Компания InfoWatch, один из лидеров российского рынка систем защиты корпоративной информации от внутренних угроз, впервые представила отчет, посвященный уровню безопасности информации в СМБ-компаниях. Так, в 2013 г. число скомпрометированных записей о клиентах и сотрудниках небольших и средних компаний превысило 129 млн. Если в мире на СМБ-сегмент пришлось чуть менее 40% от общего зафиксированных утечек, то в России этот показатель составил 61%.

До недавнего времени считалось, что проблема утечек конфиденциальной информации не затрагивает малый и средний бизнес, поскольку стоимость информационных активов в сегменте СМБ не столь высока, как в крупных компаниях. Однако результаты исследования показывают, что такое представление ошибочно. В средних компаниях ущерб (в расчете на одну скомпрометированную запись) составляет около 16 долл., что на 2,5 долл. больше, чем в крупных организациях.

Доля масштабных утечек в среднем бизнесе также выше, чем в больших корпорациях. В ряде случаев, когда утекали базы данных с числом записей 5 тыс. и более, а ущерб составлял свыше 10 тыс. руб., речь шла именно о малых и средних компаниях (менее 50 ПК и 50-500 ПК соответственно). При этом для среднего бизнеса последствия от утечек крупных массивов ПДн часто более ощутимы, чем для крупных компаний. В таких отраслях, как торговля или туризм, где и представлены в основном небольшие организации, утечка базы данных клиентов может привести к ущербу, сопоставимому с оборотом компании. В целом, только по официальным данным совокупный ущерб СМБ-компаний от утечек составил в 2013 г. более 2 млрд. долл.

Доля утечек «неопределенной» природы (когда невозможно определить, был ли инцидент случайным или умышленным), в секторе СМБ очень высока. В компаниях среднего размера этот показатель составил 23%, в небольших организациях — 43%. Для сравнения, в общемировой статистике наличие умысла остается невыясненным лишь в каждом десятом случае. Такая картина свидетельствует о недостаточном распространении DLP-систем в СМБ-секторе, так как использование технических средств позволяет сформировать полную картину инцидента, включая информацию о канале, природе и виновнике утечки.

Распределение утечек по каналам также говорит в пользу невысокого уровня безопасности информации в сегменте СМБ. Небольшие и средние компании чаще, чем крупные, страдают от утечек через съемные носители, сеть и электронную почту, но основным каналом утечек по-прежнему остается бумажная документация. То, что все эти каналы легко контролируются техническими средствами, говорит о слабом распространении DLP-систем в секторе СМБ.

Несмотря на повышение внимания государственных органов к защите персональных данных, в России в 2013 г. на долю небольших операторов ПДн пришлось до 66% всех утечек. В мире доля утечек персональных данных в СМБ-компаниях составила 95%.

По данным Аналитического центра InfoWatch, сотрудники и руководители небольших и средних компаний «сливают» информацию чаще, чем их коллеги в крупном бизнесе (76% против 45%). Этот мнимый парадокс объясняется тем, что крупные компании чаще делегируют определенные задачи контрагентам (утилизация бумажных документов, сервис ИТ-инфраструктуры и др.), вследствие чего часть утечек неминуемо приходится на долю последних.