Аналитический центр компании InfoWatch назвал ключевые случаи утечек информации в 2018 году. Под утечкой информации InfoWatch понимает намеренные или случайные действия (как внешних злоумышленников, так и внутренних нарушителей), в результате которых нарушена конфиденциальность данных.
Число зарегистрированных утечек данных из организаций в 2018 году выросло более чем на 5% по сравнению с 2017 годом. Более половины всех случаев зафиксированы в высокотехнологичных компаниях, госсекторе и медицинских учреждениях. За последний год произошел существенный рост доли утечек в результате действий внутренних нарушителей, а также снижение доли инцидентов, совершенных через сетевой канал.
Самая масштабная утечка информации (1 млрд+) произошла в Индии. Скомпрометированной оказалась информация из системы AADHAAR — самого крупного государственного хранилища идентификационных данных в мире. В результате, ключ от 1,2 миллиарда записей, включая ПДн и биометрическую информацию, был выставлен на продажу всего за $8.
Крупнейшие утечки данных из коммерческих компаний (100 млн+) были зафиксированы в гостиничной сети Marriott (500 млн записей), разработчике ПО Veeam (440 млн), маркетинговой фирме Exactis (340 млн), логистической компании SF Express (300 млн), сервисном стартапе Apollo (200 млн), ИТ-компании VNG (около 163 млн), приложении Under Armour (150 млн).
«В 2018 году примерно половина всех мега-утечек, то есть инцидентов, в результате каждого из которых было скомпрометировано от 10 млн записей персональных данных, случились по вине внутренних нарушителей в организациях. Результативность хакерских атак (среднее число скомпрометированных записей на один инцидент) в 2018 году упала более чем на треть, однако говорить о коренном переломе в борьбе с внешними злоумышленниками пока не приходится. Общее число таких инцидентов не снизилось, взломы хакерами огромных баз данных по-прежнему нередки. Например, в случаях с утечками биометрических данных из индийской базы AADHAAR или системы бронирования Marriott речь шла именно о целенаправленных атаках», — сказал Андрей Арсентьев, аналитик ГК InfoWatch.
Самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора. Несмотря на то, что баг был оперативно устранен, скомпрометированной оказалась база данных о 14 млн бывших студентов.
Андрей Арсентьев отметил: «Случаи компрометации миллионов записей персональных данных в нашей стране регистрируются не часто. Однако общее число утечек информации о гражданах продолжает расти. В 2018 году большинство подобных инцидентов произошли в результате умышленных действий сотрудников организаций, с использованием служебной информации в мошеннических целях либо с превышением прав доступа в хранилища данных».
Самая скандальная утечка данных произошла в социальной сети Facebook. Собранная в научных целях личная информация о 87 млн пользователей соцсети была передана компании Cambridge Analytica, которая работала над проведением избирательной кампании президента США Дональда Трампа.
Андрей Арсентьев: «Эта утечка вызвала широкий общественный резонанс, с новой силой подняла вопрос о недопустимости сбора информации о людях и использования ее без их согласия. Подобная дискуссия ведется и в России, по результатам которой ожидается введение нормативного регулирования порядка обращения и обработки больших пользовательских данных».
Самая курьезная утечка информации случилась в Австралии. В несгораемых канцелярских шкафах из комиссионного магазина были обнаружены тысячи страниц секретных правительственных документов, в том числе данные о деятельности бывшего премьер-министра Тони Эббота, федеральной полиции и даже Комитета национальной безопасности.
«Этот случай – иллюстрация того, что колоссальные усилия по обеспечению безопасности в организации вполне могут быть перечеркнуты проявлениями халатности и небрежности со стороны рядового персонала. По-прежнему нередки случаи, когда бумажные архивы выбрасывают на ближайшую свалку вместо того, чтобы утилизировать по всем правилам», — отметил Андрей Арсентьев.
Наибольший заявленный ущерб в результате одного инцидента составил $534 млн. Такую сумму потеряла японская криптобиржа Coincheck, в результате компрометации данных онлайн-кошелька (hot wallet). Злоумышленники смогли вывести средства со счетов компании.
Самый крупный штраф за утечку персональных данных —
порядка $148 млн — был назначен американской прокуратурой компании Uber. В результате атаки сервис такси лишился личной информации 57 млн клиентов и водителей, в том числе порядка 25 млн резидентов США. Кроме того, Uber проигнорировал правила оповещения об инцидентах и предпочел выплатить злоумышленникам $100 тыс. в обмен на гарантии удаления украденной информации, однако об инциденте все же стало известно.
Андрей Арсентьев отметил: «В 2018 году регуляторы в области защиты информации стали чаще наказывать организации за допущенные нарушения. Есть немало примеров, когда штрафы за утечку достигали многомиллионных значений».