Экспертно-аналитический центр группы компаний InfoWatch представил исследование структуры утечек персональных данных (ПДн) в мире и в России за 2019 год. Выяснилось, что в общей совокупности зарегистрированных утечек доля умышленных и неумышленных утечек ПДн как основного вида конфиденциальной информации в мире составила 74,8% случаев, а в России 85,2%. Общее число скомпрометированных записей персональных данных за год — более 13,7 млрд единиц : имена и фамилии, адреса электронной почты, контактные телефоны, сведения о постоянном месте проживания, номера социального страхования. Таким образом, число скомпрометированных записей личной информации почти вдвое превысило мировое население, то есть многие люди неоднократно становились жертвами утечек ПДн по вине внешних злоумышленников и персонала различных компаний.

В рамках исследования экспертно-аналитическим центром InfoWatch изучены 1 748 случаев утечек персональных данных из коммерческих компаний, государственных органов и организаций, зарегистрированные во всем мире, в том числе 322 утечки в России. Для итоговой классификации были выбраны только основные типы данных, которые касаются личности человека, его основных документов как гражданина, специалиста и собственника, а также контактной информации и медицинского обслуживания. Сравнение с 2018 годом показало рост утечек ПДн на 22,5% в мире и на 56% в России. При этом доля умышленных утечек ПДн в мире за 2019 год составила 60,2%, в России 48,6%.

По словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсентьева, «обращает на себя внимание то, что в России существенно чаще, чем в мире „утекают“ телефонные номера, включая детализацию вызовов, и паспортные данные — каждый из данных типов можно встретить более чем в 30% утечек. На наш взгляд, такое положение связано, с одной стороны, с высокой ликвидностью контактов, , информации, составляющей тайну переговоров, и сведений из официальных документов на черном рынке — такие данные достаточно легко конвертируются в „живые деньги“. Такое положение также говорит о недостаточном уровне защищенности хранилищ с телефонными номерами и паспортными данными в России. Такие типы данных уязвимы прежде всего перед лицом внутренних угроз». В то же время в глобальном масштабе существенно чаще, чем в России, «утекают» адреса, даты рождения, адреса электронной почты, учетные данные (пароли) и ключевые идентификаторы налогоплательщиков — номера SSN в США и их аналоги в других странах. Зарубежные внутренние нарушители в несколько раз чаще, чем их российские «коллеги», воруют медицинскую информацию. Данные пациентов считаются одними из самых востребованных на черном рынке ряда стран, особенно в США, где развита страховая медицина. Цена одной записи из клиники может составлять сотни и даже тысячи долларов.

Среди каналов утечек в мире доминирует Сеть, на нее приходится более 60% утечек в России и почти 70% в мире. При этом в России за прошлый год резко выросла доля утечек посредством сервисов мгновенных сообщений. Так, на этот канал приходится почти четверть зарегистрированных утечек умышленного характера.

Стоит отметить, что в России через канал электронной почты в 2019 г. утечки ПДн происходили довольно редко. Это справедливо как для умышленных нарушений, так и для утечек случайного характера. «Судя по всему, отечественные компании и госорганы научились контролировать электронную переписку через свои серверы с помощью DLP. Попытки передачи конфиденциальных данных блокируются с высокой степенью надежности. Кроме того, нарушители, узнав об установленной в компании системе предотвращения утечек, не рискуют пересылать внутреннюю информацию по защищаемым каналам», — говорит Андрей Арсентьев.

В результате исследования эксперты делают вывод о том, что в цифровую эпоху каждая единица информации о человеке приобрела вполне реальную, осязаемую ценность, а утечки персональных данных все больнее бьют по организациям, особенно по коммерческому сектору. Каждый подобный инцидент чреват тем, что личные данные попадут в руки конкурентов или мошенников. Как следствие, происходит отток клиентов из компаний, многие люди становятся жертвами фишинговых атак, в ходе которых мошенники используют полученные из баз с утечками персональные данные. Кроме того, утечка — это потенциально мощный удар по деловой репутации и вероятные штрафы со стороны регуляторов, прежде всего в США и странах Евросоюза.