|
|
Обозрение подготовлено
В последнее время все чаще обсуждают последствия утечки конфиденциальной информации или персональных данных. Сколько в конечном итоге придется заплатить компании, которая пострадает от утечки? И какова будет структура этой суммы?
В последнее время все большую актуальность приобретает вопрос, сколько именно денег теряет предприятие из-за утечки персональных данных или конфиденциальной информации. В 2006 году зафиксирован небывалый рост количества утечек из компаний самых разных сфер деятельности. Например, в конце прошлого года концерн Boeing потерял ноутбук с приватными сведениями почти 400 тыс. своих работников. В январе 2007 года компания TJX допустила утечку информации о кредитных картах миллионов покупателей. Из последних российских инцидентов можно вспомнить нашумевшее дело об утечке базы данных пользователей петербургского провайдера Valuehost. Более того, в продаже постоянно появляются базы данных, в том числе, государственных организаций. Не так давно на рынок поступила база с компрометирующей информацией и данными о прослушивании телефонов российских политиков и обычных граждан.
В исследовании "2006 Annual Study — Cost of a Data Breach", проведенном Ponemon Institute и в рамках которого было опрошено 9 тыс. человек, респонденты поделились тем, как бы они поступили с провинившейся, с точки зрения хранения данных, компанией. Выяснилось, что подавляющее большинство граждан (59%) либо уже отказалось от услуг оказавшейся ненадежной фирмы, либо собирается прервать сотрудничество в ближайшем будущем.
Действия клиента в случае компрометации приватных данных
Источник: Ponemon Institute, 2006
Отметим, что для коммерческих предприятий именно отношение клиентов зачастую является главной целью. Когда речь заходит об ущербе вследствие утечек, прежде всего в голову приходит мысль о вреде для репутации. Имиджевый ущерб можно оценить и в финансовых показателях. Согласно все тому же исследованию, каждая утечка приносит компании средний ущерб в размере 4,8 млн долл. Откуда взялась такая астрономическая цифра? Дело в том, что при утечке персональных данных существует целый комплекс обязательных мероприятий, которые необходимо выполнить виновным предприятиям. Прежде всего, по американским законам компания должна уведомить всех пострадавших. Затем организуются call-центры, создаются службы для общения с инвесторами, прессой, проводится судебное расследование и т.д. Все вместе требует солидных финансовых затрат.
Логичнее всего рассчитать потери компании исходя из количества украденных приватных записей. Так, на выявление и расследование утечки затрачивается 11,27 долл. на каждую утерянную запись. Сюда входят такие мероприятия, как внутренние расследования, услуги консультантов и аудиторов. Далее, на базовые мероприятия по уведомлению пострадавших по почте, телефону, через интернет и печатные издания требуется 25,19 долл. на одну запись. На общение с прессой, инвесторами, судебное расследование, услуги адвокатов, внешние и внутренние call-центры, почту и прочие услуги после уведомления пострадавших уходит еще 47,39 долл. на одну приватную запись. Наконец, потери вследствие снижения привлекательности торговой марки и ухудшения репутации составляют 98,32 долл. Этот ущерб обусловлен оттоком лояльных клиентов и трудностями в привлечении новых.
Средний ущерб из-за утечки одной приватной записи
Мероприятие | Средние прямые издержки (долларов) | Средние косвенные издержки (долларов) | Средняя упущенная прибыль (долларов) | Всего (долларов) |
Выявление и исследование инцидента | 5,76 | 5,51 | — | 11,27 |
Уведомление | 13,03 | 12,16 | — | 25,19 |
Дальнейшие мероприятия | 35,42 | 11,97 | — | 47,39 |
Издержки ухудшения репутации | — | — | 98,32 | 98,32 |
Сумма затрат на компенсацию утечки | 54,21 | 29,64 | 98,32 | 182,17 |
Последующие траты на ИТ-подразделения | 6,85 | — | — | 6,85 |
Источник: Ponemon Institute, 2006
Конечно, эти суммы нельзя полностью переносить на российскую почву. В России нет пока закона, который заставлял бы компанию кому-либо сообщать об инциденте. Следовательно, потери на уведомление пострадавших, а также юридические издержки можно вообще не учитывать. Конечно, в перспективе в нашей стране появится регулирование, дублирующее аналогичные законы США и Евросоюза. Все к этому идет – государство закручивает гайки. Однако произойдет это не скоро. Что действительно вполне подходит для российской ментальности, так это косвенный ущерб, выраженный в статье "издержки ухудшения репутации". На их долю приходится наибольшая часть убытков, при этом они совсем не зависят от законодательства. Таким образом, можно утверждать, что если российской компании не удастся сохранить свою утечку в тайне, она столкнется с серьезным имиджевым вредом, который очень легко можно оценить в финансовых показателях.
Обратимся теперь к исследованию "Внутренние ИТ-угрозы в России 2006", в ходе которого было опрошено 1450 российских организаций. У нас, как и за рубежом, в числе наиболее плачевных последствий утечки фигурируют: удар по репутации и потеря клиентов (79,2%), прямые финансовые убытки (46%), падение конкурентоспособности (25,2%). При этом юридические издержки составляют лишь 10%. Другими словами, российские организации действительно не боятся судебного преследования и наказания со стороны правоохранительных или надзорных органов. В то же самое время руководители отдают себе отчет в том, что если об утечке станет известно публике, то избежать потери репутации вряд ли удастся. Это в свою очередь прямиком приводит к потере существующих клиентов и трудностям в привлечении новых клиентов.
Наиболее плачевные последствия утечек конфиденциальной информации, Россия.
Источник: InfoWatch, 2007
Для полноты картины следует отметить ФЗ "О персональных данных", который был принят в июле 2006 года и вступил в силу в феврале 2007 года. Это, безусловно, положительный сдвиг, хотя кардинально изменить ситуацию ему вряд ли удастся. В России просто не хватает правоприменительной практики и официального стандарта по защите приватных данных.
Однако вернемся к финансовой оценке последствий утечки. Все расходы можно свести в следующую диаграмму, на которой хорошо видно, какую долю в общем объеме потерь занимает каждая категория. При этом не вызывает сомнений лидерство упущенной прибыли (52%). Однако ситуация справедлива лишь для коммерческих предприятий. Например, госструктуры не несут таких больших потерь из-за утечки и потери репутации. Вообще, вред имиджу очень трудно применить к правительству или министерствам. Ведь гражданин не может сменить эту организацию попросту из-за отсутствия альтернативы.
Структура среднего ущерба вследствие одной утечки
Ponemon Institute, 2006
Конечно, эти цифры достаточно абстрактны - по ним трудно определить настоящий ущерб от утечек. Чтобы вычислить абсолютные значения убытков, обратимся к статистике. В результате каждого инцидента компании теряли от 2,5 до 263 тыс. приватных записей клиентов. Усредненное значение составляет 26,3 тыс. человек. Таким образом, можно определить общие убытки. В среднем, каждая компания понесла 0,8 млн. долл. косвенных издержек, 1,6 млн. долл. прямых издержек и недополучила прибыли 2,6 млн. долл. В сумме это 5 млн. долл. за год. Интересно, что стоимость современных решений для защиты информации от утечек будет, как минимум, на порядок меньше.
Даже если отбросить из предлагаемой выше структуры ущерба целый ряд статей, по определению не имеющих силу в России, то все равно останется упущенная выгода и, как минимум, часть косвенного ущерба. То есть, для российских организаций можно прогнозировать средний ущерб из-за утечки в районе 3 млн. долларов.
Чтобы оценить масштабы утечек в российских организациях, стоит вернуться к исследованию "Внутренние ИТ-угрозы в России 2006". Каждая четвертая отечественная организация (24%) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9%) – от 6 до 25. Таким образом, почти половина всех респондентов (41,5%) зафиксировала в 2006 году минимум одну утечку конфиденциальной информации.
Количество утечек конфиденциальной информации, Россия, 2006
Источник: InfoWatch, 2007
Это не очень приятная статистика. Слишком многие отечественные организации допускают утечки (41,5%), а довольно существенная доля допускают сразу более 6 утечек за год (17,5%). С учетом посчитанной выше средней суммы ущерба, потери таких компаний просто впечатляют. Ущерб от утечек обычно ассоциируется с чем-то несущественным. Понятно, если с сервера пропали несколько файлов, это не будет так заметно как, к примеру, пожар, уничтоживший оборудование. Ведь в первом случае, как будто ничего не изменилось, а во втором потребуются несколько тысяч или даже десятков тысяч долларов, чтобы возместить потери. Только если конкуренты украли ценную технологическую информацию, иной руководитель сможет посмотреть вперед и прикинуть убытки. Но подобные случаи достаточно редки.
Итак, возникает иллюзия того, что потеря информации в большинстве случаев не опасна. Однако подобная точка зрения не имеет под собой никаких объективных оснований. Более того, она опасна. Так, утечка конфиденциальных данных чревата не только потерями, но может стать даже критичной для бизнеса. Это мнение полностью подтверждают пострадавшие от инсайдеров компании, участвовавшие в исследовании "2006 Annual Study". За свою халатность в отношении защиты информации от инсайдеров каждая из этих фирм поплатилась в среднем 5 млн. долларов. Также отметим результаты еще одного исследования - "National Survey on Managing the Insider Threats", проведенного среди почти 500 американских компаний. Аналитики подсчитали средний ущерб от каждой утечки, который составил около 3,4 млн. долларов.
В итоге практически каждая утечка информации, ставшая достоянием публики, приносит крупные убытки, косвенные убытки и упущенную выгоду. К тому же, если адаптировать полученные оценки для российского бизнеса, то единственное, чего можно пока не бояться, это прямых потерь в связи с преследованием со стороны регулятора рынка, правоохранительных органов и пострадавших граждан, обратившихся в суд. Еще один немаловажный аспект утечки – репутация. В России удар по репутации и потеря клиентов входят в тройку самых неприятных последствий утечки. Все это, естественно, выливается в снижение конкурентоспособности бизнеса.
Алексей Доля
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP