Сотрудники большинства российских компаний нарушают внутренние правила информационной безопасности. Чаще всего по их вине происходят утечки данных. К такому выводу пришли аналитики разработчика решений в сфере кибербезопасности «СерчИнформ», сообщает РБК.
Результаты исследования
В сентябре-ноябре 2020 года аналитики «СерчИнформ» опросили представителей 1350 компаний СНГ, в том числе 800 организаций из России. Специалисты получили ответы от сотрудников нефтегазовых и ИТ-компаний, предприятий промышленной, транспортной, кредитно-финансовой сфер, а также ритейла, здравоохранения и учреждений госсектора.
- 12% опрошенных ответили, что в их компаниях не происходили внутренние инциденты, связанные с информационной безопасностью.
- 58% респондентов заявили, что фиксировали утечки данных.
- 28% руководителей замечали попытки сотрудников получить взятку или так называемый откат.
- 23% рассказали о порче имущества (в том числе интеллектуальной собственности компании).
- Промышленный шпионаж и работу на конкурентов зафиксировали 16% респондентов.
- Значительная часть подобных инцидентов (40%) совершалась умышленно.
- Чаще всего виновниками становились менеджеры по работе с клиентами (более 40%), бухгалтеры и финансисты (22%), менеджеры снабжения (20%).
- 50% респондентов заявили, что за такие инциденты увольняют сотрудников. Чуть менее 40% делают выговор или устанавливают штраф и лишают премии. 12% участников опроса рассказали, что в таком случае обращаются в суд. Авторы исследования отмечают, что обычно работодателю сложно доказать вину нарушителя, а судебные издержки оказываются выше возможной выгоды от процесса.
Почему сотрудники становятся правонарушителями
- Специалисты «СерчИнформ» отмечают, что чаще всего сотрудники, которые замешаны в таких инцидентах, хотят получить дополнительный заработок.
- Часто на сотрудников банков или телеком-операторов злоумышленники выходят сами, провоцируя слив информации.
- Зачастую сотрудники компаний при увольнении забирают часть корпоративной информации, считая ее личными наработками.
- Также зафиксированы случаи, когда работник идет на нарушение информационной безопасности из мести работодателю.
Рост случаев потери информации
Согласно исследованию разработчика защитного софта Zecurion, в 2020 году с утечками информации столкнулись 87% компаний против 67% годом ранее.
- Увеличилось среднее число серьезных утечек, последствия которых могли существенно отразиться на деятельности организации. В 2020 году их было в среднем 5,1 инцидента на компанию против 2,4 в 2019 году.
- В 71% организаций ответили, что сотрудники крали информацию с помощью флешек и других внешних накопителей.
- Эксперты считают, что главная причина роста показателей — переход на удаленную работу. Также эксперты считают, что кражи просто стали чаще замечать.
Случаи утечки данных за последнее время
- 29 апреля 2020 года на продажу выставили данные россиян, оформлявших микрозаймы в 2017–2019 годах. База состояла из 12 млн записей, в которых содержались паспортные данные, телефоны и сведения об электронных кошельках.
- 4 августа стало известно, что на продажу в даркнете выставили данные участников электронного голосования по поправкам в Конституцию. На одном из форумов обнаружили предложение по продаже данных примерно 1,1 млн номеров паспортов избирателей, каждая строка оценивалась $1 при покупке оптом и $1,5 в розницу.
- В начале января 2021 года базу, содержащую данные 1,3 млн зарегистрированных российских пользователей сайта hyundai.ru, выставили на продажу на теневых форумах. Основатель сервиса разведки утечек данных DLBI Ашот Оганесян сообщил, что база продается примерно за $2 тыс.
Рост числа судебных дел из-за утечек данных
По данным сервиса разведки утечек данных DLBI, в 2020 году число судебных дел, которые связаны с хищениями данных, достигло сотни.
- Больше всего увеличилась доля обвинений против сотрудников операторов и салонов сотовой связи — с 44% до 67%.
- Количество переданных в суд дел по продаже данных из госведомств осталось на прежнем уровне. При этом число переданных дел по утечкам из банков выросло на 30%, из коммерческих организаций — увеличилось в 2 раза, а по утечкам у операторов связи — в 3.
Ужесточение наказания за разглашение банковской тайны
- Российская секция Международной полицейской ассоциации (МПА) и департамент кибербезопасности Сбербанка предложили ужесточить ответственность за разглашение коммерческой, налоговой или банковской тайны клиентов. Соответствующую статью могут добавить в Уголовный кодекс РФ.
- Из уже существующей статьи 183 УК РФ «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» предлагается выделить статью 183.1, которая будет касаться исключительно разглашения банковской тайны. Также в новой статье будет обозначен «дополнительный квалифицирующий преступление признак».