66 статистических фактов, которые изменят ваши онлайн-привычки
Несмотря на все технологические достижения в современном онлайн-мире, мы страшно отстаем, когда дело доходит до использования паролей и вопросов безопасности. Большинство пользователей Интернета сегодня до сих пор не осознают всей важности настройки безопасных и эффективных паролей, что делает людей уязвимыми для атак кибер-преступников и хакеров. Приведенная ниже статистика, связанная с использованием паролей, показывает ряд основных последствий применения неудачных методов информационной безопасности.
Все мы используем пароли для защиты ряда наших самых важных и конфиденциальных данных, таких как банковская информация, медицинские сведения, разнообразные рабочие документы. Для многих онлайн-систем пароль – это все, что стоит между вашей личной информацией и хакером, пытающимся ее украсть. Так почему бы нам не приложить больше усилий, чтобы сделать их как можно более безопасными? Следующая статистика проливает свет на некоторые удивительные тенденции в области использования паролей среди домашних пользователей и организаций, а также последствия, которые могут заставить вас пересмотреть свои привычки в Интернете.
Статистика по «слабым» паролям и привычкам
В то время как возможности кибер-преступников продолжают развиваться, наши привычки управления паролями и понимание надлежащей практики информационной безопасности зачастую сильно отстают от современных тенденций. Причем это касается как домашних пользователей, так и предприятий, как показывает приведенная ниже статистика на примере США, казалось бы, одной из наиболее развитых в технологическом плане стран мира.
1. 75% американцев говорят, что они чувствуют разочарование, пытаясь сохранять и отслеживать свои пароли (Google)
2. 24% американцев использовали в качестве пароля слово «password» (пароль), «Qwerty» или «123456» (Google)
3. 43% американцев делились своим паролем с другими людьми (Google)
4. 20% американцев делились паролем к своей учетной записи электронной почты (Google)
5. Только 37% американцев использовали двухфакторную аутентификацию для защиты своих паролей в 2020 году (Google)
6. Только 34% американцев говорят, что они регулярно меняют свои пароли (Google)
7. Всего лишь 15% американцев используют онлайн-менеджер паролей (Google)
8. 66% американцев используют один и тот же пароль в нескольких различных онлайн-аккаунтах (Google)
9. В то время как 79% американцев сказали, что крайне важно постоянно обновлять свое программное обеспечение, регулярно делают это всего лишь 33% (Google)
10. 27% американцев пытались угадать чужой пароль, и у 17% из них это получилось (Google)
11. 13% американцев сообщили об использовании одинакового пароля во всех своих учетных записях в 2019 году (Google)
12. Только 32% американцев смогли правильно определить понятия «фишинг», «менеджер паролей» и «двухэтапная верификация» (Google)
13. В 42% организаций сотрудники записывают пароли на стикеры, которые могут быть приклеены на монитор, системный блок и т.д. (Ponemon Institute)
14. В 59% организаций сотрудники запоминают свои пароли (Ponemon Institute)
15. 62% организаций говорят, что они не предпринимают необходимых шагов для надлежащей защиты данных на мобильных устройствах своих сотрудников (Ponemon Institute)
Хотя методы кибер-преступников являются весьма изощренными, надлежащая защита от них не требует огромных усилий. Следование простым рекомендациям по безопасности паролей может значительно снизить вероятность атаки. Чтобы сохранить ваши данные в безопасности, убедитесь, что вы делаете следующее:
Выберите пароль, содержащий не менее 12 символов, сочетающий прописные и заглавные буквы, цифры и символы
Создайте уникальный пароль для каждого вашего онлайн-аккаунта – не используйте повторно один из ваших паролей
Используйте менеджер паролей, чтобы упростить процесс создания уникального и надежного пароля для каждого аккаунта
Не записывайте свои пароли на бумажку, не храните их в файле на ПК
Используйте двухфакторную аутентификацию там, где это возможно. Уже одно это может помешать большинству хакеров получить доступ к вашим данным
Статистика по паролям и краже данных
В век, когда технологии продолжают стремительно развиваться, наши методы защиты паролей практически не изменились. Если вы все еще используете одинаковый пароль для разных онлайн-аккаунтов или не меняли его годами, то вы не одиноки в этом, хотя, надеемся, наша статистика побудит вас изменить ваши привычки.
16. 52% нарушений данных были вызваны вредоносными атаками, а каждое нарушение в мире в среднем причиняет ущерб в размере 4,27 миллиона долларов (IBM)
17. Личные данные у 4 из 10 американцев были «слиты» в Интернет. В результате этого у 47% из них были украдены деньги (Google)
18. 38% американцев говорят, что они потеряли время из-за утечки данных (Google)
19. Только 45% американцев говорят, что изменили бы свой пароль после взлома (Google)
20. В 2020 году средний ущерб от каждой утечки данных в США составил 8,64 миллиона долларов (IBM)
21. В целом во всех отраслях промышленности в 2020 году для выявления и сдерживания утечки данных потребовалось в среднем 280 дней (IBM)
22. По итогам 2020 года выявление и сдерживание утечки данных в течение 200 дней или быстрее позволяло экономить в среднем 1 миллион долларов (IBM)
23. В 2020 году средняя доля ущерба от утечки данных, произошедших год назад или ранее, достигла 39% от бюджета организаций (IBM)
24. 80% нарушений, связанных с хакерским взломом, были вызваны украденными регистрационными данными или связаны с повторным использованием одного и того же пароля (Verizon)
25. Вредоносные программы типа «дамперов паролей» (password dumper malware) являются наиболее распространенным типом вредоносного ПО, которое в 2020 году использовалось для 40% нарушений данных, вызванных вредоносным ПО (Verizon)
26. 80% нарушений, связанных с хакерским взломом, так или иначе связаны с паролями (Verizon)
27. Кибер-преступники продают доступ к ключевым системам организаций в среднем за 3139 долларов (Digital Shadows)
28. Хакерские инструменты для проведения атаки типа brute force (подбор паролей) продаются на теневых криминальных рынках в среднем всего за 4 доллара (Digital Shadows)
29. Адреса электронной почты, содержащие слова «invoice» (инвойс, счет-фактура) или «invoices» (инвойсы, счет-фактуры), составляли 66% скомпрометированных учетных данных в 2020 году (Digital Shadows)
Статистика безопасности паролей по отраслям
Кибер-преступники представляют угрозу не только для домашних пользователей, но и для крупных организаций во всех отраслях. Тем не менее, не все отрасли страдают в одинаковой мере. Правила соблюдения требований сильно различаются в разных секторах, и некоторые отрасли быстрее принимают и поддерживают соответствующие меры безопасности, чем другие. Например, технологические компании и разработчики ПО зачастую очень старательно защищают свою информационную безопасность, в то время как страховые компании в целом в этом смысле значительно отстают.
30. В 2020 году самый высокий средний ущерб от утечки данных зарегистрирован в здравоохранении, он составляет 7,13 миллиона долларов (IBM)
31. Исследования, средства массовой информации, гостиничный бизнес и государственный сектор имели самые низкие средние ущербы от утечки данных - от 1,1 до 1,7 миллиона долларов (IBM)
32. Более половины опрошенных в 2020 году руководителей юридических служб и отделов по контролю за соблюдением нормативов считают, что информационная безопасность и нарушение данных представляют наиболее повышенный риск, с которым сталкиваются их организации в результате коронавируса COVID-19 (Gartner)
33. Те же респонденты заявили, что риски кибер-безопасности, которых они опасаются, являются результатом такой практики, как использование незащищенных сетей (Gartner)
34. 37% сотрудников технологических компаний и разработчиков ПО используют многофакторную аутентификацию (MFA), т.е. использование двух или более отдельных факторов при проверке и авторизации пользователя (LastPass)
35. В сфере образования MFA используют 33% работников, а в сфере банковских или финансовых услуг - 32% работников (LastPass)
36. Самые худшие сферы с точки зрения использования MFA – это юридические и страховые компании: примерно около 20% сотрудников (LastPass)
38. Сотрудники СМИ и предприятий рекламной индустрии вынуждены запоминать больше всего паролей – в среднем 97 паролей на одного сотрудника (LastPass)
39. Государственные служащие имеют наименьшее количество паролей для запоминания – в среднем около 54 паролей на одного служащего (LastPass)
40. Сотрудники в сфере СМИ и рекламы используют одинаковые пароли почти в два раза чаще, чем сотрудники других отраслей (LastPass)
41. Сотрудники некоммерческих организаций реже других повторно используют один и тот же пароль (в среднем около 9) (LastPass)
42. Сотрудники в сфере технологий или программного обеспечения в среднем повторно используют около 15 паролей (LastPass)
43. На кибер-преступных маркетплейсах, где хакеры продают регистрационные данные к аккаунтам организаций, больше всего данных было по банкам и финансовым организациям (Digital Shadows)
44. Инструменты для проведения атак типа brute-force (подбор паролей), заточенные под банковский и финансовый сектор, продаются в среднем за 74,30 долларов (Digital Shadows)
Как оказалось, применение лучших практик информационной безопасности часто оказывает наибольшее влияние на предотвращение наиболее распространенных атак. Организации, которые требуют, чтобы их сотрудники использовали MFA, намного опережают других, если говорить с точки зрения защиты от атак. Кроме того, делая процедуры управления паролями удобными и доступными, повышается вероятность того, что сотрудники будут использовать их.
На заметку: Будьте усердны в поддержании основ информационной безопасности в вашей организации. Рассмотрите возможность внедрения мобильных компонентов управления паролями для повышения удобства и простоты использования сотрудниками.
Статистика безопасностей паролей по размеру компании
Более крупные организации имеют более высокие показатели внедрения мер информационной безопасности по сравнению с мелкими компаниями. Это не удивительно, учитывая, что в крупных компаниях могут работать тысячи сотрудников, и они могут внедрять более строгие политики и правила. Небольшие компании могут быть менее знакомы с надлежащей защитой, которую они должны иметь, или этот вопрос просто может иметь более низкий приоритет: В небольших компаниях зачастую ИТ-персонал может отсутствовать или быть перегруженным различными обязанностями.
45. Крупные компании чаще используют многофакторную аутентификацию (MFA): 87% компаний с более чем 10 000 сотрудников используют MFA (LastPass)
46. Крупные компании более чем в два раза чаще сталкиваются с утечкой данных, чем более мелкие компании (LastPass)
47. Физическое вмешательство было главной угрозой для крупных компаний в 2020 году (Verizon)
48. Шпионские программы были главной угрозой для небольших компаний в 2020 году, а за ними следовали хакерские атаки типа brute-force и захват хранимых данных (Verizon)
49. Фишинг является главной угрозой как для крупных предприятий, так и для малых компаний (Verizon)
50. Компании с численностью сотрудников 1000 человек и менее чаще всего повторно используют пароли (LastPass)
51. Компании с численностью сотрудников менее 1000 человек повторно используют в среднем 10-14 паролей на одного сотрудника (LastPass)
52. А вот компании с численностью сотрудников 10 000 человек и более повторно используют в среднем только четыре пароля на одного сотрудника (LastPass)
53. В организациях с численностью сотрудников от 5 000 до 10 000 человек общий средний ущерб от нарушения данных увеличился на 7% и составил в 2020 году 4,72 млн. долларов (IBM)
54. Общий средний ущерб от нарушения данных в небольших компаниях с численностью сотрудников менее 500 человек в 2020 году составил 2,35 миллиона долларов, но у небольших компаний средний ущерб на одного сотрудника выше (IBM)
Для того чтобы организации стали по-настоящему устойчивыми к утечкам данных и атакам кибер-безопасности, требуется изменение поведения и практик – как со стороны руководства, так и отдельных сотрудников. Организации могут минимизировать угрозы безопасности, внедрив систему мониторинга утечки учетных данных сотрудников, файлов компании и другой информации.
На заметку: Используйте Google Alerts для отслеживания ссылок на вашу компанию и бренды на криминальных хакерских форумах.
Типы нарушений данных, ущерб и первопричины
Существует множество факторов, влияющих на ущерб, связанный с нарушением организационных данных, от различных платформ систем безопасности до уровня обучения сотрудников. Оценка этих факторов может дать представление о том, где компании могли бы повысить уровень своих мер безопасности и предотвратить будущие атаки или, по крайней мере, снизить ущерб от них.
55. Поддерживаемые различными государствами злоумышленники ответственны за 13% нарушений данных, связанных с использованием вредоносного ПО (IBM)
56. С 2014 года число утечек данных, вызванных вредоносными атаками, увеличилось на 24% (IBM)
57. В 2020 году 7% утечек данных были вызваны самими сотрудниками скомпрометированных организаций (IBM)
58. В 2020 году 14% утечек данных, вызванных вредоносными атаками, были вызваны фишингом (IBM)
59. В 2020 году 16% утечек данных, вызванных вредоносными атаками, были вызваны уязвимостями в стороннем ПО (IBM)
60. В 2020 году 53% утечек данных, вызванных вредоносными атаками, были финансово мотивированными (IBM)
61. Мотивация 21% утечек данных, вызванных вредоносными атаками, неизвестна (IBM)
62. В 2020 году хактивисты причинили 13% утечек данных, вызванных вредоносными атаками (IBM)
63. В 2020 году нарушения, вызванные шифровальщиками и деструктивными вредоносными программами, причинили больше ущерба, чем усредненная вредоносная атака (IBM)
64. В 2020 году средний ущерб от атак шифровальщиков составил 4,44 миллиона долларов (IBM)
65. В 2020 году средний ущерб от деструктивных вредоносных атак составил 4,52 миллиона долларов (IBM)
66. В 2020 году простота систем безопасности увеличила средний ущерб от нарушения данных на 291 870 долларов (IBM)
Располагая данными, относящимися к факторам, снижающим или увеличивающим ущерб от нарушения данных, организациям было бы разумно оценить возможности внедрения мер по снижению ущерба, а также проанализировать, какие факторы, способные увеличить размер ущерба, существуют в их компании.
На заметку: По данным за 2020 год, наличие в компании группы реагирования на инциденты в среднем снижает ущерб от нарушения данных на 295 267 долларов, а наличие отдела по обучению сотрудников мерам безопасности снижает ущерб на 238 019 долларов в 2020 году. Компании, у которых нет таких структур, должны подумать об их создании в будущем.
Кибер-преступники будут только продолжать увеличивать свои усилия против домашних пользователей и предприятий в попытке получить доступ к конфиденциальным данным. Учитывая приведенную выше статистику, очевидно, что следует больше внимания уделять недостаткам, которые существуют в наших привычках управления паролями. Если вы ищете способы повысить уровень своей безопасности, то внедрение кросс-платформенных систем информационной безопасности – это отличное начало.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.