Поделиться
ВУЗы стали гнездом инсайдеров
Инсайдеры по всему миру в поте лица трудятся над предоставлением аналитикам пищи для размышлений. Представляем первый в 2007 году обзор инцидентов внутренней ИТ-безопасности, согласно которому от утечек больше всего страдает социальная сфера, в частности ВУЗы.Особняком среди собранных в таблицу инцидентов стоит утечка базы МВД. Это та самая скандальная "база проституток", новость о которой взволновала весь российский сегмент интернета. На диске действительно содержится информация о высокопоставленных посетителях борделей, их привычках и предпочтениях. Кроме того, в базе имеются данные прослушивания телефонных разговоров и другая приватная информация 90 тыс. граждан. Впрочем, эксперты имеют некоторые сомнения относительно точности информации в базе МВД. Некоторые обстоятельства вызывают истинное недоумение. Например, зачем посетителям публичных домов сообщать свои истинные имена, адреса и должности заведению? Таким образом, правдивость информации в базе следует поставить под сомнение.
Как подсчитывать убытки
Расчет убытков производится индивидуально для каждого конкретного случая, но используется общая методика. За основу берется число пострадавших и характер потерянной информации. Далее оценивается предварительный ущерб. К примеру, в некоторых штатах США принят закон, который требует оповестить всех граждан, чьи приватные данные были скомпрометированы вследствие утечки. Причем разослать извещения должна организация, которая допустила утечку. Средние расходы на извещение каждого потерпевшего гражданина известны из аналитических отчетов.
Кажется, инсайдеры есть везде. Рост числа внутренних утечек говорит о слабости систем защиты информации
Далее определяется число тех граждан, которые все-таки станут жертвой мошенников из-за этой утечки. Количество жертв различается для каждой страны, сферы деятельности и масштаба утечки. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа граждан, чья информация скомпрометирована. Если какие-то из показателей не определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются облегчающие и отягчающие обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут заметно выше, чем для государственного образовательного учреждения. Не последнюю роль играет и мнение правоохранительных органов, расследующих инцидент, и местных экспертов относительно перспектив дела.
Рассмотрим для ясности пример с кражей персональных данных более подробно. В последних числах ноября преступники вскрыли машину работника концерна Boeing и похитили ноутбук с персональной информацией о 382 тыс. бывших и нынешних работниках компании. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". Согласно данным Ponemon Institute, прямые издержки на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. составляют в среднем 54 долл. на каждого пострадавшего. В нашем случае общие прямые издержки получатся 20 млн. 628 тыс. долл. Средние косвенные издержки составляют по 30 дол. на одну украденную персональную запись. Тогда суммарные косвенные убытки будут равны 11 млн. 460 тыс.
В данном конкретном случае можно предположить, что Boeing избежит издержек упущенной прибыли. Ведь исчезли данные не клиентов, а собственных служащих. Разумеется, при неблагоприятных обстоятельствах часть работников могла уволиться с предприятия. При таком варианте Boeing действительно пострадал бы. Однако руководство компании уже пообещало, что все люди, чьи данные находились на украденном компьютере, получат трехгодовой бесплатный мониторинг счетов. Точно не известно, какая компания будет его осуществлять, но цены на подобную услугу находятся в районе 100-130 долл. в год на одного человека. Вероятно, Boeing сможет договориться о минимальной цене, учитывая количество контролируемых счетов. Получается, на мониторинг компания потратит 114 млн. 600 тыс. долл. Прибавим сюда уже посчитанные 32 млн. 99 тыс. косвенных и прямых издержек. Итоговое значение будет равно 146 млн. 688 тыс. долл.
Конечно, приведенные цифры не обязательно совпадают с убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют реальному положению дел.
Поделиться
Короткая ссылка
