Утечки информации: что думает об этом бизнес?
Утечка информации – это вообще серьезно? По чьей вине она может произойти? Намеренно или неумышленно? Грозит ли утечка данных потерями для компании, и насколько серьезными они могут быть? Кто может пострадать от этих инцидентов вне компании? И нужно ли решать проблему на уровне отрасли или государства в целом?
Все эти вопросы разбирались в исследовании, итоги которого IT-World предоставила компания InfoWatch.
Утечки – это серьезно
Большинство российских компаний, принявших участие в исследовании, считают проблему утечек информации серьезной. Для 53% респондентов это острая проблема, для 14% - ключевая. Только 21% не считают ее серьезной, а 5% считают, что утечки вообще не представляют никакой проблемы для российского сегмента бизнеса.
В течение трех последних лет утечек в их компаниях не было – такой ответ 48% респондентов давали летом 2023 года. 25% опрошенных затруднялись с ответом. Но 27% участников опроса с утечками информации в своих компаниях за последние три года сталкивались.
К середине 2024 года ситуация с утечками информации в российских компаниях только ухудшилась, считают авторы исследования. Так, 25% опрошенных сообщили, что им хорошо известны случаи утечек данных в компаниях, где они работают, 23% слышали об этом, а тех, кто ответил, что за последние три года утечек в их компаниях не было, стало значительно меньше – 34%.
Утечки приводят к ущербу
Ущерб, который российские компании несут из-за утечек информации, является достаточно серьезным. Так думают 42% компаний. Еще 16% уверены - ущерб настолько серьезен, что несет угрозу самому существованию компаниям. 28% респондентов оценивают ущерб как заметный, но считают, что у компании есть и более существенные источники ущерба, а 7% не считают его каким-либо существенным.
Последствий утечек опасаются госкомпании и компании ИБ
Риски утечек информации и персональных данных наиболее остро оценили представители компаний госсектора, крупного бизнеса, компаний из сферы информационной безопасности, а также компаний, которым не посчастливилось столкнуться с утечками уже несколько раз.
Как ощутимый и трудновосполнимый ущерб от утечек оценивают руководители финансовых подразделений компаний.
Из тех, кто работает в головных офисах компаний, почти треть считает, что такие последствия являются угрозой для существования организаций.
И, в противовес им, риски утечек информации недооценивают небольшие организации, а также те, кто пока с утечками не сталкивался.
Основные причины утечек
В ходе опроса какой-то доминирующей причины утечек информации выявлено не было. Ответы распределились приблизительно на одном уровне между неумышленными действиями сотрудников (44%), умышленными действиями сотрудников (37%), компьютерными атаками (42%) и ошибками в настройках систем защиты (35%).
Но и неумышленные действия сотрудников, и ошибки в настройке систем защиты также могут быть причинами успешно проведенных компьютерных атак. При этом, отмечают авторы исследования, человеческий фактор в качестве ключевой причины чаще всего называли представители малого бизнеса и компаний, в которых еще не было утечек. На компьютерные атаки указывали средние и крупные компании, респонденты из головных офисов и представители компаний, в которых утечки уже происходили. Внутренних нарушителей в качестве главных виновников утечек видят средние по размеру компании, а также опрошенные из подразделений информационной, экономической и финансовой безопасности. Крупный бизнес и госкомпании чаще указывали на ошибки в настройках системы защиты информации.
Действовали с умыслом
Чаще всего утечки данных допускали осознанно, с умыслом, сотрудники компаний и внешние нарушители, которые действовали совместно - так думают 32% опрошенных.
Еще 23% считают виноватыми сотрудников компании, 22% считают, что утечка произошла по вине хакеров, и еще 14% обвиняют в совместных действиях хакеров и контрагентов.
Ошибаются все
Неумышленными действиями (ошибками), которые привели к утечкам, чаще грешат сотрудники организации – так ответили 58% респондентов. При этом ошибки системных администраторов или сотрудников служб безопасности – то есть тех, кто настраивает системы безопасности и занимается их эксплуатацией – назвали 54% опрошенных. Возможными причинами их ошибок могут быть отсутствие нужной квалификации, высокая загрузка и банальная невнимательность.
Еще 24% винят в ошибках топ-менеджеров своих компаний, и 21% - подрядчиков.
Оценки рисков
Больше половины всех опрошенных - около 54% - считают, что риски наступления в их компаниях инцидентов, связанных с кражами или потерями конфиденциальных данных, умеренны.
Еще 23% оценили их как незначительные. Как правило, такой ответ давали небольшие компании.
И лишь 19% респондентов считают такую вероятность высокой, опасаясь ее всерьез. Большинство из этой категории – крупные компании с численностью от 1 тыс. сотрудников.
В разбивке по должностной принадлежности респондентов наибольший уровень тревоги в отношении безопасности информации показали специалисты подразделений информационной, экономической и финансовой безопасности - 33% опрошенных.
Промышленность и HoReCa: злоумышленникам мы не интересны
Большинство из тех, кто оценил риск утечек в своей организации как несущественный, оперировали таким аргументом, как отсутствие данных, которые могли бы заинтересовать злоумышленников (67%).
40% ссылались также на наличие в компании надежной системы защиты.
Чаще других считают, что их компании не интересны злоумышленникам, сотрудники промышленных предприятий и компаний сферы HoReCa. Но представители сферы HoReCa сильно недооценивают риски утечек информации, отмечают составители исследования. Так, по данным InfoWatch, в 2023 году совокупная доля организаций торговли, туризма, гостеприимства и общественного питания, в которую входит HoReCa, в распределении утечек составила 24,5%. Тогда как доля утечек информации в промышленных компаниях пока сравнительно невелика (3,9%).
О наличии данных, представляющих большой интерес для злоумышленников, чаще врех говорили сотрудники головных отделений компаний (84%) и организаций, в которых уже случались утечки (89%).
Чем угрожают утечки
Исследование показало, что утечка информации не рассматривается как системная проблема, в решении которой заинтересована вся отрасль и государство в целом. Для многих – это быстрый инцидент, требующий программного или технического решения «здесь и сейчас».
Ущерб от утечек информации респонденты представляют локальным. В том, что он представляет угрозу деятельности организации, уверены 52% опрошенных, репутации компании – 51%, клиентам компании – 48%, законным правам и интересам граждан – 34%.
Утечки представляют угрозу отрасли в целом – так отметили лишь 26% опрошенных. И лишь 15% респондентов считают, что утечки могут представлять угрозу на государственном уровне.
Опубликовано 20.12.2024