Поделиться
Впрочем, бывает и хуже. В распределении утечек по странам первую позицию заняли США (859 случаев в год, или 57 процентов от всех произошедших). Россия оказалась на втором месте (118 утечек), за ней Великобритания с 124 инцидентами.
При этом, как отмечают аналитики InfoWatch, доля собственно банковских инцидентов в России выше общемировой - 16 процентов против 8,6 процента по всему миру. Чаще всего (в 73 процентах случаев) из наших банков утекали персональные данные клиентов. И последствия весьма серьезны: только в результате инцидентов, которые получили огласку в СМИ, утекло свыше 22,5 миллиона записей персональных данных.
Источником воровства данных примерно в половине случаев были небольшие банки. При этом преступников интересовало практически все, что можно потом использовать или продать: платежная информация, номера счетов, данные балансов, реквизиты платежных карт и персональные данные клиентов. Для их передачи злоумышленники чаще всего использовали Интернет, но не брезговали и "бумажными каналами". То есть утечка данных проводилась старым проверенным способом - злоумышленник распечатывал данные и выносил их за пределы своей компании. Примечательно также, что в банках чаще, чем в среднем по отраслям, происходили утечки, вызванные кражей или потерей оборудования, а также инциденты, ставшие результатом обычного копирования на съемные носители.
Комментируя "РГ" результаты исследования, ведущий эксперт по информационной безопасности компании InfoWatch Мария Воронова отметила, что угроза действительно серьезна. "Банки работают с самой ликвидной информацией: это и персональные, и платежные данные, - пояснила она. - Сотрудники, имеющие легитимный доступ к банковским системам, часто находят лазейки, позволяющие незаконно обогатиться за счет работодателя". При этом, несмотря на то, что банки больше других заботятся о своей информационной безопасности, они являются более привлекательной жертвой для хакеров и инсайдеров. Поэтому технические средства защиты от внутренних и внешних угроз - это уже давно необходимость для финансового сектора.
Бороться действительно можно. По мнению аналитиков, сейчас банкам очень важно предпринимать реальные меры, направленные на снижение рисков информационной безопасности: внедрять средства защиты, обеспечивать своевременный контроль и реагирование на допущенные инциденты. Причем все эти меры должны применяться комплексно.
"Что касается противодействия, то здесь необходимо усиливать работу не в области внешней, а внутренней безопасности, - полагает управляющий партнер компании "2К" Тамара Касьянова. - Более 70 процентов утечек обеспечивают действия сотрудников самих компаний. Поэтому прежде всего необходимо повышать информационную грамотность сотрудников (если информация уходит на сторону из-за ошибок) и увеличивать уровень их ответственности".
Говоря об ущербе, эксперт отметила, что в денежном выражении подсчитать его можно лишь гипотетически, поскольку прямой кражи денег в этом случае не происходит. "Можно предположить лишь косвенные затраты: стоимость выявления утечки, сумма разработки и внедрения защиты от будущих краж, репутационные потери (этот показатель вообще очень сложно монетизировать), штрафы и компенсации пострадавшим (если это предусмотрено законодательством), потенциальный уход клиента (тоже практически не поддается точному подсчету)", - перечисляет Касьянова.
Тем не менее специализирующиеся на информационной безопасности компании приводят оценки стоимости по утечкам: в 2014 году средняя стоимость утечки одной учетной записи оценивалась в 154 доллара, поясняет эксперт.