Поделиться
Инсайдерские проделки скрывать все труднее
Нынешний август стал рекордсменом по количеству утечек – за 31 день последнего летнего месяца было зарегистрировано 29 инцидентов. Известный тезис о том, что утечки происходят чуть ли не каждый день, к сожалению, получил документальное подтверждение. При этом не стоит забывать, что огромное количество утечек остаются неизвестными широкой массе специалистов.Самой неудачливой компанией месяца стал фармакологический концерн Pfizer, умудрившийся допустить вторую утечку с начала нынешнего лета. И если первый инцидент был необычен (данные "утекли" через P2P-сеть), то второй оказался до невозможности банальным (кража ноутбука из машины сотрудника). К счастью руководителей Pfizer, масштаб второй утечки оказался сравнительно небольшим – от нее пострадали "всего" 17 тыс. работников концерна.
Наконец-то активизировались правоохранительные органы, поймавшие за месяц сразу несколько инсайдеров. Самой "крупной рыбой" стал гражданин Украины Максим Ястремский, продававший в Интернете номера кредитных карт. В ходе разбирательства выяснилось, что Ястремский может быть связан с крупнейшей утечкой в истории, которая произошла с компанией TJX в прошлом году. Напомним, что тогда были скомпрометированы 45 млн. номеров кредитных карт.
Как подсчитывать убытки?
Ущерб от утечек определяется по-своему в каждом конкретном случае. Тем не менее, существует общая методика, с помощью которой можно посчитать ориентировочные убытки. В основе схемы лежит общее число пострадавших людей либо скомпрометированных документов, и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались раскрыты. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях одни только почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.
Рассмотрим для ясности пример с утечкой из компании Aflac. Напомним, что ноутбук этой компании с приватными данными был украден неизвестными злоумышленниками, и в результате кражи пострадали 150 тыс. клиентов Aflac. Для подсчета ущерба обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, средние расходы на выявление и исследование инцидента, а также уведомление пострадавших составляют 11,27 и 25,19 долл. на одну учетную запись. Таким образом, в масштабах утечки получается сумма в 5,4 млн. долл.
Далее следует учесть ущерб от потери привлекательности бренда и дальнейшие мероприятия по ликвидации утечки. Непосредственно после инцидента рейтинг Aflac в агентстве Standart & Poor`s (Standard & Poor's 500 Insurance Index) упал на 5,1%. В перспективе у компании возникнут трудности с привлечением новых клиентов. По данным Ponemon Institute, средние издержки от снижения привлекательности бренда и дальнейших мероприятий по ликвидации составляют 98,32 и 47,29 долл. на каждого пострадавшего соответственно. Для конкретной утечки – 21,8 млн. долл.
Итого имеем 5,4 млн. долл. - предварительные расходы, 21,8 млн. долл. – дальнейшие мероприятия и репутационные потери. В сумме получается более 27 млн. долл. Отметим, что в этом расходы Aflac приведены без учета мониторинга счетов. Компания пока не сообщает, будет ли она предоставлять эту услугу каждому из пострадавших. Если такие меры будут приняты, расходы возрастут еще 18 млн. долл. – примерно по 120 долл. на каждую жертву утечки.
Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.
Алексей Доля
Поделиться
Короткая ссылка
