Поделиться
"Транспортные" утечки данных стоят миллионы долларов
После небывалых по масштабам убытков от внутрикорпоративных инцидентов весенних месяцев июнь принес некоторую передышку. Ущербом в 10 – 20 млн долл. сегодня уже никого не удивишь. Да и таких случаев было всего три. Стоит отметить также, что в июне почти не было "мобильных утечек". Зато сразу несколько инцидентов произошло во время транспортировки носителей с информацией. По-прежнему высоким остается и процент краж данных посредством через интернет.Пока пальма первенства принадлежит Google. Это можно понять и по новостям об инцидентах. Очень часто Google фигурирует как инструмент, который записал конфиденциальные данные в свой кэш и теперь демонстрирует их всем желающим. Компаниям стоит немалых трудов стереть индексные массивы поискового гиганта. Типичный пример – утечка персональных данных членов Федерального кредитного союза Джексонвиля. Информация совсем недолго пролежала на сервере типографии-подрядчика, однако роботы Google успели ее переписать.
Часто поисковик Google фигурируют как инструмент, который записал конфиденциальные данные в кэш и демонстрирует их всем желающим
Особняком среди интернет-утечек стоит инцидент с персональными данными сотрудников фармацевтического гиганта Pfizer. Случай нетипичен. Работник компании установил на корпоративном ноутбуке peer-to-peer клиент, чтобы скачивать музыкальные и видеофайлы других пользователей глобальной сети. Оставим на совести людей нарушение авторских прав, остановимся на вопиющем нарушении правил электронной безопасности. Сам работник открыл доступ к конфиденциальным рабочим файлам. Когда нарушение обнаружили, сведения 17 тыс сотрудников Pfizer уже по несколько раз скачали.
К крупным утечкам информации приводят и проблемы с классификацией данных. Три наиболее заметных инцидента июня не вошли в десятку лидеров, но в общей сложности обошлись пострадавшим компаниям в 645 тыс долл. В городке Шампань по ошибке с мусором выбросили и конфиденциальные документы. На официальном сайте Линчбурга опрометчиво разместили номера социального страхования служащих. А в канадском Саскатуне местные медики и вовсе продали на благотворительном аукционе приватные данные пациентов. Отсутствие классификации – налицо. А ведь для того, чтобы защищать информацию, надо знать, какие документы являются конфиденциальными, а какие могут находиться в свободном доступе.
Как подсчитывать убытки
Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. Тем не менее, существует единая методика, с помощью которой можно оценить примерные потери. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные данные оказались скомпрометированы. Уведомления об инциденте рассылает организация, допустившая утечку. Средние затраты на извещение каждого потерпевшего берутся из различных исследований. Далее определяется число граждан, которые могут стать жертвой мошенников из-за конкретной утечки. Количество жертв различается для каждой страны и сферы деятельности организации. Обычно это значение составляет от нескольких десятых процента до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.
Рассмотрим для ясности утечку персональных данных госслужащих г. Колумбуса. Работник потерял резервные кассеты с приватными сведениями 65 тыс человек. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, прямые издержки на уведомление составляют в среднем 13 долл. на каждого пострадавшего, т.е. общая сумма – 845 тыс долл. Косвенные затраты на уведомление оцениваются в 12 долл. на человека, т.е. 780 тыс долл. на всех. В нашем случае общая сумма составляет 1,63 млн долл. На проведение последующих мероприятий, организацию call-центров, судебное расследование, общение с прессой, услуги адвокатов и пр. от правительства Огайо потребуется по 47 долл. на человека. Общие убытки тогда будут равны 3,06 млн долл.
Администрация Огайо пообещала всем пострадавшим оплатить годовой мониторинг счетов, чтобы кража личности не принесла убытков гражданам. Обычно цена на подобную услугу в основных кредитных агентствах США – Equifax, Experian и TransUnion – составляет около 120 долл на человека. Однако в Колумбусе смогли договориться с небольшой техасской компанией Debix о выгодном тарифе. Debix попросила всего 660 тыс долл. за всех госслужащих.
Кроме того, известно, что 50 тыс долл. штат потратит на электронную экспертизу, которую проведут специалисты компании Interhack Corp.
Что же получается в результате? 660 тыс долл. на оплату мониторинга счетов, 50 тыс на исследование инцидента, 1,63 млн на уведомление граждан, 3,06 млн на прочие услуги. Итоговая сумма - 5,4 млн долл.
Разумеется, полученные таким способом цифры не точно совпадают с реальными убытками в каждом случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют действительному положению дел.
| Учебный центр CNews: «Защита ИТ - разработок от государства и конкурентов» 21.08 |
Поделиться
Короткая ссылка
