Спецпроекты

Безопасность Администратору

Сколько стоит утечка на самом деле?

В последнее время все чаще звучит тема последствий утечки конфиденциальной информации или персональных данных. Но сколько придется на самом деле заплатить компании, которая пострадает от утечки? Какова будет структура этой суммы?

Структура потерь

Однако вернемся к финансовой оценке последствий утечки. Все расходы можно свести в следующую диаграмму, на которой хорошо видно, какую долю в общем объеме потерь занимает каждая категория. При этом не вызывает сомнений лидерство упущенной прибыли (52%). Однако ситуация справедлива лишь для коммерческих предприятий. Например, госструктуры не несут таких больших потерь из-за утечки и потери репутации. Вообще, вред имиджу очень трудно применить к правительству или министерствам. Ведь гражданин не может сменить эту организацию на конкурента попросту из-за отсутствия альтернативы.

Структура среднего ущерба вследствие одной утечки

Структура среднего ущерба вследствие одной утечки

Ponemon Institute, 2006

Конечно, эти цифры достаточно абстрактны. По ним трудно определить настоящий ущерб от утечек. Чтобы вычислить абсолютные значения убытков, обратимся к статистике. В результате каждого инцидента компании теряли от 2,5 до 263 тыс. приватных записей клиентов. Усредненное значение составляет 26,3 тыс. человек. Таким образом, можно определить общие убытки. В среднем, каждая компания понесла 0,8 млн. долл. косвенных издержек, 1,6 млн. долл. прямых издержек и недополучила прибыли 2,6 млн. долл. В сумме 5 млн. долл. за год. Интересно, что стоимость современных решений для защиты информации от утечек будет, как минимум, на порядок меньше.

Даже если отбросить из предлагаемой выше структуры ущерба целый ряд статей, по определению не имеющих силу в России, то все равно останется упущенная выгода и, как минимум, часть косвенного ущерба. То есть, для российских организаций можно прогнозировать средний ущерб из-за утечки в районе 3 млн. долларов.

Чтобы оценить масштабы утечек в российских организациях, стоит вернуться к исследованию "Внутренние ИТ-угрозы в России 2006". Каждая четвертая отечественная организация (24%) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9%) – от 6 до 25. Таким образом, почти половина всех респондентов (41,5%) зафиксировала в 2006 году минимум одну утечку конфиденциальной информации.

Количество утечек конфиденциальной информации, Россия, 2006

Количество утечек конфиденциальной информации, Россия, 2006

Источник: InfoWatch, 2007

Это не очень приятная статистика. Слишком многие отечественные организации допускают утечки (41,5%), а довольно существенная доля допускают сразу более 6 утечек за год (17,5%). С учетом посчитанной выше средней суммы ущерба, потери таких компаний просто впечатляют.

Ущерб от утечек обычно ассоциируется с чем-то несущественным. Понятно, если с сервера пропали несколько файлов, это не будет так заметно как, к примеру, пожар, уничтоживший оборудование. Ведь в первом случае, как будто ничего не изменилось, а во втором потребуются несколько тысяч или даже десятков тысяч долларов, чтобы возместить потери. Только если конкуренты украли ценную технологическую информацию, иной руководитель сможет посмотреть вперед и прикинуть убытки. Но подобные случаи достаточно редки. Итак, возникает иллюзия того, что потеря информации в большинстве случаев не опасна. Однако подобная точка зрения не имеет под собой никаких объективных оснований. Более того, она опасна. Так, утечка конфиденциальных данных чревата не только потерями, но может стать даже критичной для бизнеса. Это мнение полностью подтверждают пострадавшие от инсайдеров компании, участвовавшие в исследовании "2006 Annual Study". За свою халатность в отношении защиты информации от инсайдеров каждая из этих фирм поплатилась в среднем 5 млн. долларов. Также отметим результаты еще одного исследования "National Survey on Managing the Insider Threats", проведенного среди почти 500 американских компаний. Аналитики подсчитали средний ущерб от каждой утечки, он составил около 3,4 млн. долларов.

В итоге практически каждая утечка информации, ставшая достоянием публики, приносит крупные убытки: косвенные и упущенную выгоду. К тому же если адаптировать полученные оценки для российского бизнеса, то единственное, чего можно пока не бояться, это прямых потерь в связи с преследованием со стороны регулятора рынка, правоохранительных органов и пострадавших граждан, обратившихся в суд.

Еще один немаловажный аспект утечки – репутация. В России удар по репутации и потеря клиентов входят в тройку самых неприятных последствий утечки. Все это естественно выливается в снижение конкурентоспособности бизнеса.

Алексей Доля

Короткая ссылка