Привет, Хабр! Мы с новым переводом. Нашли отличный сборник глобальной статистики в сфере информационной безопасности за период с 2020 по 2022 год. Подборку цифр из различных отчетов об утечках данных, инсайдерах и осведомленности сотрудников об информационной безопасности сделали эксперты Security Mentor. Ниже почти полный перевод этой «энциклопедии».
Мы выбрали отсылки на самые интересные и показательные исследования, перевели и добавили несколько собственных.
Тренды в сфере информационной безопасности
В 2020 году киберугрозы попали в квадрант наивысшего риска в глобальном ландшафте рисков. Причина – как степень наибольшего влияния, так и самая высокая вероятность наступления рисков (Global Risks Report 2020, World Economic Forum).
Предотвращение утечек данных – главный приоритет для ИТ отрасли и второй для безопасности организаций (2020 Cybersecurity Outlook Report, VMware/Carbon Black).
Вероятность ареста киберпреступника составляет менее 1% от общего числа ежегодных киберинцидентов в США (To Catch a Hacker, Third Way).
Количество утечек данных, о которых публично заявили в 2021 году, на 17% превышает общее количество инцидентов в 2020 году (2021 Q3 Data Breach Analysis, ITRC).
Киберинциденты вошли в тройку главных бизнес-рисков (Allianz Risk Barometer, Allianz).
Киберпреступники чаще всего атаковали организации из финансового и страхового сектора (X-Force Threat Intelligence Index 2021).
18% BEC-атак произошли в компаний, предоставляющих финансовые услуги (Top Industries Targeted by Cyberattacks).
Мошенничество с похищением учетных записей выросло на 850%, при этом большинство атак были сосредоточены на криптовалютах и цифровых кошельках. В 2020 год ущерб от киберпреступлений, связанных с криптовалютой, составил 1,9 млрд долларов (Q3 2021 Digital Trust & Safety Index).
Ущерб от киберпреступлений
В 2020 году предполагаемый ущерб от киберпреступлений увеличился больше чем на 50% за два года и превысил 1 триллион долларов (The Hidden Costs of Cybercrime, McAfee).
В отрасли здравоохранения средняя стоимость взломанной записи в 2020 году составила 499 долларов (Healthcare Breach Report 2021, Bitglass).
Фишинг был главным киберпреступлением в США в 2020 году, на него пришлось более 30% всех жертв. BEC-атаки привели к финансовым потерям в размере 1,86 млрд долларов (Internet Crime Report 2020, FBI).
Человеческий фактор
85% утечек данных происходят из-за «человеческого фактора» (2021 Data Breach Investigations Report, Verizon). По данным ежегодного исследования «СёрчИнформ», в 2021 году 66% инцидентов в ИБ были неумышленными.
Сотрудники знают о своей ответственности в случайных утечках. 43% сотрудников «очень» или «почти» уверены, что они допустили ошибки на работе, которые повлияли на безопасность (The Psychology of Human Error, Tessian).
55% ИТ-руководителей ожидают, что сотрудники будут предупреждать их о киберинцидентах. При этом в 89% случаев вовлеченным в инциденты сотрудникам пришлось столкнуться с негативными последствиями этих инцидентов. Только у 54% работников обладают специальными профильными знаниями в области ИБ. (Egress Insider Data Breach Survey 2021).
С 2016 года число инцидентов, связанных с инсайдерскими угрозами, увеличилось в три раза (Cost of Insider Threats Global Report, Ponemon Institute).
59% ИБ-руководителей ожидают, что число инсайдерских рисков вырастет в течение следующих двух лет (2021 Data Exposure Report)
Ущерб от инсайдеров составляет 11,45 млн долларов США для компаний с численностью сотрудников более 1000 человек (2020 Cost of Insider Threats: Global Report).
73% корпоративных устройств содержат конфиденциальные данные (2021: Endpoint Risk Report)
Только 36% российских компаний оснащены DLP-системами для предотвращения внутренних инцидентов (глобальное исследование «СёрчИнформ», 2021 год)
Утечки данных
Количество записей, скомпрометированных в результате утечек данных, увеличилось на 141% (2020 Year End Data Breach QuickView Report, RiskBased Security).
Средняя стоимость утечки данных выросла до 4,24 млн долларов. Это самый высокий показатель за последние 17 лет (Cost of a Data Breach Report 2021, Ponemon Institute и IBM Security).
Количество утечек данных в сфере здравоохранения увеличилось на 55% в 2020 году по сравнению с предыдущим годом (Healthcare Breach Report 2021, Bitglass). По данным исследования «СёрчИнформ» в 2019 сфера здравоохранения лидировала по количеству утечек – на нее пришлось 69%. При этом половина организаций замалчивали факт происшествия (глобальное исследование «СёрчИнформ», 2019 год).
Среднее время выявления утечки данных и устранения последствий инцидента составило 280 дней (Cost of a Data Breach Report 2020, Ponemon Group и IBM Security).
В 2021 году в сфере здравоохранения произошло более 250 утечек данных, в результате которых 17 млн записей с медицинской информацией оказались в открытом доступе (DHS Breach Portal).
Фишинг
Ежедневно злоумышленники отправляют 3 млрд фишинговых писем (Email Fraud Landscape: Spring 2021, Valimail).
Каждый четвертый сотрудник на работе открывал фишинговое письмо (Email Fraud Landscape: Spring 2021, Valimail).
Фишинг был причиной 36% всех утечек данных (2021 Data Breach Investigations Report, Verizon).
Количество BEC-атак увеличилось на 35% в 2020 году по сравнению с 2019 годом (Statista).
Программы-вымогатели
Число атак с использованием программ-вымогателей увеличилось на 250% в первой половине 2021 года (Global Security Report: Rapid Increase in Ransomware Threats Drives Need for Security Controls That Speed the Kill Chain, Venafi).
В 2019 году 32% атак с использованием программ-вымогателей произошло в сфере энергетики и коммунальных услуг, по 14% атак происходили в госорганах и производственных организациях (2020 Cybersecurity Outlook Report, VMware/Carbon Black).
Интернет вещей (IoT)
Количество вредоносных программ для атак на IoT-устройстваё увеличилось на 700% (Zscaler).
Кибератаки на IoT-устройства увеличились на 35% в первой половине 2020 года (Microsoft Digital Defense Report 2020: Cyber Threat Sophistication on the Rise)
Устройствам IoT по-прежнему не хватает средств защиты (2020 Consumer Threat Landscape Report)
Цифровая гигиена
63% руководителей высшего звена сообщили, что их сотрудники оставляли конфиденциальные документы в открытом доступе (Data Protection Report 2020, Shred-it).
57% сотрудников хранят пароли на стикерах на рабочем столе (Workplace Password Malpractice Report 2021, Keeper Security).
Почти 24% людей использовали 1 в конце своего пароля (Unmasked: What 10 million passwords reveal about the people who choose them, WP Engine).
66% людей в основном или всегда используют один и тот же пароль (Psychology of Passwords, LogMeIn).
В пятерку наиболее часто используемых паролей входят: 123456, 123456789, qwerty, password, 12345 (The top 10 most common passwords worldwide, CyberNews).
44% сотрудников повторно используют пароли в личных и рабочих учетных записях (Workplace Password Malpractice Report 2021, Keeper Security).
51% пользователей и 49% ИТ-специалистов иногда или часто делятся паролями с коллегами (The 2020 State of Password and Authentication Security Behaviors Report, Yubico).
55% людей не используют двухфакторную аутентификацию (The 2020 State of Password and Authentication Security Behaviors Report, Yubico).
Удаленка
54% опрошенных ИТ-руководителей считают, что удаленная работа увеличивает инсайдерскую угрозу (Egress Insider Data Breach Survey 2021, Egress).
20% организаций столкнулись с нарушением правил безопасности сотрудниками, которые работают на удаленке (Enduring from home, Malwarebytes).
56% сотрудников используют персональный компьютер при работе из дома; 25% не знают протоколы безопасности; 20% сотрудников заявили, что их ИТ-отдел не давал советов по работе из дома (2020 WFH Employee Cybersecurity Threat Index, Morphisec).
Три четверти сотрудников сообщили, что распечатывают рабочие документы дома (Data Protection Report 2020, Shred-it).
Предотвращение инцидентов
Только 29% компаний из списка Fortune 100 обучают сотрудников основам киберграмотности, это на 11% больше, чем в 2018 году (What companies are disclosing about cybersecurity risk, EY).
24% руководителей и 54% владельцев малого бизнеса не проходят регулярного обучения основам информационной безопасности (Data Protection Report 2020, Shred-it).
Меньше половины компаний в России внедряют в свою работу серьезные средства защиты от кибератак, а большинство обходится только антивирусом (глобальное исследование «СёрчИнформ», 2021 год).
ИБ-инциденты в 2021-2022 гг.
Компания FlexBooker сообщила об утечке 3,7 млн учетных записей и персональных данных пользователей в результате компрометации серверов Amazon AWS (BleepingComputer).
Broward Health сообщила, что злоумышленник получил доступ к их сети через стороннего поставщика медицинских услуг в октябре 2021 года. Утечка затронула конфиденциальные данные и медицинскую информацию более 2 млн человек (SecurityWeek).
Mimecast, поставщик систем безопасности, сообщил, что хакеры SolarWinds взломали его сеть (Ars Technica). Злоумышленники использовали вредоносное ПО, чтобы получить доступ к сети компании.
Кибератака на оператора связи USCell привела к утечке данных из CRM компании. В результате атаки в открытом доступе оказались данные 4,9 млн клиентов, включая имена, тарифные планы, выписки по счету и PIN-коды (BleepingComputer).
38 млн регистрационных записей транспортных средств в Калифорнии были скомпрометированы в результате атаки с использованием программы-вымогателя на DMV Калифорнии (SFGATE).
Утечка данных у Volkswagen и Audi раскрыла данные 3 млн клиентов и покупателей (CNN).
Неправильно настроенная конфигурация базы данных ElasticSearch привела к утечке 318 млн учетных записей пользователей крупной китайской социальной сети SocialArks (CyberSecurity Magazine).
Kaysea пострадала от атаки программы-вымогателя REvil. Атака затронула 1,5 тысячи клиентов, которые использовали ПО Kaseya (BleepingComputer).
Colonial Pipeline, один из крупнейших трубопроводов в США, подвергся атаке программы-вымогателя. Организации пришлось заплатить 4,4 млн долларов в качестве выкупа за восстановление работы трубопровода (Washington Post).
Поставщик защитного ПО CaptureRX допустил утечку 1,6 млн записей пациентов, которые обслуживались в 14 больницах и организациях здравоохранения. В результате утечки в открытом доступе оказалась такая информация, как имена, даты рождения и рецепты, выписанные пациентам (Becker's Health IT).
Компания Hobby Lobby, из-за неправильно настроенного облачного хранилища, раскрыла базу данных, которая содержала 300 тысяч персональных данных клиентов (Threatpost).
JBS, крупнейшая мясоперерабатывающая компания в мире, стала жертвой атаки программы-вымогателя (Журнал SC).
Оператор мобильной связи T-Mobile допустил утечку данных более 54 млн клиентов. В открытом доступа оказались номера социального страхования, даты рождения, водительские права и др. (CNET).
Пользуясь случаем не можем не пригласить вас в наш раздел «Практика и аналитика». Там вы найдете исследования по теме защиты от внутренних рисков, «белые книги», чек-листы, howto и прочие полезные материалы для себя и своих сотрудников.