Как стать автором
Обновить
94.05
SearchInform
Разработчик ПО для защиты информации

Много ИБ-статистики. Как перевернулся мир ИБ за три года?

Время на прочтение7 мин
Количество просмотров6.7K
Автор оригинала: securitymentor

Привет, Хабр! Мы с новым переводом. Нашли отличный сборник глобальной статистики в сфере информационной безопасности за период с 2020 по 2022 год. Подборку цифр из различных отчетов об утечках данных, инсайдерах и осведомленности сотрудников об информационной безопасности сделали эксперты Security Mentor. Ниже почти полный перевод этой «энциклопедии».

Мы выбрали отсылки на самые интересные и показательные исследования, перевели и добавили несколько собственных.

Тренды в сфере информационной безопасности

  • В 2020 году киберугрозы попали в квадрант наивысшего риска в глобальном ландшафте рисков. Причина – как степень наибольшего влияния, так и самая высокая вероятность наступления рисков (Global Risks Report 2020, World Economic Forum).

  • Предотвращение утечек данных – главный приоритет для ИТ отрасли и второй для безопасности организаций (2020 Cybersecurity Outlook Report, VMware/Carbon Black).

  • Вероятность ареста киберпреступника составляет менее 1% от общего числа ежегодных киберинцидентов в США (To Catch a Hacker, Third Way).

  • Количество утечек данных, о которых публично заявили в 2021 году, на 17% превышает общее количество инцидентов в 2020 году (2021 Q3 Data Breach Analysis, ITRC).

  • Киберинциденты вошли в тройку главных бизнес-рисков (Allianz Risk Barometer, Allianz).

  • Киберпреступники чаще всего атаковали организации из финансового и страхового сектора (X-Force Threat Intelligence Index 2021).

  • 18% BEC-атак произошли в компаний, предоставляющих финансовые услуги (Top Industries Targeted by Cyberattacks).

  • Мошенничество с похищением учетных записей выросло на 850%, при этом большинство атак были сосредоточены на криптовалютах и ​​цифровых кошельках. В 2020 год ущерб от киберпреступлений, связанных с криптовалютой, составил 1,9 млрд долларов (Q3 2021 Digital Trust & Safety Index).

Ущерб от киберпреступлений

  • В 2020 году предполагаемый ущерб от киберпреступлений увеличился больше чем на 50% за два года и превысил 1 триллион долларов (The Hidden Costs of Cybercrime, McAfee).

  • В отрасли здравоохранения средняя стоимость взломанной записи в 2020 году составила 499 долларов (Healthcare Breach Report 2021, Bitglass).

  • Фишинг был главным киберпреступлением в США в 2020 году, на него пришлось более 30% всех жертв. BEC-атаки привели к финансовым потерям в размере 1,86 млрд долларов (Internet Crime Report 2020, FBI).

Человеческий фактор

  • 85% утечек данных происходят из-за «человеческого фактора» (2021 Data Breach Investigations Report, Verizon). По данным ежегодного исследования «СёрчИнформ», в 2021 году 66% инцидентов в ИБ были неумышленными.

  • Сотрудники знают о своей ответственности в случайных утечках. 43% сотрудников «очень» или «почти» уверены, что они допустили ошибки на работе, которые повлияли на безопасность (The Psychology of Human Error, Tessian).

  • 55% ИТ-руководителей ожидают, что сотрудники будут предупреждать их о киберинцидентах. При этом в 89% случаев вовлеченным в инциденты сотрудникам пришлось столкнуться с негативными последствиями этих инцидентов. Только у 54% работников обладают специальными профильными знаниями в области ИБ. (Egress Insider Data Breach Survey 2021).

  • С 2016 года число инцидентов, связанных с инсайдерскими угрозами, увеличилось в три раза (Cost of Insider Threats Global Report, Ponemon Institute).

  • 59% ИБ-руководителей ожидают, что число инсайдерских рисков вырастет в течение следующих двух лет (2021 Data Exposure Report)

  • Ущерб от инсайдеров составляет 11,45 млн долларов США для компаний с численностью сотрудников более 1000 человек (2020 Cost of Insider Threats: Global Report).

  • 73% корпоративных устройств содержат конфиденциальные данные (2021: Endpoint Risk Report)

  • Только 36% российских компаний оснащены DLP-системами для предотвращения внутренних инцидентов (глобальное исследование «СёрчИнформ», 2021 год)

 

Утечки данных

  • Количество записей, скомпрометированных в результате утечек данных, увеличилось на 141% (2020 Year End Data Breach QuickView Report, RiskBased Security).

  • Средняя стоимость утечки данных выросла до 4,24 млн долларов. Это самый высокий показатель за последние 17 лет (Cost of a Data Breach Report 2021, Ponemon Institute и IBM Security).

  • Количество утечек данных в сфере здравоохранения увеличилось на 55% в 2020 году по сравнению с предыдущим годом (Healthcare Breach Report 2021, Bitglass). По данным исследования «СёрчИнформ» в 2019 сфера здравоохранения лидировала по количеству утечек – на нее пришлось 69%. При этом половина организаций замалчивали факт происшествия (глобальное исследование «СёрчИнформ», 2019 год). 

  • Среднее время выявления утечки данных и устранения последствий инцидента составило 280 дней (Cost of a Data Breach Report 2020, Ponemon Group и IBM Security).

  • В 2021 году в сфере здравоохранения произошло более 250 утечек данных, в результате которых 17 млн записей с медицинской информацией оказались в открытом доступе (DHS Breach Portal).

Фишинг

  • Ежедневно злоумышленники отправляют 3 млрд фишинговых писем (Email Fraud Landscape: Spring 2021, Valimail).

  • Каждый четвертый сотрудник на работе открывал фишинговое письмо (Email Fraud Landscape: Spring 2021, Valimail).

  • Фишинг был причиной 36% всех утечек данных (2021 Data Breach Investigations Report, Verizon).

  • Количество BEC-атак увеличилось на 35% в 2020 году по сравнению с 2019 годом (Statista).

Программы-вымогатели

Интернет вещей (IoT)

Цифровая гигиена

Удаленка

  • 54% опрошенных ИТ-руководителей считают, что удаленная работа увеличивает инсайдерскую угрозу (Egress Insider Data Breach Survey 2021, Egress).

  • 20% организаций столкнулись с нарушением правил безопасности сотрудниками, которые работают на удаленке (Enduring from home, Malwarebytes).

  • 56% сотрудников используют персональный компьютер при работе из дома; 25% не знают протоколы безопасности; 20% сотрудников заявили, что их ИТ-отдел не давал советов по работе из дома (2020 WFH Employee Cybersecurity Threat Index, Morphisec).

  • Три четверти сотрудников сообщили, что распечатывают рабочие документы дома (Data Protection Report 2020, Shred-it).

Предотвращение инцидентов

  • Только 29% компаний из списка Fortune 100 обучают сотрудников основам киберграмотности, это на 11% больше, чем в 2018 году (What companies are disclosing about cybersecurity risk, EY).

  • 24% руководителей и 54% владельцев малого бизнеса не проходят регулярного обучения основам информационной безопасности (Data Protection Report 2020, Shred-it).

  • Меньше половины компаний в России внедряют в свою работу серьезные средства защиты от кибератак, а большинство обходится только антивирусом (глобальное исследование «СёрчИнформ», 2021 год).

ИБ-инциденты в 2021-2022 гг.

  • Компания FlexBooker сообщила об утечке 3,7 млн учетных записей и персональных данных пользователей в результате компрометации серверов Amazon AWS (BleepingComputer).

  • Broward Health сообщила, что злоумышленник получил доступ к их сети через стороннего поставщика медицинских услуг в октябре 2021 года. Утечка затронула конфиденциальные данные и медицинскую информацию более 2 млн человек (SecurityWeek).

  • Mimecast, поставщик систем безопасности, сообщил, что хакеры SolarWinds взломали его сеть (Ars Technica). Злоумышленники использовали вредоносное ПО, чтобы получить доступ к сети компании.

  • Кибератака на оператора связи USCell привела к утечке данных из CRM компании. В результате атаки в открытом доступе оказались данные 4,9 млн клиентов, включая имена, тарифные планы, выписки по счету и PIN-коды (BleepingComputer).

  • 38 млн регистрационных записей транспортных средств в Калифорнии были скомпрометированы в результате атаки с использованием программы-вымогателя на DMV Калифорнии (SFGATE).

  • Утечка данных у Volkswagen и Audi раскрыла данные 3 млн клиентов и покупателей (CNN).

  • Неправильно настроенная конфигурация базы данных ElasticSearch привела к утечке 318 млн учетных записей пользователей крупной китайской социальной сети SocialArks (CyberSecurity Magazine).

  • Kaysea пострадала от атаки программы-вымогателя REvil. Атака затронула 1,5 тысячи клиентов, которые использовали ПО Kaseya (BleepingComputer).

  • Colonial Pipeline, один из крупнейших трубопроводов в США, подвергся атаке программы-вымогателя. Организации пришлось заплатить 4,4 млн долларов в качестве выкупа за восстановление работы трубопровода (Washington Post).

  • Поставщик защитного ПО CaptureRX допустил утечку 1,6 млн записей пациентов, которые обслуживались в 14 больницах и организациях здравоохранения. В результате утечки в открытом доступе оказалась такая информация, как имена, даты рождения и рецепты, выписанные пациентам (Becker's Health IT).

  • Компания Hobby Lobby, из-за неправильно настроенного облачного хранилища, раскрыла базу данных, которая содержала 300 тысяч персональных данных клиентов (Threatpost).

  • JBS, крупнейшая мясоперерабатывающая компания в мире, стала жертвой атаки программы-вымогателя (Журнал SC).

  • Оператор мобильной связи T-Mobile допустил утечку данных более 54 млн клиентов. В открытом доступа оказались номера социального страхования, даты рождения, водительские права и др. (CNET).

Пользуясь случаем не можем не пригласить вас в наш раздел «Практика и аналитика». Там вы найдете исследования по теме защиты от внутренних рисков, «белые книги», чек-листы, howto и прочие полезные материалы для себя и своих сотрудников.

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Публикации

Информация

Сайт
searchinform.ru
Дата регистрации
Численность
Неизвестно
Местоположение
Россия