Мировой ущерб среднего и малого бизнеса из-за утечек данных в 2013 г. составил $2 млрд, следует из отчета компании InfoWatch, специализирующейся на информационной безопасности. Российские компании потеряли лишь $1,4 млн, говорит аналитик компании Сергей Хайрук. По его словам, были подсчитаны лишь те случаи, о которых компании сообщали официально.
Персональные данные в России в большинстве случаев утекают именно из небольших и средних компаний - на их долю приходится 61% от всех утечек. Вдобавок сотрудники и руководители таких компаний незаконно передают данные чаще, чем их коллеги в крупном бизнесе, говорится в исследовании. Выше у средних и малых компаний и доля крупных утечек (с ущербом от 10 000 до 1 млн руб. и числом записей свыше 5000), отмечается в исследовании. Основным каналом утечек остается бумажная документация, но небольшие и средние компании хуже, чем крупные, контролируют съемные носители, внутреннюю сеть и электронную почту.
А по подсчетам директора центра информационной безопасности компании «Инфосистемы джет» Игоря Ляпунова, потери от утечек данных в этом сегменте бизнеса гораздо выше - они составили в 2013 г. $50 млн.
В России велика доля скрытых утечек - выше, чем, например, в США, объясняет Хайрук. По его словам, российское законодательство не обязывает компании сообщать о случаях утечки информации или раскрывать ущерб от инцидента, поэтому исследование охватывает не более 4-8% таких случаев. При этом надо учитывать, что только в 17% известных случаев утечек информации компания смогла оценить ущерб от инцидента, предупреждает Хайрук.
Общество и государство равнодушны к проблеме защиты информации и особенно персональных данных в средних и малых организациях, сокрушается он. Регуляторы проверяют крупные компании гораздо чаще, чем средний и малый бизнес, которому практически незнакомы требования закона о защите персональных данных.
Между тем для небольших предприятий утечки информации могут носить фатальный характер, так как они нередко приводят к полной потере клиентов, предупреждает Ляпунов. Если в крупных компаниях инциденты расследуются и виновного чаще всего вычисляют, то более мелкие предприятия и не знают, как это делать, и злоумышленники уходят безнаказанными, сетует он.
Политика безопасности в средних и малых компаниях слабо систематизирована, а сколько-нибудь серьезные инвестиции в безопасность часто считаются неоправданными, добавляет исполнительный директор Group-IB Владимир Загрибелин.
В 2013 г. «Лаборатория Касперского» выяснила, что 26% российских предприятий среднего и малого бизнеса не используют даже простейший антивирус, удивляется представитель компании Кирилл Керценбаум. Он оценивает средний размер ущерба от одного инцидента в $14 000 для малых и средних и в $695 000 для крупных российских компаний.