднем $3,28 млн — на $1,76 млн ниже, чем в компаниях, которые не стали внедрять этот подход.

Также отчет показал, что на июль 2021 года больше компаний развертывают средства автоматизации защиты по сравнению с прошлыми годами, и это ведет к существенному снижению расходов. Около 65% компаний, принявших участие в исследовании, указали, что они частично или полностью развернули средства автоматизации ИБ — по сравнению с 52% два года назад. В организациях, которые провели развертывание полностью, средний размер ущерба от утечек данных составлял всего $2,90 млн, а у компаний, которые вообще не использовали автоматизацию, тот же показатель оказался выше более чем вдвое — $6,71 млн.

Компаниям, принявшим участие в исследовании, удалось сократить затраты на борьбу с утечкой за счет инвестирования в команды и планы реагирования на инциденты. Организации, создавшие группы реагирования на инциденты и протестировавшие свои планы реагирования, в среднем потратили на ликвидацию последствий взлома $3,25 млн. В то же время компаниям, которые этого не сделали, пришлось потратить в среднем $5,71 млн (разница составляет 54,9%).

Некоторые дополнительные выводы исследования за 2021 год:

  • Время устранения утечек. На то, чтобы выявить и ликвидировать утечку данных, в среднем требовалось 287 дней (212, чтобы выявить, и еще 75, чтобы нейтрализовать) — это на неделю больше, чем в 2020 году.
  • Гигантские утечки данных. Средний ущерб в случае гигантской утечки (от 50 до 65 млн записей) составил $401 млн. Это почти в 100 раз больше, чем в большинстве обычных утечек, проанализированных в ходе исследования (от 1 тыс. до 100 тыс. записей).
  • Отраслевая специфика. Дороже всего обходились утечки в сфере здравоохранения ($9,23 млн), на втором месте — финансовый сектор ($5,72 млн), на третьем — фармацевтика ($5,04 млн). В сфере розничной торговли, мультимедиа, в гостиничном бизнесе и общественном секторе ущерб в среднем был ниже, но он тоже заметно вырос по сравнению с 2020 годом.
  • Региональная специфика. Самые дорогие утечки происходили в США ($9,05 млн на каждый случай), затем шли страны Ближнего Востока ($6,93 млн) и Канада ($5,4 млн).

Отчет «2021 Cost of a Data Breach Report», составленный IBM Security и Ponemon Institute, основан на глубинном анализе реальных случаев утечек данных объемом до 100 тыс. записей, произошедших более чем в 500 организациях в разных странах мира за период с мая 2020 года по март 2021 года. В исследовании учитываются сотни факторов, влияющих на расходы: правовые, нормативные и технические аспекты, а также ущерб от негативного влияния на имидж бренда, потерь клиентов и снижения продуктивности сотрудников.

2020

Общая сумма штрафов и компенсаций за утечки данных составила около $385 млн

11 марта 2021 года InfoWatch сообщила итоги исследования финансовых последствий инцидентов, связанных с утечками персональных данных и другой конфиденциальной пользовательской информации, для юридических лиц. На основе изучения открытых источников в мире было обнаружено 118 случаев назначения штрафов и компенсационных выплат за нарушения, приведшие к утечкам данных. По сравнению с 2019 годом количество выявленных штрафов и компенсаций выросло на 9,3%. Их общая сумма в 2020 году составила около $385 млн.

В 2020 году лидерами по числу штрафов стали США и Сингапур - на них пришлись, соответственно, 28 и 23 финансовых взыскания. В первую пятерку стран по количеству назначенных взысканий также вошли Румыния (11 штрафов), Италия (9 штрафов) и Соединенное Королевство Великобритании и Северной Ирландии (5 штрафов). Как и годом ранее, США заняли первое место среди стран по размеру среднего штрафа. Его сумма в 2020 году составила $13 млн.

Число штрафов, вынесенных регуляторами стран Евросоюза за утечки, составило 35,6% от всех штрафов, но средний штраф здесь составил только $93 тыс.

В России за исследуемый период в открытых источниках обнаружены сообщения о 4 штрафах за утечки персональных данных на общую сумму 510,5 тысяч рублей. Таким образом, по сравнению с 2019 годом, когда было выявлено 6 назначенных штрафов на общую сумму 180,5 тысяч рублей, в 2020 году сумма штрафов выросла в 2,83 раза. Средняя сумма штрафа составила 127,6 тыс. рублей.

В 2020 году российские суды вынесли решения о назначении штрафов по делам, возбужденным в отношении таких организаций, как одно из коллекторских агентств в Новосибирской области, ООО «Национальная служба взыскания», Центр немецкого языка при Волгоградском социально-педагогическом университете, а также Центральная районная больница города Николаевск-на-Амуре.

«
Данное исследование проводилось в двух срезах, где первая часть – это подсчет фактического количества штрафов и компенсаций, назначенных регуляторами за утечки конфиденциальной информации, в том числе персональных данных. Вторая часть - поиск связи между финансовым состоянием организации, стоимостью её активов и официальными сообщениями об утечках. Совершенно очевидно, что для публичной компании как сам факт утечки, так и информация о ее масштабе, ставшие достоянием общественности, чреваты потерями на бирже. По нашим наблюдениям, после утечки компании в среднем в первые часы после объявления об инциденте падение выглядит небольшим, в пределах 1%, но нельзя забывать, что за этой цифрой для крупной компании стоит потеря многих десятков, а то и сотен миллионов долларов. Немаловажным фактором, влияющим на возможность нивелирования репутационных рисков и стабилизацию стоимости акций, является поведение самой компании после утечки, прозрачность мероприятий для ликвидации последствий инцидента, - отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
»

В отраслевом распределении 50% мировых штрафов пришлись на хайтек-компании, здравоохранение и ритейл. Наибольшее падение биржевых показателей сразу после утечек отмечено среди компаний сегментов «Ритейл&HoReCa», а также «Высокие технологии» (хайтек - телеком, ИТ) – на 2,29% и 2,02% соответственно. Наименее восприимчива к утечкам сфера промышленности и транспорта – здесь даже после инцидента, связанного с компрометацией данных, курс акций в среднем подрастал на 0,56%. Относительно устойчивой также можно признать финансовую сферу, потери участников которой в первые часы после утечки оказались довольно невелики – менее четверти процента.

На март 2021 года можно достаточно уверенно говорить о том, что утечка оказывает сильное влияние на уровень капитализации компании в краткосрочной перспективе, то есть в первые дни после сообщения об инциденте. В дальнейшем на формирование курса акций влияют другие факторы.

Авторы отчета пришли к выводу, что регуляторы стран ЕС, опираясь на положения вступившего в силу в 2018 году регламента GDPR, в 2020 году продолжили методично штрафовать компании, допустившие утечки. При этом в Евросоюзе в период пандемии практически нет крупных штрафов за утечки. Скорее всего, в ближайшее время мега-штрафы (в размере десятков и сотен миллионов долларов) в основном будут выписываться регуляторами США и только за резонансные утечки, то есть те, при которых могут быть потеряны миллионы записей пользовательских данных. При этом отягчающими факторами будут выступать длительное сокрытие фактов утечек и недостаточное внимание компаний к контуру кибербезопасности.

В 2021 году, прежде всего, стоит ожидать расширения географии штрафов за утечки по причине того, что регуляторы в сфере защиты информации во многих странах постепенно совершенствуют законодательство, исходя из реалий, и встают на путь методичной защиты пользовательских данных как основного компонента цифровой личности.

В России следует ожидать появления штрафов, связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры (не утечки).

Киберинциденты с хищением данных за последние 5 лет обошлись компаниям в $10 млрд

Киберинциденты с хищением данных за последние 5 лет обошлись компаниям в $10 млрд. Об этом стало известно 10 ноября 2020 года.

Исследователи безопасности из фирмы Cyentia Insitute проанализировали 103 так называемых «экстремальных» киберинцидента за последние пять лет, которые привели к крупнейшим финансовым потерям. Как выяснилось, атаки, связанные с хищением учетных данных, составили 46% от всех инцидентов и привели к огромным потерям в размере $10 млрд. Кибератаки с применением вредоносного ПО для удаленного доступа составили 31% от всех случаев и обошлись корпорациям в $9,2 млрд.

Исследователи обнаружили, что некоторые атаки приводят к потерям почти в 100 раз больше годового дохода жертвы, в то время как другие — всего в 0,1%. Ущерб по производительности, затраты на реагирование и штрафы были наиболее частыми формами потерь.

Вероятность инцидента варьируется от отрасли к отрасли, причем государственные учреждения, финансовые фирмы, административная поддержка и информационные службы имеют самые самые большие риски. На финансовый, информационный и производственный секторы пришлось более половины из 103 крупнейших инцидентов.

Как выяснили специалисты, на киберпреступные группировки, связанные с иностранными правительствами, пришлось 43% процента от финансовых потерь.

Мошенничество, программы-вымогатели, утечки данных и кража криптовалюты — самые дорогостоящие и наиболее распространенные типы «экстремальных» киберинцидентов. Только на одну вредоносную кампанию NotPetya в 2017 году пришлось почти 20% всех убытков[2].

Каждая утечка данных обходится компаниям в среднем в $3,86 млн

31 июля 2020 года стало известно о том, что компрометация учетных записей сотрудников привела к самым дорогостоящим утечкам данных за 2020 год. Об этом сообщается в ежегодном мировом исследовании IBM и Ponemon Institute. Анализ утечек информации показал, что персональные данные клиентов раскрываются в 80% случаев.

Каждая утечка данных обходится компаниям в среднем в $3,86 млн. Фото: currency.com.

По данным IBM Security, в среднем каждая утечка данных обходится компаниям в $3,86 млн, а наибольшие расходы связаны с компрометацией учетных записей сотрудников. Последний тип утечек обходится бизнесу дороже остальных.

«
Несмотря на то, что средняя стоимость одной утечки, как показывает исследование, может отличаться в несколько раз в зависимости от страны и региона, общие тенденции и тренды, обозначенные в отчете, глобальны и верны для большинства стран, включая Россию. Это касается, прежде всего, роста разрыва в ущербе для неподготовленных бизнесов, по сравнению с теми, для кого информационная безопасность - в приоритете.

отметил Алексей Воронцов, руководитель консалтинговой практики ИБ IBM в России и СНГ
»

Как пояснялось, удаленная работа и растущий масштаб бизнес-операций в облаке увеличивают риски при доступе к чувствительной информации. Отдельное исследование IBM показало, что более половины сотрудников, которым из-за пандемии пришлось осваивать работу из дома, не получали указаний по обращению с идентифицирующими персональными данными клиентов.

Исследование Ponemon Institute и IBM Security основано на интервью с более чем 3200 ИБ-специалистами 500 компаний, которые пострадали от утечек данных за 2020 год.

По данным опроса, интеллектуальные технологии позволяют вдвое сократить убытки от утечек данных. Компании, которые полностью развернули технологии автоматизации киберзащиты, понесли в два раза меньше убытков от утечки данных, чем компании, которые не внедрили такие инструменты, - в среднем США $2,45 млн против $6,03 млн.

«
Скомпрометированные учетные данные дорого обходятся. В тех случаях, когда злоумышленники получали доступ к корпоративным сетям с помощью украденных или скомпрометированных учетных данных, расходы компаний, связанные с утечкой данных, были на $1 млн выше, чем средний показатель по миру, и достигали $4,77 млн за одну утечку. Использование уязвимостей третьих сторон занимает вторую строчку в списке причин расходов, вызванных нарушением безопасности данных - $4,5 млн.

говорится в сообщении подразделения IBM в России и СНГ
»

По результатам исследования, расходы из-за утечек, при которых скомпрометировано более 50 млн записей данных, в 2019 году увеличились с $388 млн до $392 млн. Утечки, при которых скомпрометировано 40-50 млн учетных записей, обошлись компаниям в среднем в $364 млн. Это на $19 млн больше, чем в 2019 году.

Атаки, финансируемые государствами-нациями, наносят самый большой ущерб. По сравнению с другими источниками угроз безопасности данных, рассматриваемыми в исследовании, наиболее дорогостоящими стали утечки данных, которые, как считается, являются следствием действий со стороны государств-наций. В среднем атаки, спонсируемые государствами, приводят к расходам в размере $4,43 млн на одну утечку данных, что значительно превышает ущерб от финансово заинтересованных киберпреступников и хакеров-активистов.

«
Мы заметили, что компании, которые инвестировали в автоматизированные технологии, могут более эффективно нивелировать негативное влияние утечек данных. На июль 2020 года, когда компании расширяют свои цифровые возможности ускоренными темпами, а в сфере информационной безопасности сохраняется дефицит кадров, для защиты растущего количества устройств, систем и данных требуется все больше усилий. Автоматизация киберзащиты позволяет решить эту проблему. Она способствует не только более оперативному реагированию на утечки данных, но и снижению сопутствующих расходов.

заявила Венди Уитмор, вице-президент IBM X-Force Threat Intelligence
»

Учетные данные сотрудников и неправильно сконфигурированные облачные среды - это уязвимые места, которые выбирают злоумышленники. Украденные или скомпрометированные учетные данные и неправильно настроенные облачные среды являются самыми распространенными причинами взломов. По данным IBM и Ponemon Institute, на них приходится около 40% всех случаев. В 2019 году целью злоумышленников стали более 8,5 млрд записей данных. В каждом пятом случае преступники использовали ранее взломанные электронные почты и пароли. Компании переосмысливают стратегии киберзащиты, применяя подход "нулевого доверия", и пересматривают порядок аутентификации пользователей, а также уровни предоставляемых им прав доступа.

Компании сталкиваются со сложностью киберзащиты. Из-за этого растут связанные с утечками расходы, а ошибки в облачных конфигурациях становятся все более сложной проблемой. Исследование 2020 года показало, что злоумышленники использовали ошибки в облачных конфигурациях для взлома сетей приблизительно в 20% случаев, из-за чего сопутствующие расходы увеличились в среднем на полмиллиона - до $4,41 млн. Это третий самый дорогой по потерям первоначальный вектор атаки, рассматриваемый в исследовании.

Хотя на такие атаки приходится всего 13% утечек, злоумышленники, финансируемые государством, наносили самый большой ущерб. Предположительно, это связано с тем, что атаки с целью финансового обогащения (53%) не ведут к большим убыткам для компаний. Качественная подготовка, продолжительность и замаскированность финансируемых государствами атак, а также ценность данных, на которые они нацелены, часто приводят к наибольшей степени компрометации пострадавших. Из-за этого расходы, связанные с утечками данных, возрастают в среднем до $4,43 млн, отмечается в исследовании.

По данным IBM Security, на Ближнем Востоке, где исторически кибератаки, финансируемые государствами, происходят чаще, чем в других частях света, расходы на устранение утечек данных в среднем за год увеличились более чем на 9%, до $6,52 млн, что вывело этот регион на второе место в списке 17 регионов, рассматриваемых в исследовании. Одной из наиболее популярных целей кибератак со стороны государств становятся компании энергетического сектора. В годовом выражении их расходы из-за взломов увеличились на 14% - до $6,39 млн.

В исследовании подчеркивается увеличивающийся разрыв в расходах на устранение последствий кибератак между компаниями, которые внедрили технологии киберзащиты, и остальными: предприятия, полностью развернувшие автоматизацию, экономят на $3,58 млн больше. Таким образом, разрыв увеличился до $2 млн в 2019 году по сравнению с $1,55 млн в 2018 г.

Внедрение технологий автоматизации киберзащиты способствует не только снижению соответствующих расходов, но и значительному сокращению времени реагирования на утечки данных. Исследование показало, что благодаря ИИ, машинному обучению, анализу данных и прочим формам автоматизации киберзащиты, компании, внедрившие эти технологии, реагируют на утечки данных на 27% быстрее, чем те, которым еще предстоит их внедрить. Это значит, что в среднем им требуется на 74 дня меньше, чтобы выявить и остановить утечку.

По данным опроса, готовность к реагированию на инциденты также продолжает влиять на финансовые последствия утечки. В среднем компании, которые не имеют команд реагирования и не проводящие тестирования планов реагирования, тратят на устранение последствий взлома $5,29 млн. В компаниях, где есть отделы реагирования на инциденты и проводятся регулярные практические тренинги или эксперименты для проверки планов реагирования, эти расходы на $2 млн ниже.

Специалист IBM Алексей Воронцов говорит, что в среднем 70% организаций по всему миру ожидают роста размеров ущерба, который вызвали утечки из-за перевода сотрудников на удаленку в 2020 г.[3]

2019

Чикагский брокер Phillip Capital оштрафован на $1,5 млн за утечку данных

18 сентября 2019 года компания Zecurion сообщила, что чикагская компания по торговле ценными бумагами была оштрафована на 1,5 млн долларов США за неисполнение отраслевых стандартов по защите конфиденциальных данных. Подробнее здесь.

Финансовый ущерб среднего бизнеса от взломов и утечек данных оценивается в $3,9 млн

Как стало известно 24 июля 2019 года, финансовый ущерб от взломов и утечек данных продолжает расти и по состоянию на июль в среднем может составить до $3,9 млн для предприятий среднего бизнеса. Об этом сообщается в отчете по исследованию компании IBM Security.

Статистика

Как сообщалось, эксперты провели оценку расходов на устранение последствий утечек данных. Согласно исследованию, за последние пять лет эта цифра выросла на 12% и на июль 2019 года в среднем составляет $3,92 млн.

В среднем расходы для крупнейших организаций (штат более 25 000 сотрудников) составили $5,11 млн. Компании со штатом сотрудников менее 500 человек потеряли более $2,5 млн. Для небольших компаний такая сумма может "съедать" значительную часть годового дохода. Таким образом, малые организации имеют более высокие издержки по сравнению с крупными компаниями, что может ограничить их способность к финансовому восстановлению после инцидента.

Статистика

По словам специалистов, издержки, связанные с наймом сторонних ИБ-компаний, судебными расходами, инвестициями в обеспечение безопасности, и компенсационными выплатами и штрафами не всегда немедленно отображаются на бюджете компаний.

Статистика

В действительности последствия от утечек данных могут ощущаться на протяжении лет. Согласно отчету, в среднем 67% расходов осуществляются в течение первых 12 месяцев после утечки данных, 22% — в течение второго года, а 11% — в течение двух лет. Медицинские, финансовые, фармацевтические и энергетические компании со временем могут столкнуться с дополнительными расходами, отмечается в отчете.

Статистика

В среднем организациям требуется 206 дней, чтобы обнаружить утечку данных, и еще 73 дня для ее полного устранения. По словам экспертов, случаи утечек данных в связи с кибератаками более распространены, чем те, которые вызваны системными ошибками или человеческим фактором. На долю первых приходится 49% от всех зафиксированных инцидентов.

За одну украденную запись компаниям может грозить штраф до $150, то есть утечка 1 млн записей обойдется компании до $42 млн, а 50 млн — до $388 млн.

Из 26 факторов, влияющих на ущерб от утечек данных, пятью наиболее "дорогостоящими" являются участие сторонних лиц, несоответствие стандартам отрасли, переход на облачную среду, сложность системы и операционных технологий. В частности, утечка данных из-за третьих сторон увеличивает расходы более чем на $370 000, утечка при переходе в облачные среды — на $300 000, а сложность системы — на $290 000.

Ранее компания Equifax согласилась выплатить $700 млн пострадавшим в результате масштабной утечки данных, а самую крупную гостиничную сеть Marriott International оштрафуют на сумму в £99 млн за утечку данных с 2014 года. [4]

2018: Максимальная сумма ущерба по делу об утечке данных в России составила 14 млн рублей

28 января 2020 года стало известно о том, что экспертно-аналитический центр ГК InfoWatch опубликовал первый отчет о судебной практике по делам, связанным с утечками информации ограниченного доступа. Исследование проводилось в целях выявления основных и наиболее очевидных проблем правоприменения в области защиты информации. Согласно результатам исследования, каждое четвертое дело заканчивается вынесением реального или условного срока, а максимальная сумма ущерба по делу об утечке информации, подтвержденная решением российского суда в 2018 году, составляет 14 млн рублей. Подробнее здесь.

2015

Ponemon: Средний объем потерь от утечек данных в мире $4 млн

В июне 2016 года опубликованные данные глобального исследования, в рамках которого проведен анализ финансовых последствий утечек данных в 2015 году, показали - утечка данных обходится компаниям в среднем $4 млн, увеличившись на 29% с 2013 года [5].

Исследование провела Ponemon Institute при поддержке IBM. Интервью получено у почти 400 компаний в мире.

Количественный и качественный рост инцидентов, связанных с кибербезопасностью, продолжается. В 2015 году зарегистрировано на 64% больше инцидентов в сфере безопасности, чем в 2014 г. По мере возрастания сложности этих угроз, они все дороже обходятся компаниям.

Исследование показало, что компании теряют $158 на каждой скомпрометированной записи данных. Еще дороже стоят утечки в жестко регулируемых отраслях, достигая, например, в здравоохранении $355 на одну запись данных – на $100 больше, чем в 2013 году.

Согласно результатам исследования, самым важным фактором снижения убытков от утечки данных стало привлечение команды специалистов, отвечающих за инциденты. Это сэкономило компаниям в среднем почти $400 тыс. (или $16 в расчете на одну запись данных).

Стоимость мер реагирования (расследование причин, создание горячих линий для клиентов, найм юристов, издание предписаний регулирующих органов) составляет 59% от суммы ущерба от утечки данных. Часть этих затрат может объясняться тем, что 70% руководителей компаний США, курирующих вопросы безопасности, сообщили об отсутствии планов реагирования на инциденты.

Исследование выявило прямую зависимость между количеством времени для обнаружения и пресечения утечки данных и стоимостью ликвидации ее последствий. В то время, как утечки, выявленные менее чем за 100 дней, обходятся компании в среднем $3,23 млн, стоимость утечек, обнаруженных позднее 100-дневной отметки, составляет в среднем на $1 млн больше ($4,38 млн).

Zecurion: В России зафиксирован 41 инцидент, в среднем по $820 тыс. убытка

Согласно исследованиям компании Zecurion, по итогам 2014 года в России зафиксирован 41 внутренний инцидент. По количеству публичных инцидентов, собранных в рамках исследования, Россия удерживает второе место после лидера — США.

По мнению аналитиков, опубликованные сведения об утечках — вершина айсберга. Реальное число таких инцидентов в России и мире на несколько порядков больше. В попытках - понять истинный масштаб проблемы защиты информации от утечек, последствия инцидентов и узнать, какими усилиями организации пытаются минимизировать инсайдерскую угрозу, компания Zecurion опросила собственных заказчиков, использующих DLP-решения.

Итог опроса, 2015

Выяснилось: большинство компаний фиксирует от 11 до 20 серьёзных инцидентов в год. Среди популярных каналов утечек — электронная почта (с попытками передать информацию по этому каналу сталкиваются 53% компаний), USB-флэшки (45%) и интернет-сервисы (32%).

Отметили аналитики отличия в оценке ущерба от утечек в России: если в мировой статистике каждый инцидент стоит более $25 млн, то в России это значение достигает $820 тыс., а максимальные потери российской компании составили около $30 млн. Основные финансовые потери приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных областях) и из-за получения конкурентами других преимуществ.

Размер утечек в России, 2015

В Zecurion Analytics подсчитали, что в 2014 году в мире компании потеряли из-за утечек информации $18,534 млрд. Это существенно ниже, чем в 2013 году: тогда суммарный ущерб составлял $25,11 млрд. При этом наблюдается и тренд «обесценивания» утечек: средний ущерб от каждого инцидента снизился с $31,23 млн в 2013 году до $25,29 млн в 2014 году.

Кроме снижения потерь от каждой утечки в мире наблюдается и общий тренд уменьшения количества утечек – его эксперты отмечали уже не первый год. Так, в если в 2012 году в мире было зафиксировано 825 утечек, а в 2013 – уже 804, то в 2014 году – лишь 733. Правда, аналитики подчеркивали, что большая часть утечек остается скрытой – как от прессы, так и от самих владельцев информации. Так что остается вероятность того, что утечки и их последствия за последние два года просто научились лучше прятать.

Количество зарегистрированных инцидентов информационной безопасности

Если в 2012 году преобладали непредумышленные инциденты (44,5% против 24,2% у целенаправленных), то в 2014 году разрыв между ними сократился всего до полутора процентов. Такая тенденция роста грозит организациям в новом году существенным увеличением финансовых потерь от инцидентов.

Наиболее распространенными каналами передачи корпоративных данных остаются веб-сервисы (26,7%), ноутбуки и планшеты (более 14%). Существенно возросла доля утечек через неэлектронные носители — с 8,2% до 13,4%. В большинстве случаев это непреднамеренные утечки, связанные с небрежным отношением к бумажным документам. Оставленные на виду посетителей офиса или выброшенные в обычные мусорные контейнеры бумаги, нередко становятся достоянием гласности.

По сравнению с 2013 годом сократились случаи утечек финансовых и медицинских данных физлиц (суммарно 26,8%). Прочие персональные данные по-прежнему лидировали среди типов скомпрометированной информации, доля которых в 2014 году составила 59,6%. Гораздо реже встречаются утечки государственной или коммерческой тайны. Тем не менее, каждый подобный инцидент несет внушительные финансовые потери и имеет серьезные репутационные последствия, хотя сведения о подобных инцидентах попадают к журналистам редко.

Лидером по количеству утечек остаются США – на их долю приходится 69,8 % всех инцидентов. Россия – на втором месте, здесь в 2014 году был зафиксирован 41 внутренний инцидент – это 5,6 % от всех утечек. Кроме того, крупные доли утечек принадлежат Великобритании, Германии, Дании, Турции и Китаю.

* за 11 месяцев 2014 года

Источник: Zecurion, 2014

Наиболее «утечкоопасными» отраслями в мире являются:

  • ретейл,
  • государственные организации,
  • медицинские учреждения,
  • финансовый сектор и
  • образование.

Причем все пять направлений как минимум второй год показывают рост доли утечек. Снижают количество инцидентов транспортная отрасль, HoReCa, высокие технологии и промышленный сектор.

Ponemon: Средний годовой ущерб компаний от утечки данных - $3,8 млн

Исследование «2015 Global Cost of Data Breach Study» было опубликовано весной 2015 года организацией Ponemon Institute при поддержке IBM, на основе данных за 2014 год. Согласно опубликованным результатам, средний годовой убыток крупных мировых компаний от утечки данных составил 3,8 млн долл., что на 23% больше аналогичного показателя 2013 года.

В большинстве стран зафиксирован рост ущерба от одной потерянной или украденной записи. Этот показатель вырос на 6% в 2014 году и составил в среднем 154$ по сравнению с 145$ в 2013. Самый стремительный рост стоимости потери данных показала индустрия розничной торговли, где за год ущерб увеличился с 105$ до 165$.

Основные результаты исследования:

  • Исследование показало, что управление непрерывностью работы бизнеса позволяет снизить ущерб от утери данных в среднем на 7,1$ на одну украденную или утерянную запись.

  • Наиболее дорогостоящие потери данных происходят в США и Германии, где ущерб от одной утечки составляет 217$ и 211$, соответственно. Самые низкие показатели в Индии и Бразилии, 56$ и 78$, соответственно.

  • Стоимость утечки данных варьируется в зависимости от отрасли. Потеря или похищение одной записи конфиденциальных данных в среднем стоит 154$. Сильнее всего страдают от взломов компании из области здравоохранения: потеря одной записи обходится им примерно в 363$. Для сравнения, для компаний в транспортной отрасли аналогичный показатель оценивается в 121$, а в государственном секторе – в 68$.

  • Во многих странах основной причиной (47%) утечек данных для компаний, принявших участие в исследовании, стали действия хакеров и злоумышленников. Затраты на распознавание атак и восстановление после них в среднем достигают 170$. В то же время, утечка данных в результате системных сбоев стоит 142$ за запись, а ошибка, вызванная человеческим фактором - 137$.

  • Время, потраченное на распознавание атак и восстановление после них, напрямую влияет на размеры финансовых потерь. Чтобы обнаружить вредоносные атаки в среднем потребуется 256 дней. В то же время, ошибки, вызванные человеческим фактором могут быть выявлены в течение 158 дней.

  • После утечки данных меньше клиентов сохраняют лояльность организации. По данным 2015 года, в среднем потеря клиентов стоит компаниям 1,57 млн долл.

  • Крупных утечки данных (более 10 000 записей) наиболее вероятны в бразильских и французским компаниях. В то же время, в Германии и Канаде такая возможность наименее вероятна.

  • Более активная роль совета директоров в борьбе с утечками данных или приобретение страховки может снизить расходы, связанные с потерей или кражей информации в среднем до 5,5$ за запись.

2013: Zecurion: Потери в мире $25 млрд, в России - 4 млрд руб

В феврале 2014 года Zecurion Analytics представил результаты ежегодного исследования утечек информации за 2013 год. Количество хакерских атак и хищений данных сотрудниками составило более 30% от всех случаев утечек.

Общий ущерб от внутренних инцидентов информационной безопасности вырос на 25% по сравнению с 2012 годом и составил чуть более $25 млрд. Такая тенденция роста затрат от утечек данных указывала на то, что компании не уделяли защите информации должного внимания, вследствие чего теряли колоссальные суммы денег. Так, в среднем по миру убыток от одной утечки составил $32 млн, в то время как в России размер финансового ущерба несколько меньше, даже несмотря на то, что максимальные потери от одного инцидента составили более 4 млрд рублей.

В 2013 году изменился и отраслевой профиль утечек. Чаще всего информация утекала из организаций здравоохранения (16%), розничной торговли (16,2%) и госучреждений (15,5%). При этом самыми распространёнными каналами являются веб-сервисы (24,5%), а также ноутбуки и планшеты (суммарно 16,3%). Существенно возросло количество утечек через электронную почту — с 5,8% до 9,2%.

2012

Zecurion: 825 инцидентов в мире принесли $20 млрд убытка

Zecurion Analytics представила в июне 2013 года результаты ежегодного исследования утечек информации за 2012 год. Всего в мире было зарегистрировано 825 внутренних инцидентов информационной безопасности, общий ущерб от которых составил $20,083 млрд.

Несмотря на незначительное снижение размера финансового ущерба от одной утечки информации с $25,13 млн в 2011 году до $24,34 млн в 2012 году, на протяжении последних лет сохраняется общая тенденция роста затрат пострадавших компаний. Согласно прогнозам Zecurion Analytics, такая тенденция сохранится и в будущем. В 2013 году рост ущерба от утечек будет обусловлен ужесточением штрафных санкций за разглашение персональных данных в Евросоюзе и России.

В 2011 году по сравнению с 2011 годом существенно изменился отраслевой профиль утечек. Чаще всего информация утекала из образовательных заведений (20,1%), госсектора (16,9%), предприятий торговли (12,4%) и медучреждений (12,3%). Годом ранее больше всего данных «теряли» медицинские организации (20,4% в 2011 году).

Наиболее распространённый канал утечек в 2012 году — это веб-сервисы (20,5%). Существенно возросла доля утечек через ноутбуки и планшеты (16,5% в 2012 году против 10,1% в 2011). В свою очередь процент утечек через электронную почту упал до минимального значения за последние несколько лет, с 17,8% в 2010 году до 5,8% в 2012 году. Последняя тенденция обусловлена широким распространением технических средств для фильтрации и архивирования почты. Кроме того, сами пользователи сегодня более ответственно подходят к передаче корпоративной информации через электронную почту.

Ponemon: Средняя цена утечки данных в США - $5,4 млн, в Германии - $4,8 млн

Корпорация Symantec и институт Ponemon Institute опубликовали в июне 2013 года результаты совместного исследования 2013 Cost of Data Breach Study: Global Analysis (на основе материалов за 2012 год). Данные указывали на то, что системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации и подняли средний мировой показатель убытка от кражи 1 учетной записи до 136 долларов США. В список ключевых факторов вошли непонимание сотрудниками, что является конфиденциальной информацией, недостаточность системного контроля (средств управления системой), а также несоблюдение государственных и отраслевых нормативов. В таких строго регулируемых отраслях, как здравоохранение, экономика и фармацевтика, убытки от утечки информации оказались в среднем на 70% выше.

Средняя по миру убыточность скомпрометированной записи возросла, при этом цена одного инцидента утечки в США снизилась до $5,4 млн. Такое снижение связано с распространенностью должности руководителя отдела IT-безопасности (Chief Information Security Officer, CISO), отвечающего за безопасность на уровне всей компании, а также с формированием планов реагирования на инциденты и усилением программ безопасности в целом.

Восьмой ежегодный глобальный отчет основан на данных об утечках информации у 277 компаний в 9 странах мира: США, Великобритании, Франции, Германии, Италии, Индии, Японии, Австралии и Бразилии. Отчеты по каждой из стран, а также общий отчет можно найти по ссылке. Все рассмотренные случаи утечек случились в 2012 календарном году. Для того чтобы избежать искажений, в исследовании не учитывались огромные утечки с кражей более 100 тыс. учетных записей.

Компании могут оценить свой собственный риск утечки при помощи нашего калькулятора риска утечки информации, который учитывает размер организации, отрасль, месторасположение, а также применяемые методы защиты и дает оценку как в масштабе учетной записи, так и всей организации.

Основные выводы исследования:

  • Средняя цена утечки информации сильно различается в разных странах. Многие их этих различий связаны с типами угроз, с которыми организации приходится иметь дело, а также со спецификой законодательства по защите информации в конкретной стране. В некоторых странах, таких как Германия, Австралия и США, законодательство в области защиты потребителей более развито, что обеспечивает большую конфиденциальность данных и общую кибербезопасность. США и Германия пока отличались самой высокой стоимостью утечки: в среднем $188 и $199 за каждую скомпрометированную учетную запись и $5,4 млн и $4,8 млн соответственно за каждый инцидент утечки;

  • Ошибки людей и систем – главные причины утечек. Человеческий фактор и системные ошибки являются причиной 64% утечек по всему миру, при этом, как показало проведенное ранее исследование, 62% сотрудников компаний считали приемлемым перемещение корпоративных данных за пределы компании и большинство сотрудников никогда не удаляли данные, способствуя, таким образом, утечкам. Все это дает представление о том, какую роль в утечках информации играли сами сотрудники компаний и какие убытки эти компании впоследствии несут. В наибольшей степени влиянию человеческого фактора подвержены бразильские компании. А компании в Индии чаще всего становятся жертвами утечек, связанных с системными сбоями и нарушениями бизнес-процессов. Системные сбои включали в себя сбои приложений, случайные выгрузки данных, логические ошибки при передаче данных, ошибки идентификации (неправомерный доступ), ошибки восстановления данных и др.;

  • Хакерские атаки обходятся дороже всего. Консолидированные исследования показывали, что преднамеренные атаки являются причиной 37% всех утечек информации в мире, при этом во всех исследованных странах эти утечки оказываются самыми дорогостоящими. Компаниям из США и Германии хакерские атаки обходятся дороже всего – $277 и $214 за каждую скомпрометированную учетную запись. В то время как в Бразилии и Индии эта цифра составляет лишь $71 и $46 соответственно. Помимо того, немецкие компании, вместе с компаниями в Австралии и Японии, больше всего подвержены риску стать жертвами хакерской атаки;

  • Некоторые организационные факторы приводят к снижению расходов. Компаниями в США и Великобритании удалось добиться наибольшего снижения расходов при утечках за счет сильной стратегии в отношении информационной безопасности, наличия плана реагирования на инциденты и назначения руководителя отдела IT-безопасности. США и Франция также снизили расходы за счет привлечения сторонних консультантов по расследованию утечек.

2011

Ponemon: Средний убыток - $5,5 млн

В марте 2012 года Symantec и Ponemon Institute объявили результаты очередного ежегодного отчета 2011 Cost of Data Breach Study: United States, который позволяет оценить наносимый компаниям ущерб от утечек информации. В 2011 году впервые за последние семь лет средняя стоимость утечки данных сократилась. Согласно данным, опубликованным Symantec и Ponemon Institute, в 2011 году этот показатель составил 5,5 млн долл., что на 24% ниже, чем в 2010 году. При этом наиболее катастрофичные инциденты, способные исказить общую картину, были исключены из исследования.

С точки зрения стоимости наиболее значимой категорией убытков остались «потери бизнеса». Сюда включалось, например, повышение оттока клиентов и потеря репутации. Однако сам показатель потерь такого рода снизился на 34%. Как оказалось, клиенты стали сдержаннее реагировать на инциденты, зачастую прощая нерадивые компании. Разумеется, их поведение сильно зависит от отрасли, в которой оперирует пострадавшая организация и вида скомпрометированных данных. Наиболее болезненными инциденты являются для компаний финансового сектора и здравоохранения.

Злонамеренные атаки обходятся на 25% дороже остальных видов угроз.

39% респондентов считают, что чаще всего причиной утечек корпоративной информации невольно становятся сами сотрудники организаций, точнее, их халатное отношение к выполнению должностных обязанностей. Ситуация еще больше усугубляется с распространением планшетов, смартфонов и облачной модели вычислений, – считает Френсис деСуза (Francis deSouza), президент подразделения Symantec Enterprise Products and Services. Причина роста обеспокоенности понятна, ведь теперь сотрудники имеют доступ к информации в любое время из любого места.

Самым эффективным средством снижения стоимости утечек данных авторы исследования считают наличие в штатном расписании должности директора по ИБ (информационной безопасности). Консолидация ответственности за происходящее в масштабах всей компании на одном человеке дает возможность сократить потери на 35% или на $80 в пересчете на утраченную запись. Привлечение к расследованию инцидентов сторонних консультантов снижает удельные потери еще на $41. Кроме того, важное значение имеют разработка и внедрение политик и процедур, которые в полной мере учитывают современные реалии, в частности, растущую консьюмеризацию ИТ.

К сожалению, пока сохраняется негативная тенденция: в зависимости от характера утраченных данных и способа передачи в третьи руки по сравнению с 2010 годом удельная стоимость утечек выросла на $22-37. В седьмом по счету исследовании Cost of Data Breach Study приняли участие 49 американских компаний – представителей 14 различных отраслей экономики.

Убытки российских компаний от утечек данных превысили $1 млрд

Аналитический центр компании Zecurion представляет результаты ежегодного исследования об утечках конфиденциальной информации. Всего в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в $20 млрд, из которых более $1 млрд пришлось на российские компании.

Наибольшее число инцидентов (45,2% всех случаев) произошло вследствие ошибок или халатности персонала, низкой осведомленности сотрудников компаний в вопросах информационной безопасности. Высокая доля преднамеренности характерна для утечек медицинских данных — это объясняется их востребованностью среди мошенников: цена одной такой записи на черном рынке в 50 раз превышает стоимость номера социального страхования, по данным ANSI. Однако число утечек медицинских данных осталось примерно на уровне прошлого года (19,1%).

Доля утечек финансовых данных физических лиц значительно возросла по сравнению с прошлым годом и составила в 2011 году 18,2%. Прочие персональные данные по-прежнему лидируют среди типов скомпрометированной информации, однако их доля продолжает сокращаться (56% против 63,6% в 2010 году). Гораздо реже утекают коммерческая и государственная тайна, интеллектуальная собственность. Тем не менее, каждый подобный инцидент, как правило, несет внушительные финансовые потери и имеет серьезные репутационные последствия.

Чаще всего информация утекает из медицинских организаций (20,4%), госучреждений (16,7%), образовательных заведений (15,2%), предприятий розничной торговли (13,8%). При этом самыми распространенными каналами утечек являются ноутбуки и мобильные накопители (суммарно 19,4%), веб-сервисы (18,2%), компьютеры (16,1%), а также неэлектронные носители (13,8%). Последние остаются популярным каналом утечки вследствие некорректной утилизации: бумаги с конфиденциальными данными просто выбрасывают в общедоступные мусорные баки. Между тем, внедрение процедур безопасной утилизации позволит значительно снизить риски утечки информации.

В России зарегистрирован 41 публичный инцидент, большинство из которых получили широкую огласку в СМИ. Среди наиболее громких — утечка СМС-сообщений сотового оператора «МегаФон», база данных 1,6 млн абонентов МТС, публикация персональных данных на сайте Пенсионного фонда России, а также массовая компрометация данных о клиентах со стороны российских интернет-магазинов.

2010: Ponemon: Средний ущерб от инцидента в США - $7,2 млн

Согласно результатам шестого ежегодного исследования института Ponemon Institute - U.S. Cost of a Data Breach Study (Исследование стоимости хищений информации в США), случаи хищения данных в 2010 году обошлись американским компаниям в $214 на одну клиентскую запись. При этом средняя стоимость инцидента составляла тогда $7,2 млн. Кроме того, ущерб бренду мог быть более значительным, хотя оценивать эти потери довольно трудно.

Динамика роста расходов в связи с хищением данных

Источник InformationWeek, 2010 год

2008: Ponemon Institute: 70% убытков от внутренних нарушений ИБ

Согласно данным Ponemon Institute, более 70% финансовых потерь в 2008 году было вызвано нарушениями информационной безопасности внутри компаний и последующей утратой конфиденциальных данных.

См. также

Примечания