Для того чтобы понять перспективу, за последние шесть месяцев 2016 года было потеряно или украдено всего лишь 721 миллион записей, то есть зафиксирован 164% -ное увеличение числа украденных записей. На самом деле эти цифры могут быть еще выше, ведь почти 60% общего числа нарушений включают неизвестное число скомпрометированных записей (аналогично утечке Yahoo , которая вначале была заявлена как просто серьезное нарушение, а со временем стало известно об утечке более 3 миллиардов записей).
Можно ли уменьшить количество утечек? Наверное – да. Сделать это можно только благодаря специальному обучению сотрудников с целью повышения их информированности, чтобы улучших их отношение к безопасности.
Под угрозой малые предприятия
Согласно отчета Symantec Internet Security Threat Report из-за того что малые предприятия имеют куда меньше ресурсов для создания и эксплуатации необходимых механизмов защиты (будь то нехватка персонала или бюджета).
Однако куда тревожнее статистика которая подтверждает что почти 90% владельцев малого бизнеса США не понимает что им грозит опасность.
Средняя стоимость нарушения данных в США? 7,35 млн. Долл. США
В 2017 году IBM и Ponemon Institute объединились в своем исследовании полученных данных. Результаты ошеломляют.
- Средняя стоимость нарушения данных:
- В глобальном масштабе средняя стоимость нарушения данных составила 3,62 млн. Долл. США, что на 17% больше, чем в 2013 году
- В США: средняя стоимость нарушения данных составила 7,35 млн. долл. США, что на 25% выше, чем в 2013 году
- Средняя стоимость записи за нарушение
- В глобальном масштабе средняя стоимость за одну запись составила 141 доллар США
- В США: средняя стоимость за одну запись за 225 долларов США
Расходы, связанные с утечкой данных, включают:
- «Потеря клиентов: потеря стоимости клиентов» включает в себя аномальный оборот клиентов (также называемый «ненормальным оттоком»), увеличение активности по приобретению клиентов, потери репутации и снижение деловой репутации». Средний американский бизнес заплатил 4,13 млн. долл. СШАв виде потери расходов клиентов.
- Ответ насообщение о нарушениях в сообщениях: затраты на ответ на утечку данных после публикации. Средний американский бизнес заплатил 1,56 млн. долл. США за расходы на ответные сообщения за нарушение данных.
- Обнаружение и эскалация: затраты на обнаружение и эскалацию включают в себя судебную и следственную деятельность, услуги по оценке и аудиту, управление кризисными командами и коммуникации с исполнительным руководством и советом директоров. Средний бизнес в США заплатил 1,07 млн. Долл. СШАна расходы на обнаружение и эскалацию.
- Уведомление: расходы на уведомление» включают создание контактных баз данных, определение всех нормативных требований, привлечение внешних экспертов, почтовые расходы, обратную связь по электронной почте и создание исходящей связи». Средний бизнес в США заплатил 0,69 млн. Долл. СШАза издержки уведомления.
Плохие пароли, фишинг, небрежные сотрудники помогают нарушителям
- Неустойчивые пароли — это вещь № 1, которуюиспользуют преступники: согласно Verizon DBIR, «В ходе 81% нарушений, связанных с взломом, использовались либо похищенные, либо слабые пароли». Это, безусловно, метод номер один, используемый преступниками для взлома компаний, что на 29% больше, чем в 2016 году. Основная проблема заключается в том, что независимо от политики паролей, устанавливаемой компаниями, сотрудники используют слабые пароли. Более 70% сотрудников повторно используют свои пароли на работе ( в ходе утечки Dropbox было утрачено более 60 миллионов учетных данных пользователя. Это произошло из-за того что сотрудник повторно использовал свой пароль на работе ). Кроме того, сотрудники делятся незащищенными паролями со своими коллегами и ненадежно хранят свои пароли.
- Go Phish — 98% атак, связанны с фишингом: согласно данным Verizon DBIR, нарушители провели атаки социальной инженерии в 43% случаев, а 66% всех вредоносных программ были установлены с помощью вредоносных вложений электронной почты. Фишинг невероятно ценен для хакеров — он позволяет им закрепиться с помощью вредоносного ПО, а затем использовать украденные учетные данные: «95% фишинговых атак, которые привели к утечкам, сопровождались некоторой формой установки программного обеспечения». Более 75% этих нападений были финансово мотивированы. Фишинг-атаки распространены, потомучто хакеры стали экспертами в копировании общих сервисов, таких как Google Docs , а небрежные сотрудники легко обманываются запросами на конфиденциальную информацию, такую ??как учетные данные и/или пароли. Для примера, в компании с более чем 30 сотрудниками, 15% уникальных пользователей были успешно атакованы с помощью фишинга, и 3% уникальных пользователей были успешно атакованы таким же способом несколько раз.