Спецпроекты

Безопасность Госрегулирование

Япония не может наказать инсайдера

В марте было зарегистрировано внушительное количество инцидентов: произошла крупнейшая утечка за всю историю Японии, причем по закону инсайдер виновен только в краже винчестера. Также произошло немало других случаев, каждый из которых причинил ущерб в миллионы долларов. Сезонное обострение особенно заметно по сравнению с относительно спокойным (хотя и не последним по ущербу) февралем.

Более того, общее число людей, чьи персональные данные оказались скомпрометированы, уже перевалило за 40 млн. Судя по всему, ущерб от этой утечки будет измеряться миллиардами долларов.

Топ-5 утечек информации в мире по сумме ущерба, февраль 2007

Инцидент Дата занесения в базу Число пострадавших Ущерб
1

Утечка информации о держателях электронных карт из TJX Companies

7 февраля 40 млн человек 7 млрд долл.
2

Бывший научный сотрудник DuPont украл документыи разработки компании. Заказчик - Victrex

14 февраля 60 тыс человек 400 млн долл.
3

Из медицинского центра ветеранов вооруженных сил США в Бирмингеме украден ноутбук с персональными данными врачей и пациентов

3 февраля 1,8 млн человек 367 млн долл.
4

Пропажа лэптопа и диска с данными о пациентах из медицинского центра Vassar Brothers

10 февраля 257,8 тыс человек 47 млн долл.
5

Министерство образования США допустило утечку из базы данных жителей Айовы

21 февраля 160 тыс человек 27,2 млн долл.

Источник: InfoWatch, 2007

В феврале произошло еще несколько громких утечек. Например, в Израиле был предан огласке полный реестр персональных данных граждан. Оказывается, одна из политических партий, участвующих в парламентских выборах, нарушила договор и выложила сведения в открытый доступ. Теперь тайной личности в стране могут похвастаться лишь младенцы.

Теперь посмотрим на еще один чрезвычайно любопытный инцидент – на утечку из DuPont. В прессе не часто сообщается о краже интеллектуальной собственности. Однако сохранить в тайне инцидент в DuPont было просто невозможно. Один единственный инсайдер без какой-либо поддержки извне украл разработки и конфиденциальные документы компании на сумму 400 млн долларов. Причем ущерб мог стать вполне реальным, так как инсайдер собирался передать всю информацию конкуренту DuPont – фирме Victrex. Он даже получил там ноутбук, на который закачал все конфиденциальные документы из внутренней сети DuPont. Предотвратить инцидент удалось только чудом: инсайдер просто не успел передать информацию в Victrex. Агенты ФБР успели вовремя…

Между тем, два десятка других инцидентов февраля выделяются разве что количеством пострадавших. В основной массе – это "классические" американские утечки из государственных ведомств, учреждений здравоохранения и образования. Всего за месяц аналитики насчитали около 48,5 млн пострадавших.

Способы подсчета убытков

Расчет убытков следует производить индивидуально для каждого конкретного случая. Однако можно применять общую методику, позволяющую произвести быструю оценку даже не специалисту. За основу берется число пострадавших из-за инцидента и характер потерянной информации. Далее оценивается предварительный ущерб. К примеру, в большинстве штатов США принят закон, который требует оповестить всех граждан, чьи приватные данные были скомпрометированы вследствие утечки. Извещения рассылает виновная в утечке организация. Средние расходы на оповещение каждого потерпевшего гражданина известны из аналитических отчетов. Далее определяется число тех граждан, которые все-таки станут жертвой мошенников из-за данной утечки. Количество жертв различается для каждой страны, сферы деятельности и масштаба утечки. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа граждан, чья информация скомпрометирована. Если какие-то из показателей не определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются облегчающие и отягчающие обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут заметно выше, чем для государственного образовательного учреждения. Не последнюю роль играет и мнение правоохранительных органов, расследующих инцидент, и местных экспертов относительно перспектив дела.

Рассмотрим для ясности пример с кражей персональных данных более подробно. Для опыта отлично подходит инцидент с пропажей дешифрованного диска Ассоциации Голубого креста и Голубого щита. Число потенциальных жертв утечки составляет 75 тыс человек. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". Согласно данным Ponemon Institute, прямые издержки на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и т.п. составляют в среднем 54 долл. на каждого пострадавшего. В нашем случае общие прямые издержки получатся равными 4,05 млн долл. Средние косвенные издержки составляют по 30 долл. на одну украденную персональную запись. Тогда суммарные косвенные убытки будут равны 2,25 млн.

В данной конкретной ситуации упущенная выгода компании будет минимальна. WellPoint постаралась сделать все возможное, чтобы исключить такую статью расходов. В частности, всем пострадавшим пообещали оплатить мониторинг банковских счетов за ближайший год. Цены на подобную услугу в США достаточно стабильны и составляют примерно 120-130 долларов на человека. Это еще 9,4 млн долл. расходов. Прибавим сюда уже посчитанные 6,3 млн косвенных и прямых издержек. Получим итоговое значение 15,7 млн долл.

Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. В частности, в нашем случае львиную долю расходов могли составить издержки упущенной прибыли, если бы WellPoint не позаботилась о защите клиентов. Тем не менее, полученные значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.

Алексей Доля

Короткая ссылка