Когда компании основывают свои исследования по безопасности по результатам анализа информации, почерпнутой из СМИ, я всегда очень горжусь, ибо сам являюсь журналистом. Мне приятно, что моя работа не проходит даром - кто-то её использует и даже анализирует. Хотя я, естественно, понимаю, что полноценным источником информации в том числе и об утечках служить не могу - далеко не все утечки я могу зафиксировать, а главное расследовать причины их возникновения. Собственно, это подтверждает и исследование, которое недавно опубликовала компания Zecurion, в котором указано, что только 0,1% утечек информации фиксируется в СМИ.

Тем не менее его авторы основывают свои выводы на таком сомнительном с точки зрения качества источнике информации. По моим представлениям число утечек, сведения о которых опубликованы в СМИ, зависит не от реального числа утечек, а от интереса СМИ к проблеме сохранности информации. Поэтому стабилизация числа зафиксированных таким образом утечек, которую зафиксировали аналитики Zecurion, говорит лишь о том, что интерес журналистов к этой проблеме стабилизировался, а не о улучшении ситуации с защитой от утечек.

Впрочем, этот показатель сильно зависит и от страны, ибо в некоторых странах есть законодательное требование по обнародованию сведений об утечках чувствительной для пользователях информации, что приводит к увеличению доли зафиксированных утечек в этих странах. Кроме того, нарушается статистика утечек по типам - сведения нужно публиковать только при утечке персональных данных, но не, например, технологических секретов. В результате, рейтинг показывает скорее уровень законодательства в отдельных странах, но не реальную ситуацию с типами утечек.

Компания Zecurion также опубликовала оценку ущерба от утечек, которая составила чуть больше 20 млрд. долл. Правда, эта цифра потерь компаний от утечек на юридические выплаты, поправку своего имиджа, закупку новых средств и другие расходы, но это не деньги, которые заработали представители чёрного рынка на перепродаже этих секретов. Скорее всего, цифры доходов продавцов секретов значительно скромнее, а указанные миллиарды пошли на развитие рынков ИБ, страховых услуг и даже в PR, что меня не может не радовать.

В то же время опасны далеко не все утечки, о которых пишут в пресса. В самом исследовании приводится пример утечки, когда документы с данными сотрудников спецподразделений были просто выброшены на свалку. Ценность этого действия для чёрного рынка нулевая, ибо ну не пойдут охотники за секретами изучать несанкционированные свалки - они работают по другому. То есть утечка, безусловно, была, но опасность её стремится к нулю - ибо данные вряд ли попали бы в руки злоумышленников. Да и вообще, мне представляется, что большинство случайных утечек персональных данных, типа забытой в такси флешки или неочищенной памяти в телефоне - неопасны для их владельцев, поскольку вероятность попадания этих сведений к злоумышленникам минимальна.

Впрочем, в исследовании есть определенная ценность, которая связана с тем, что часть информации компания публикует по собственному опыту - это прежде всего примеры утечек, которые опубликованы в конце отчёта. Впрочем, и популярные методы утечек (20,5% через веб-сервисы), и организации, откуда данные утекают (20,1% утечек из образовательных заведений) названы, скорее всего, правильно, что может подсказать рынку как направление дальнейшего развития, так и новые методы продаж. Так что прочитать исследование всё-таки стоит, делая поправку на "родимые пятна" предлагаемого метода.