| Несмотря на столь высокую частоту подобных инцидентов, 46% организаций даже после обнаружения утечки данных не предприняли никаких мер к внедрению средств шифрования информации, а 82% не удосужились посоветоваться с юристами, прежде чем принимать меры реагирования, хотя и не имели готового плана действий на случай утечки данных. Исследование, озаглавленное «Как утечка данных влияет на бизнес» (The Business Impact of Data Breach), содержит результаты опроса более чем 700 работающих в США руководителей высшего звена, менеджеров и специалистов по IT-безопасности, представляющих средние и крупные предприятия всех отраслей промышленности. Анализ результатов исследования показывает, что бизнес прилагает титанические усилия по внедрению надлежащих политик и мер контроля, чтобы быть готовым эффективно противостоять юридическим, нормативным и финансовым рискам, связанным с нарушениями безопасности. Кроме того, многие владельцы бизнеса опасаются возможных долгосрочных угроз, которые могут негативно повлиять на лояльность клиентов и корпоративную репутацию. Ключевые результаты исследования таковы:
Более 85% организаций-респондентов сообщили о том, что им уже приходилось в собственной практике сталкиваться с утечкой данных. Менее 43% из упомянутых в предыдущем пункте организаций имели план действий на случай обнаружения утечки данных, а 82% не обращались за юридической консультацией в процессе принятия решения о мерах реагирования. После имевшей место утечки данных 46% организаций не приняли никаких мер по внедрению технологий шифрования на мобильных устройствах. 95% организаций, пострадавших от утечки данных, вынуждены были сообщить фигурировавшим в этих данных людям или организациям, что связанная с ними информация оказалась утраченной либо похищенной. 97% упомянутых извещений были сделаны в соответствии с требованиями законодательства тех штатов, в которых это случилось. 58% извещений было сделано согласно требованиям федеральных законов о защите информации — таких, как HIPAA (Health Insurance Portability and Accountability Act — Акт о преемственности и подотчётности медицинского страхования), GLBA (Gramm-Leach-Bliley Act — акт Грэма-Лича-Блилея) и нормативы OCC (Office of the Comptroller of the Currency — Управление контролера денежного обращения). Организации, пострадавшие от утечки данных, уделяют значительно больше внимания мерам IT-безопасности и обеспечению сохранности данных, нежели организации, не сталкивавшиеся с этим на практике. 37% респондентов сообщили, что извещения об утечке данных производились методом тотального оповещения, а не точной адресной рассылки. Организации, пострадавшие от утечки данных, понесли убытки и за границей. 74% сообщают о последовавшей за этими событиями потере клиентов. 59% столкнулись с угрозой судебного разбирательства. 33% подверглись риску выплаты штрафов. 32% столкнулись с нежеланием партнеров участвовать в возмещении ущерба. Почти в половине случаев утечка данных была сопряжена с потерей либо кражей оборудования — например, ноутбуков, карманных компьютеров и карт памяти. Вторым по распространенности источником утраты данных явились недобросовестные штатные работники, временные сотрудники либо работающие по контрактам. Несмотря на часто происходящие случаи утечки данных, 42% респондентов заявляют, что расходы их организаций на IT-безопасность в будущем году останутся на прежнем уровне.
«Результаты наших исследований показывают, что сегодня утечка данных представляет собой весьма распространенную проблему для большинства организаций в США, — говорит доктор Лэрри Понемон (Larry Ponemon), основатель и руководитель компании Ponemon Institute. — Мы также выявили, что, несмотря на негативные последствия — затраты на ликвидацию последствий и удар по деловой репутации, многие компании, пережившие утечку данных, не предпринимают соответствующих шагов, чтобы исключить подобные инциденты в будущем. Однако наибольшее мое удивление вызвал тот факт, что во многих компаниях такие меры IT-безопасности, как шифрование данных и авторизация доступа, до сих пор попросту не находят применения». Роберт Скотт (Robert Scott), управляющий партнер в компании Scott & Scott LLP, согласился с этим утверждением, заявив: «Самое важное открытие для меня — то, что 46% респондентов, несмотря на произошедшую у них утечку информации, так и не внедрили в практику технологии шифрования данных, хранящихся на портативны устройствах — таких, как ноутбуки и карманные компьютеры. Шифрование информации — единственный эффективный путь противостояния негативному воздействию на бизнес, вызванному утечкой данных». |
