Компания SafeNet, Inc., мировой лидер в области разработки решений для защиты данных, представила новый веб-сайт, на котором публикуется информация об утечках данных в мире по мере их обнаружения. Благодаря этому сайту специалисты в области информационной безопасности получают инструмент, позволяющий оценить серьезность утечек в своих компаниях и получить представление, на каком месте находится та или иная утечка относительно инцидентов, получивших огласку. Индекс критичности утечек данных SafeNet Breach Level Index (BLI) включает в себя централизованную глобальную базу утечек и обеспечивает оценку уровня той или иной утечки по различным параметрам на основе всей опубликованной информации об этой утечке. Индекс не только служит ориентиром для ИТ-отрасли, но с его помощью директора по информационным технологиям и руководители отделов безопасности смогут быстро оценить и классифицировать серьезность утечки в своей компании при подготовке сообщения об уровне чрезвычайной ситуации или о количестве затронутых заказчиков или партнеров. Кроме того, полученные данные могут использоваться ими для собственной оценки рисков и планирования противодействия рискам.

"Далеко не все атаки осуществляются по одинаковому сценарию, и реагировать в каждом случае необходимо по-разному. Индекс утечек данных Breach Level Index позволяет нам отслеживать инциденты в области информационной безопасности и помогает различать утечки незащищенных данных, когда пользовательская информация компрометируется и теряется, и утечки зашифрованных данных – когда данные похищены, но из-за наличия криптозащиты они не могут быть дешифрованы преступниками, что делает эти данные бесполезными для них, - говорит Пракаш Панджвани (Prakash Panjwani), старший вице-президент и генеральный управляющий подразделения SafeNet по разработке решений для защиты данных. – Опираясь на ряд факторов, индекс утечек Breach Level Index устанавливает для каждого отдельного инцидента определенный численный балл, отражающий уровень угрозы от этого инцидента, и этот балл будет значительно ниже, если организация, в которой произошла утечка, сумела успешно защитить себя, внедрив механизмы шифрования, и тем самым обеспечила целостность конфиденциальных данных".

Ключевые факты об утечках данных в 2013 году
Индекс Breach Level Index содержит подробную информацию о сотнях отдельных утечек данных, которую можно сортировать по типу утечки или по отраслям, в которых работают затронутые компании. Вот информация за 2013 год, когда было потеряно или похищено более 595 миллионов записей данных:

• По типу утечки:
o Злоумышленные действия посторонних лиц: 57% всех утечек данных
o Случайная потеря данных: 27% всех утечек данных
o Злоумышленные действия сотрудников компании: 13% всех утечек данных
o Действия "хактивистов" (хакеры, использующие свои навыки в политических целях и для противодействия правительственной цензуре в интернете): 2% всех утечек данных
o Деятельность, инициированная государством: <1% всех утечек данных
• По отрасли:
o Отрасль здравоохранения
31% всех утечек данных, потеряно или утрачено 2% записей данных;
Среднее количество записей, потерянных в результате утечки: 49000
o Правительственные структуры
17% всех утечек данных, потеряно или утрачено 9% записей данных;
Среднее количество записей, утраченных в результате утечки: 630 000
o Финансовые учреждения
15% всех утечек данных, потеряно или утрачено 1% записей данных;
Среднее количество записей, утраченных в результате утечки: 112 000
o Розничная торговля
8% всех утечек данных, потеряно или утрачено 28% записей данных;
Среднее количество записей, утраченных в результате утечки: 6,6 миллионов
o Технологические отрасли
11% всех утечек данных, потеряно или утрачено 43% записей данных;
Среднее количество записей, утраченных в результате утечки: 5,7 миллионов
o Прочие сектора экономики
23% всех утечек данных, потеряно или утрачено 11% записей данных;
Среднее количество записей, утраченных в результате утечки: 619 000
• По времени:
o 1,6 миллиона записей данных теряется или похищается каждый день
o 68 000 записей данных теряется или похищается каждый час
o 1 100 записей данных теряется или похищается каждую минуту
o 19 записей данных теряется или похищается каждую секунду
Сначала компания SafeNet в сотрудничестве с ведущей отраслевой аналитической фирмой IT-Harvest разработала формулы и алгоритмы для определения уровня критичности утечек, произошедших в 2013 году. При оценке критичности утечек данных, в индексе BLI принимается во внимание множество факторов, в том числе тип данных, количество похищенных записей, источник утечки и то, сохранилась ли целостность конфиденциальных данных после обнаружения утечки. Вся поступающая информация затем обрабатывалась с помощью фирменного алгоритма, который позволял получить балл и составить индекс, при этом 1 балл присваивался наименее критичной утечке, а 10 баллов – наиболее серьёзным инцидентам.
Новая парадигма защиты данных: обезопасить себя на случай утечки
Беспрецедентный всплеск утечек данных, который мы наблюдаем в последнее время, свидетельствует о том, что с помощью одних лишь традиционных стратегий предотвращения утечек невозможно добиться полноценной защиты данных. Кроме того, увеличение инвестиций в укрепление периметра безопасности также не способно надлежащим образом защитить растущие объёмы данных, особенно с учетом их постоянно меняющегося характера. Ведь сегодня доступ к этим данным, обмен ими, перемещение и хранение данных осуществляется в виртуализированных и облачных окружениях и на мобильных устройствах. Сегодня периметр как таковой больше не существует, что создает целое множество новых потенциальных уязвимостей и угроз для безопасности. В случае утечек, которые сегодня неизбежны, организациям необходимо быть готовыми к тому, чтобы обезопасить себя путем реализации механизмов защиты непосредственно на уровне данных.

Решения SafeNet для защиты данных помогают компаниям перейти к новой философии в области обеспечения безопасности и защищать себя на случай утечек (Secure the Breach). Всё это подразумевает необходимость принятия того факта, что утечка рано или поздно произойдёт, и поэтому необходимо предусмотреть механизмы обеспечения безопасности непосредственно на уровне данных, в том числе средства строгой аутентификации, криптографической защиты и управления шифрованием. Компания SafeNet продемонстрировала следующие решения посетителям конференции RSA Conference на своем стенде #2729 в павильоне North Expo Hall:

• Решения SafeNet для шифрования – обеспечивают непревзойденный охват и могут использоваться для защиты баз данных, приложений, информаций, позволяющей установить личность (personally identifiable information, PII), а также данных, хранящихся в физических и виртуальных центрах обработки и в облаке. Кроме того, эти решения включают в себя механизмы управления ключами, необходимые для реализации эффективной защиты в масштабах всего предприятия, где бы ни размещались данные.

• Решение SafeNet для управления шифрованием – позволяет централизованно, эффективно и безопасно управлять ключами и политиками шифрования на протяжении всего жизненного цикла процессов управления ключами защиты, в масштабах всего предприятия, как в облаке, так и на оборудовании на территории компании.
• Решение SafeNet для аутентификации – обеспечивает возможность гибкой доставки сервисов, что значительно упрощает реализацию самих механизмов аутентификации и управление аутентификацией посредством автоматизированных процессов. Всё это, в свою очередь, существенно сокращает время и стоимость развертывания сервисов, администрирования и управления пользователями и ключами безопасности в сравнении с традиционными моделями аутентификации.

Кроме того, компания SafeNet представила на конференции RSA Conference 2014 ряд докладов. В частности, 27 февраля вице-президент SafeNet по стратегии корпоративного развития Дэвид Этью (David Etue) провел заседание “Not Go Quietly: Surprising Strategies and Teammates to Adapt and Overcome”, посвященное современным проблемам обеспечения безопасности. Содокладчиком выступил Джош Корман (Josh Corman), директор по технологиям в Sonatype. В своём докладе они рассказали о новых подходах к поиску финансовой и операционной поддержки для реализации на предприятии мер в области информационной безопасности. Кроме того, 26 февраля Дэвид Этью представил доклад Whose Cloud Is It Anyway? Exploring Data Security, Ownership and Control, посвященный вопросам безопасности данных в облачном окружении.

Дополнительные материалы
• Индекс критичности утечек данных: www.breachlevelindex.com
• Веб-сайт Secure the Breach: www.securethebreach.com
• Программный манифест Secure the Breach: http://www2.safenet-inc.com/securethebreach/downloads/secure_the_breach_manifesto.pdf
• Экспертный доклад: классификация уровня утечек данных с помощью индекса Breach Level Index: http://www2.safenet-inc.com/securethebreach/public/pdf/Breach-Level-Index-WP.pdf
• Блог RSA: http://data-protection.safenet-inc.com/2014/02/join-safenet-at-rsa-conference-2014/

Примечание: Информация при составлении индекса Breach Level Index собирается из открытых источников. SafeNet публикует эту информацию в том виде, в котором она была опубликована изначально; компания не делает каких-либо заявлений и не дает каких-либо гарантий в отношении этой информации и не несет ответственности за любое использование этой информации.

Информация о SafeNet, Inc.
Основанная в 1983 году, компания SafeNet, Inc. является одной из крупнейших фирм в мире, специализирующихся на решениях для информационной безопасности. Ее продуктам доверяют при защите наиболее важных данных крупнейшие компании и организации по всему миру. Решения SafeNet ориентированы на защиту высокоценной конфиденциальной информации на всем протяжении ее жизненного цикла, от центра обработки данных до облачной инфраструктуры. Более 25 тысяч заказчиков, начиная с коммерческих предприятий и заканчивая правительственными учреждениями, пользуются решениями SafeNet для защиты и управления доступом к конфиденциальным данным, управления рисками, обеспечения соответствия нормативным требованиям и безопасности виртуальных и облачных окружений.