...
🧠 Блог посвящен теме VPN и безопасности, конфиденциальности данных в Интернете. Рассказываем про актуальные тренды и новости связанные с защитой.

Более 30 статистических данных и фактов о взломе данных: частота, влияние и др.

142
Содержание

Утечки данных происходят постоянно и имеют разрушительные последствия как для частных лиц, так и для предприятий. Мы раскрываем некоторые тревожные статистические данные и факты об утечках данных и объясняем тенденции, которые мы наблюдаем в глобальном масштабе.

Кажется, что каждый раз, когда мы читаем новости в наши дни, мы узнаем о взломе информации миллионов людей. Итак, насколько серьезна проблема утечки данных и какое влияние она оказывает на людей и компании? Мы раскрываем самую интересную и свежую статистику и факты утечки данных, многие из которых очень сбивают с толку.

Мы также рассмотрим законы, касающиеся утечки данных, и то, что люди могут сделать, чтобы выдержать последствия утечки данных. Перейдем к фактам.

Статистика и факты утечки данных

Мы собрали наиболее интересную статистику утечки данных и факты из недавних исследований:

1 49% компаний США испытали утечку данных.

В отчете Thales Data Threat Report за 2020 год, подготовленном Международной корпорацией данных (IDC), приняли участие 1200 руководителей из девяти стран, представляющих ряд отраслей. Выяснилось, что почти половина американских компаний пострадали от утечки данных в прошлом, хотя это число могло быть больше, учитывая, что многие нарушения остаются незамеченными в течение длительного времени. Это сокращение по сравнению с прошлым годом, когда 65% компаний испытали нарушения.

2 За последние 10 лет в Калифорнии произошло больше утечек данных, чем в любом другом штате.

В исследовании VPN Inform 2019 года изучалось количество утечек данных, с которыми столкнулись компании в каждом штате, а также соответствующее количество обнаруженных записей. Калифорния была лидером с 1 493 нарушениями и 5,6 млрд. Записей с 2008 года. На втором месте оказался Нью-Йорк с 729 нарушениями и обнаруженными 293 миллионами записей, а третье место занял Техас с 661 утечкой и 288 миллионами обнаруженных записей.

3 Хакерская атака происходит каждые 39 секунд.

Компьютеры, проанализированные в исследовании Университета Мэриленда, подвергались атакам в среднем 2244 раза в день. Это означает, что отдельный компьютер может подвергаться атакам чаще, чем раз в минуту.

4 Одна из первых утечек данных за 2020 год – 250 миллионов записей.

Начало в 2020 году у Microsoft было несколько неудачным. В январе мы сообщали, что в компании произошла массовая утечка данных, включая более 250 миллионов журналов поддержки клиентов за более чем десятилетний период.

5 Три года спустя компании, столкнувшиеся с нарушением, отстают от рынка более чем на 15%.

В исследовании VPN Inform 2018 года изучались цены на акции 24 компаний, зарегистрированных на Нью-Йоркской фондовой бирже, которые испытали серьезные утечки данных. Мы обнаружили, что через две недели (с даты обнародования нарушения) цены на акции упали в среднем на 2,89%. Хотя после этого цены на акции имеют тенденцию к восстановлению, когда мы посмотрели на долгосрочные результаты, мы обнаружили, что цены на акции затронутых компаний не соответствовали среднему показателю NASDAQ. Через год после взлома компании отставали от NASDAQ на 3,7%, а через три года компании отставали от NASDAQ в среднем на 15,58%.

6 26% компаний США испытали утечку данных за последний год.

В прошлом году вышеупомянутое исследование Thales показало, что почти треть американских компаний сообщили о нарушении целостности данных. Опять же, это может быть больше из-за возможности еще не обнаруженных нарушений.

7 Половина организаций тратит только 6–15% своего бюджета на безопасность данных.

Один из ключевых выводов исследования IDC заключался в том, что, несмотря на огромную угрозу, которую представляют утечки данных, многие организации не выделяют значительную часть своего бюджета на защиту данных.

8 28% утечек данных коснулись жертв малого бизнеса.

Отчет Verizon 2020 о расследовании утечек данных основан на анализе более 40 000 инцидентов безопасности, включая более 2 000 подтвержденных утечек данных. Он предоставляет нам множество интересных фактов, в том числе о том, кто причастен к утечке данных. Почти треть атак затрагивает малый бизнес, в то время как подавляющее большинство нацелено на более крупные компании.

См. Также: Повышение кибербезопасности для малого бизнеса

9 Крупные нарушения, связанные с облаком, становятся обычным явлением.

Отчет Sophos 2020 Threat Report исследует тенденции в области кибербезопасности. Он ссылается на небольшие неправильные настройки в облачных системах хранения данных как на потенциально серьезные нарушения. Это приводит к тому, что платформы невероятно сложны и часто меняются. Достаточно одной маленькой ошибки со стороны администратора, чтобы непреднамеренно открыть для публики всю базу данных.

10 Организованные преступные группы несут ответственность за 55 процентов нарушений.

Отчет Verizon также дает представление о том, кто несет ответственность за атаки. Интересно, что более трети нарушений совершаются организованными преступными группами. Также следует отметить, что почти одна треть связана с внутренним персоналом, а более двух третей – с посторонними. Неудивительно, что 70% утечек данных имеют финансовую мотивацию.

11 22% утечек данных связаны с фишинговыми атаками.

В своем исследовании Verizon стремился выяснить, как происходят нарушения, и обнаружил, что почти одна треть связана с фишинговыми атаками, 37 процентов – с взломом, а 17 процентов – с вредоносным ПО.

12 Время обнаружения 60% утечек данных составляет месяцы или больше.

Хотите знать, сколько времени требуется компаниям, чтобы обнаружить нарушения и отреагировать на них? Отчет Verizon показывает, что это не так быстро, как хотелось бы, особенно учитывая, что украденные учетные данные участвуют в 37% взломов. Более половины компаний тратят месяцы на обнаружение взлома, и к тому времени, когда компания рассылает рассылку по электронной почте, предлагая клиентам сменить пароли, может быть уже слишком поздно.

13 Почти 8000 веб-сайтов в квартал подвергаются взлому с помощью кода формджекинга.

В Formjacking злоумышленники используют код JavaScript для взлома платежных форм веб-сайтов, таких как те, что используются на сайтах электронной коммерции. Также называемый скиммингом цифровых карт, он используется как средство кражи информации о кредитных картах, а также других ценных данных. Согласно Symantec Threat Landscape Trends – Q1 2020, в первом квартале 2020 года было взломано 7836 сайтов. Это больше, чем 7663 сайта в предыдущем квартале.

Источник: Symantec

14 Число атак корпоративных программ-вымогателей растет.

Атаки программ-вымогателей (которые удерживают файлы или системы в заложниках) представляют огромную угрозу безопасности данных. Согласно Symantec Security Summary – July 2020, злоумышленники нацелены на крупные организации, в том числе несколько компаний из списка Fortune 500, с помощью программы-вымогателя WastedLocker. На момент составления отчета атаки на 31 организацию уже были выявлены.

15 Реквизиты карты American Express приносят 35 долларов в теневой экономике.

По имеющимся данным, клонированная карта с PIN-кодом может быть продана за 15-35 долларов, причем наиболее ценными являются реквизиты American Express. Между тем учетные данные онлайн-банкинга для счетов, на которых есть 2000 долларов или более, можно продать за 65 долларов.

16 Учетные данные учетной записи Gmail в среднем стоят 156 долларов.

Хотя эта цифра кажется высокой, это имеет смысл, если учесть, что многие люди связывают другие учетные записи со своей учетной записью Gmail. Таким образом, доступ к Gmail может позволить злоумышленнику сбросить пароли на нескольких платформах.

17 За первые три квартала 2020 года количество утечек данных снизилось.

По данным Ресурсного центра по краже личных данных, количество утечек данных за первые девять месяцев 2020 года снизилось на 30 процентов по сравнению с тем же периодом 2019 года. Число пострадавших превысило 292 миллиона человек, что на 60 процентов меньше, чем в 2019 году. Одна из возможных причин Дело в том, что по мере того, как в результате пандемии организации перешли на модель удаленной работы, они стали больше осведомлены о проблемах кибербезопасности и ужесточении правил.

18 В 2019 году было зарегистрировано более 2000 утечек данных.

Отчет Verizon о расследовании утечек данных за 2019 год выявил 41 686 инцидентов безопасности, включая 2013 утечки данных по всему миру. Наиболее сильно пострадал государственный сектор, в котором произошло 23 399 инцидентов, 330 из которых подтвердили раскрытие данных.

19 Крупнейшая утечка данных в 2020 году затронула более 5 миллионов клиентов Marriott.

Хотя это и не так велико, как в прошлые годы, в результате крупнейшего инцидента с данными в 2020 году было нарушено 5,2 миллиона записей. Это был еще один удар для Marriott, учитывая, что в памяти людей все еще хранится серьезная брешь в 2018 году.

В 2019 году утечка данных Zynga затронула 218 миллионов человек. Очередной массовый взлом 16 веб-сайтов затронул более 600 миллионов учетных записей, при этом наибольший ущерб пришелся на пользователей Dubsmash, примерно 162 миллиона из них.

Marriott International нарушение было зарегистрирован самым крупным нарушением 2018 года, с участием до полторы миллиардов записей. Не слишком далеко позади было нарушение Exactis, в результате которого было утекло 340 миллионов записей.

20 8,64 миллиона долларов – это сколько в среднем обходится в утечку данных в США.

Отчет IBM о стоимости утечки данных за 2020 год основан на интервью с более чем 3200 профессионалами из более чем 500 компаний по всему миру. Все представленные компании испытали утечку данных в течение 12 месяцев до этого.

Хотя общее количество зарегистрированных утечек данных, похоже, со временем сокращается, отдельные нарушения становятся более дорогостоящими и влекут за собой потерю или кражу все большего числа записей о потребителях.

Из всех нарушений, рассмотренных в исследовании, средняя стоимость взлома в США составила 3,86 миллиона долларов, причем в США была самая высокая средняя стоимость. В эту стоимость входят такие вещи, как потеря бизнеса, расходы на уведомление и другие убытки. Сектором с самой высокой средней стоимостью было здравоохранение – 7,13 миллиона долларов.

21 Стоимость каждой украденной записи при утечке данных составляет 150 долларов.

То же исследование IBM показало, что средняя стоимость одной украденной записи составляет 150 долларов, что немного выше, чем 148 долларов в предыдущем году.

22 Использование группы реагирования на инциденты может снизить среднюю стоимость утечки данных на 2 миллиона долларов.

В отчете за предыдущий год эффект от наличия группы реагирования на удары был не слишком велик, сэкономив всего 360 000 долларов. Последние данные предполагают гораздо большую экономию в размере 2 миллионов долларов на средней стоимости взлома. Автоматизация безопасности предлагает еще большую экономию – 3,58 миллиона долларов.

Источник: IBM

23 Потеря бизнеса из-за утечки данных стоит в среднем 1,52 миллиона долларов.

IBM разделила стоимость утечки данных на четыре основных компонента: обнаружение и эскалация, уведомление, реакция после взлома и потерянный бизнес. На последний приходилось в среднем 1,52 миллиона долларов затрат, что составляет 39,4 процента от общих средних затрат.

Обнаружение и эскалация, уведомление и реагирование после взлома обходятся в среднем в 1,11 миллиона долларов (28,8 процента), 0,24 миллиона долларов (6,2 процента) и 0,99 миллиона долларов (25,6 процента), соответственно.

24 Ущерб от 1 до 10 миллионов записей стоит в среднем 50 миллионов долларов.

Для сравнения: IBM раскрывает среднюю стоимость нарушения данного размера (с точки зрения количества записей). Мега-нарушение, затрагивающее от 1 миллиона до 10 миллионов записей, стоит 50 миллионов долларов, что на 19 процентов больше, чем в 2019 году. Нарушение, затрагивающее более 50 миллионов записей, стоило в среднем 392 миллиона долларов по сравнению с 388 миллионами долларов в предыдущем году.

Источник: IBM

25 Человеческая ошибка является причиной 23% утечек данных.

Не всегда киберпреступники несут ответственность за утечки данных, и, по данным IBM, почти четверть таких нарушений можно было бы избежать. Этот показатель немного ниже 24 процентов в 2019 году.

26 На выявление и устранение нарушения требуется в среднем 280 дней.

На обнаружение и локализацию нарушений в 2020 году (280 дней) ушло немного больше времени, чем в 2019 году (279 дней). Из стран, опрошенных IBM, в Бразилии было одно из самых медленных сроков реагирования: компаниям требовалось в среднем 380 дней на выявление и устранение нарушений.

27 41 процент компаний оставляют более 1000 конфиденциальных файлов открытыми для всех.

В Глобальном отчете о рисках данных Varonis за 2019 год анализируются оценки рисков данных (в общей сложности охватывающие более 6 миллиардов файлов), проведенные инженерами Varonis, чтобы определить степень раскрытия критически важной и конфиденциальной информации внутри компаний.

Одна область интереса – это количество папок, открытых для просмотра любым сотрудником компании. 22% всех папок остаются открытыми, а в 51% компаний каждому сотруднику открыто более 100 000 папок.

Но, возможно, большее беспокойство вызывает ситуация, когда важные файлы остаются открытыми. К конфиденциальным файлам относятся файлы, содержащие информацию о кредитных картах, медицинские записи или регулируемую информацию, например, регулируемую GDPR, PCI или HIPAA. Действительно, исследование показало, что 17% всех конфиденциальных файлов доступны любому сотруднику.

Источник: Герой

28 58 процентов компаний имеют несогласованные разрешения, связанные с более чем 1000 папок.

В том же исследовании Varonis были обнаружены проблемы с несогласованными разрешениями. Несогласованные разрешения возникают в ситуациях, когда файлы или папки наследуют дополнительный контроль доступа или не могут наследовать контроль доступа. Первое может привести к тому, что пользователям будет предоставлен доступ, когда они этого не должны, и представляет собой угрозу безопасности. Когда файлы не могут наследовать элементы управления доступом, пользователи могут быть непреднамеренно лишены доступа, что также может вызвать проблемы.

58 процентов компаний имеют более 1000 папок с несовместимыми разрешениями, это означает, что большинство компаний не знают точно, у кого есть доступ к определенным данным.

29 В 2019 году количество открытых записей PII снизилось на 41% по сравнению с 2018 годом.

Центр ресурсов по краже личных данных (ITRC) изучает общедоступные раскрытия информации о нарушениях данных и опубликовал свои основные выводы за 2019 год. Было обнаружено, что количество записей, содержащих личную информацию (PII), сократилось на 41 процент. Однако следует отметить, что в 2018 году это число резко выросло на 127 процентов по сравнению с предыдущим годом.

Источник: ITRC

30 Деловой сектор испытал наибольшее количество утечек данных в 2019 году.

ITRC смотрит, в каких секторах больше всего нарушений. Бизнес-сектор возглавлял список с 644 нарушениями (по сравнению с 571 в прошлом году), а на втором месте была сфера здравоохранения с 525 нарушениями в 2019 году (по сравнению с 363 в 2018 году).

31 Кибератаки и мошенничество с данными названы одними из самых серьезных глобальных рисков.

В аналитическом отчете Всемирного экономического форума за 2020 год описываются самые большие глобальные риски, включая стихийные бедствия и оружие массового уничтожения. Кибератаки и мошенничество с данными занимают третье место с точки зрения наибольшего беспокойства для компаний (опережая проблемы инфекционных заболеваний) и восьмое место по наиболее вероятным последствиям для всего мира.

Источник: WEC

Сообщение об утечке данных

До недавнего времени было обычным делом узнавать об утечке данных задолго до того, как это произошло. Мы можем узнать о крупном взломе через несколько месяцев или даже лет после этого. В некоторых случаях это могло быть связано с тем, что сама компания долгое время не обнаруживала нарушения. Однако в других случаях выясняется, что предприятия скрывают нарушения или окружающие их факты, чтобы предотвратить нанесение ущерба репутации компании.

Например, в 2017 году выяснилось, что Uber скрыл утечку данных 2016 года, затронувшую 57 миллионов клиентов. А совсем недавно, в октябре 2018 года, Google признал нарушение данных, затронувшее полмиллиона пользователей, которое началось три года назад и было обнаружено в марте 2018 года.

Очевидно, что неуведомление клиентов о нарушении представляет собой огромную угрозу конфиденциальности, поскольку они не будут знать, что предпринять меры для смягчения любого потенциального ущерба. Например, если вы знаете, что ваш пароль был взломан, вы измените свой пароль.

Чтобы защитить право граждан знать, когда была нарушена их конфиденциальность, во многих странах сейчас действуют твердые законы, предписывающие, что компании должны делать в случае обнаружения утечки данных. Эти законы сосредоточены на сообщении о нарушениях и уведомлении клиентов, но могут также регулировать такие вещи, как порядок регистрации и хранения информации о нарушениях.

Например, в конце 2018 года Канада внесла изменения в Закон о защите личной информации и электронных документов (PIPEDA), в которых четко изложено, как организации, подпадающие под действие закона, должны реагировать на утечку данных. Также в 2018 году Алабама стала последним штатом США, принявшим закон об уведомлении об утечке данных.

Что могут сделать люди в случае утечки данных?

Физические лица в значительной степени зависят от компаний в защите их информации. Они также верят, что они будут уведомлены как можно скорее после обнаружения нарушения. При этом есть несколько шагов, которые вы можете предпринять для защиты своих данных:

  • Используйте надежные уникальные пароли: таким образом, даже если у кого-то есть ваше имя пользователя или адрес электронной почты, им будет сложно взломать учетную запись. Хорошей идеей являются длинные строки букв, цифр и символов. Пароли также должны быть уникальными для каждой учетной записи, чтобы предотвратить использование хакерами информации для входа в взломанную учетную запись на других учетных записях, атака, известная как заполнение учетных данных. Вы можете использовать менеджер паролей, который поможет вам создавать и запоминать пароли.
  • Придерживайтесь предупреждений: если вы узнали о нарушении в новостях или получили уведомление от компании, с которой имеете дело, действуйте немедленно. Немедленно измените свой пароль и узнайте, какая информация могла быть взломана, чтобы вы могли принять меры. Например, если произошла утечка номера вашей кредитной карты, вы можете заменить его.
  • Остерегайтесь фишинговых писем: хотя вы должны серьезно относиться к уведомлениям о взломах, обратите внимание, что это также может быть тактика, используемая киберпреступниками. Мошенники могут рассылать фишинговые письма (под видом писем для сброса пароля), ведущие на поддельные (фишинговые) сайты, предназначенные для кражи информации, такой как учетные данные для входа. Если вы все-таки получили электронное письмо для сброса пароля, убедитесь, что оно законное, проверив общие признаки фишингового письма, такие как неправильное название компании или плохая грамматика. Вы также можете полностью пропустить ссылки и перейти прямо на сайт компании, чтобы изменить свой пароль.
  • Ищите безопасные сайты: при выполнении действий в Интернете, особенно связанных с финансовой или личной информацией, убедитесь, что вы используете надежный веб-сайт (тот, который начинается с https: //). Даже если вы заметили выгодную сделку, не стоит передавать вашу платежную информацию компании, которая не собирается защищать ваши данные.
  • Используйте VPN: избегайте таких вещей, как онлайн-банкинг и покупки при подключении к общедоступным сетям Wi-Fi. Использование VPN может зашифровать ваше соединение и защитить ваши данные от хакеров и других злоумышленников, даже при использовании незащищенного Wi-Fi.
  • Используйте двухфакторную аутентификацию (2FA): если ваши учетные данные раскрываются в результате утечки данных, двухфакторная аутентификация или двухэтапная аутентификация (2SV) могут помешать преступнику получить доступ к вашей учетной записи.
  • Пользуюсь , меня одолели?: Зарегистрируйтесь на этом веб-сайте, чтобы получать быстрое уведомление в случае, если ваш адрес электронной почты был причастен к утечке данных. Обратите внимание, что вам нужно регистрироваться отдельно для каждого адреса электронной почты, который вы используете.
  • Следите за своими счетами: вы не всегда можете быть уверены, что финансовое учреждение или платежная платформа обнаружат что-то не так с вашей учетной записью. Регулярно проверяйте выписки, чтобы убедиться, что никто не имеет доступа, и проверяйте свой кредитный отчет, чтобы убедиться, что на ваше имя не открывались новые счета. Не забудьте также проверить счета лояльности и вознаграждения; о них часто забывают, но они могут иметь большую ценность для преступников. Службы защиты от кражи личных данных могут автоматизировать некоторые из этих проверок.

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее