Компания InfoWatch уже несколько лет анализирует ситуацию с утечками конфиденциальной информации - недавно она опубликовала свой очередной
отчёт, в котором анализируется ситуация с утечками в 2012 году. Следует отметить, что компания считает только те утечки, сведения о которых попали в печать и подробно обсуждались. Это сведения скорее не об всех утечках данных, но о инцидентах в популярных компаниях - пресса освещает в основном события, которые могли бы быть интересны большому числу читателей, а не только специалистам.
Кроме того, вполне возможно, что эксперты регистрируют инциденты, которые описаны достаточно подробно - с указанием компаний, причины утечек, числа украденных записей и других сопутствующих данных, поля для которых присутствуют в базе. В то же время большинство сообщений об утечках предельно неконкретны. Например, "Роскомнадзор" любит в своих новостях указывать о наложении штрафов за несоблюдение требований закона ФЗ-152 тем или иным сайтом. При этом не всегда понятно была ли при этом утечка или защищаемые данные и так ни кому не нужны.
В самом подходе анализа только медийных утечек есть определенные проблемы. Например, утечка в компании Microsoft привлечёт больше внимание прессы, чем аналогичный по всем остальным параметрам случай в городской поликлинике Нижневартовская. Последняя может вообще не попасть в поле зрения InfoWatch. Таким образом, качество отчёта сильно зависит от выбора источника сведений об утечках, но в отчёте компания вообще не приводит о них ни каких сведений. А интересно было бы узнать мониторит ли компания региональную прессу или сообщения на экзотических языках, типа китайского или санскрита.
Собственно, сами составители отчёта признают, что в их поле зрения попало примерно 1% утечек, при этом они утверждают, что выборка репрезентативна. Конечно социологи поступают примерно также - опрашивают не всех жителей страны, но только определённых её представителей, однако они стараются хотя бы соблюсти социально-демографическое распределение. Что именно является подобным распределением для утечек не совсем понятно, однако очевидно, что анализ только крупных инцидентов в привлекательных для СМИ компаниях описанных на популярных языках общей картины по всему миру не даёт, ибо в небольших компаниях, которых по количеству значительно больше, ситуация может сильно отличаться.
Аналогичная проблема относится и к интерпретации статистики о типах утекаемых данных. В соответствии с отчётом 89,4% утёкших в 2012 году данных - это персональные. Однако на практике это просто требование законов разных стран об обязательном разглашения фактов таких утечек. Поскольку в промышленной и других типах тайн таких требований практически нет, то и публикаций на этот счёт меньше. Поскольку утечка информации отрицательно сказывается на репутации компании, то компании не торопятся раскрывать сведения об утечках. Сведения просачиваются в прессу только в случае судебного преследования нарушителя. Кроме того, компании не всегда знают о произошедшей утечке данных. При плохом уровне защиты в компании, что характерно для небольших фирм, они могут и не заметить утечки.
При этом очевидно, что компания больше ориентирована на американский рынок - замеченных утечек в американских компаних больше половины. Проскольку о источниках сведений ни чего не сказано, то создаётся ощущение, что эксперты InfoWatch просто любят читать американские газеты, в то время как публикации об утечках на санскрите, скорее всего, просто прошли мимо них. Это же относится и к российским утечкам, которых зарегистрировано в 2012 году всего 76. Могу заметить, что сайт Incidets.ru, который ведёт скурпулёзный учёт утечек в России зафиксировал такое число утечек только в первые два с половиной месяца.
Ещё одной проблемой является отнесение утечек к умышленным и неумышленным. Дело в том, что в соответствии с методикой отнесение утечки к одному из трёх типов - умышленные, неумышленные и неопределённые - определяется экспертами самой InfoWatch. Вполне возможно, что тенденция уменьшения случайных утечек относится не к самим фактам утечек, но к методике, по которой действуют эксперты. Одни и те же инциденты в разное время могут быть отнесены к разным категориям.
Таким образом, из отчёта наибольшую ценность представляют данные о каналах утечек. Аналитика данных по путям ухода данных из компаний пусть даже для публичных компаний, которые, возможно, заботятся о предотвращении утечек,является показательным для отрасли в целом. По нему можно сказать, что вендоры просто не могут предложить решение для бумажных документов, защиты резервных копий и также серверов, но для других каналов утечки найдены вполне адекватные технические решения..