Спецпроекты

Сколько стоит утечка на самом деле?

Безопасность Администратору
В последнее время все чаще звучит тема последствий утечки конфиденциальной информации или персональных данных. Но сколько придется на самом деле заплатить компании, которая пострадает от утечки? Какова будет структура этой суммы?

В последнее время все большую актуальность приобретает вопрос о том, сколько денег теряет предприятие из-за утечки персональных данных или конфиденциальной информации. Дело в том, что в 2006 году зафиксирован небывалый рост количества утечек из компаний самых разных сфер деятельности. Например, в конце прошлого года концерн Boeing потерял ноутбук с приватными сведениями почти 400 тыс. своих работников. Уже в январе 2007 года компания TJX допустила утечку информации о кредитных картах миллионов покупателей. Из последних российских инцидентов можно вспомнить нашумевшее дело об утечке базы данных пользователей петербургского провайдера Valuehost. Более того, в продаже постоянно появляются базы данных, в том числе, государственных организаций. Не так давно в продажу поступила база с компрометирующей информацией и данными о прослушивании телефонов российских политиков и обычных граждан. Десятку самых громких утечек 2006 года недавно опубликовал CNews.

Итак, каковы реальные потери компаний от утечек и инсайдерских инцидентов? Чтобы разобраться в этой проблеме, следует обратиться к нескольким исследованиям, позволяющим уточнить масштабы утечек и оценить их последствия.

Ущерб от утечек

В исследовании "2006 Annual Study — Cost of a Data Breach", проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией. Выяснилось, что подавляющее большинство граждан (59%) либо уже отказалось от услуг ненадежной фирмы, либо собирается прервать сотрудничество в ближайшем будущем.

Действия клиента в случае компрометации приватных данных

Действия клиента в случае компрометации приватных данных

Источник: Ponemon Institute, 2006

Отметим, что для коммерческих предприятий именно отношение клиентов зачастую является главной целью. Если лояльные клиенты рассержены и покидают компанию или даже переходят к конкурентам, то дела такой компании плачевны. Действительно, когда речь заходит об ущербе вследствие утечек, прежде всего в голову приходит мысль о вреде для репутации. Имиджевый ущерб тоже можно оценить в финансовых показателях. Согласно все тому же исследованию, каждая утечка приносит компании средний ущерб в размере 4,8 млн долл. Откуда взялась такая астрономическая цифра? Дело в том, что при утечке персональных данных существует целый комплекс обязательных мероприятий, которые необходимо выполнить виновным предприятиям. Прежде всего, по американским законам компания должна уведомить всех пострадавших. Затем организуются call-центры, создаются службы для общения с инвесторами, прессой, проводится судебное расследование и т.д. Все вместе требует солидных финансовых затрат. Но наибольший ущерб приносят отнюдь не прямые и косвенные убытки на выявление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.

В таблице ниже представлена структура убытков вследствие утечки. Логичнее всего рассчитать потери компании исходя из количества украденных приватных записей. Так, на выявление и расследование утечки затрачивается 11,27 долл. на каждую утерянную запись. Сюда входят такие мероприятия, как внутренние расследования, услуги консультантов и аудиторов. Далее, на базовые мероприятия по уведомлению пострадавших по почте, телефону, через интернет и печатные издания требуется 25,19 долл. на одну запись. На общение с прессой, инвесторами, судебное расследование, услуги адвокатов, внешние и внутренние call-центры, почту и прочие услуги после уведомления пострадавших уходит еще 47,39 долл. на одну приватную запись. Наконец, потери вследствие снижения привлекательности торговой марки и ухудшения репутации составляют 98,32 долл. Этот ущерб обусловлен оттоком лояльных клиентов и трудностями в привлечении новых.

Средний ущерб из-за утечки всего одной приватной записи

Мероприятие Средние прямые издержки (долларов) Средние косвенные издержки (долларов) Средняя упущенная прибыль (долларов) Всего (долларов)
Выявление и исследование инцидента 5,76 5,51 11,27
Уведомление 13,03 12,16 25,19
Дальнейшие мероприятия 35,42 11,97 47,39
Издержки ухудшения репутации 98,32 98,32
Сумма затрат на компенсацию утечки 54,21 29,64 98,32 182,17
Последующие траты на ИТ-подразделения 6,85 6,85

Источник: Ponemon Institute, 2006

Конечно, эти суммы нельзя полностью переносить на российские утечки. Ведь в России нет закона, который заставлял бы компанию хоть кому-то сообщать об инциденте. Следовательно, потери на уведомление пострадавших, а также юридические издержки можно вообще не учитывать. Конечно, в перспективе в нашей стране появится регулирование, дублирующее аналогичные законы США и Евросоюза. Все к этому идет – государство закручивает гайки. Однако произойдет это не скоро. Что действительно вполне подходит для российской ментальности, так это косвенный ущерб, выраженный в статье "издержки ухудшения репутации". На их долю приходится наибольшая часть убытков, при этом они совсем не зависят от законодательства. Таким образом, можно утверждать, что если российской компании не удастся сохранить свою утечку в тайне, она столкнется с серьезным имиджевым вредом, который очень легко можно оценить в финансовых показателях.

Косвенные потери

Обратимся теперь к исследованию "Внутренние ИТ-угрозы в России 2006", в ходе которого было опрошено 1450 российских организаций. У нас, как и за рубежом, в числе наиболее плачевных последствий утечки фигурируют удар по репутации и потеря клиентов (79,2%), прямые финансовые убытки (46%), падение конкурентоспособности (25,2%). При этом юридические издержки составляют лишь 10%. Другими словами, российские организации действительно не боятся судебного преследования и наказания со стороны правоохранительных или надзорных органов. В то же самое время руководители отдают себе отчет в том, что если об утечке станет известно публике, то избежать потери репутации вряд ли удастся. Это в свою очередь прямиком приводит к потере существующих клиентов и трудностям в привлечении новых клиентов.

Наиболее плачевные последствия утечки конфиденциальной информации, Россия, 2006

Наиболее плачевные последствия утечки конфиденциальной информации, Россия, 2006

Источник: InfoWatch, 2007

Для полноты картины следует отметить ФЗ "О персональных данных", который был принят в июле 2006 года и вступил в силу в феврале 2007 года. Это, безусловно, положительный сдвиг, хотя кардинально изменить ситуацию ему вряд ли удастся. В России просто не хватает правоприменительной практики и официального стандарта по защите приватных данных.

Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»