|
|
|
Сколько стоит утечка?
В последнее время все чаще звучит тема последствий утечки конфиденциальной информации или персональных данных. Но сколько придется на самом деле заплатить компании, которая пострадает от утечки? Какова будет структура этой суммы?
В последнее время все большую актуальность приобретает вопрос о том, сколько денег теряет предприятие из-за утечки персональных данных или конфиденциальной информации. Дело в том, что в 2006 году зафиксирован небывалый рост количества утечек из компаний самых разных сфер деятельности. Например, в конце прошлого года концерн Boeing потерял ноутбук с приватными сведениями почти 400 тыс. своих работников. Уже в январе 2007 года компания TJX допустила утечку информации о кредитных картах миллионов покупателей. Из последних российских инцидентов можно вспомнить нашумевшее дело об утечке базы данных пользователей петербургского провайдера Valuehost. Более того, в продаже постоянно появляются базы данных, в том числе, государственных организаций. Не так давно в продажу поступила база с компрометирующей информацией и данными о прослушивании телефонов российских политиков и обычных граждан. Десятку самых громких утечек 2006 года недавно опубликовал CNews.
Итак, каковы реальные потери компаний от утечек и инсайдерских инцидентов? Чтобы разобраться в этой проблеме, следует обратиться к нескольким исследованиям, позволяющим уточнить масштабы утечек и оценить их последствия.
Ущерб от утечек
В исследовании «2006 Annual Study — Cost of a Data Breach», проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией. Выяснилось, что подавляющее большинство граждан (59 %) либо уже отказалось от услуг ненадежной фирмы, либо собирается прервать сотрудничество в ближайшем будущем.
Действия клиента в случае компрометации приватных данных
Источник: Ponemon Institute, 2006
Отметим, что для коммерческих предприятий именно лояльное отношение клиентов зачастую является главной целью. Если лояльные клиенты рассержены и покидают компанию или даже переходят к конкурентам, то дела плачевны. Действительно, когда речь заходит об ущербе вследствие утечек, прежде всего в голову приходит мысль о вреде для репутации. Имиджевый ущерб тоже можно оценить в финансовых показателях. Согласно все тому же исследованию, каждая утечка приносит компании средний ущерб в размере 4,8 млн долл. Откуда взялась такая астрономическая цифра? Дело в том, что при утечке персональных данных существует целый комплекс обязательных мероприятий, которые необходимо выполнить виновным предприятиям. Прежде всего, по американским законам компания должна уведомить всех пострадавших. Затем организуются call-центры, создаются службы для общения с инвесторами, прессой, проводится судебное расследование и т.д. Все вместе требует солидных финансовых затрат. Но наибольший ущерб приносят отнюдь не прямые и косвенные убытки на выявление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.
Логичнее всего рассчитать потери компании, исходя из количества украденных приватных записей. Так, на выявление и расследование утечки затрачивается 11,27 долл. на каждую утерянную запись. Сюда входят такие мероприятия, как внутренние расследования, услуги консультантов и аудиторов. Далее, на базовые мероприятия по уведомлению пострадавших по почте, телефону, через интернет и печатные издания требуется 25,19 долл. на одну запись. На общение с прессой, инвесторами, судебное расследование, услуги адвокатов, внешние и внутренние call-центры, почту и прочие услуги после уведомления пострадавших уходит еще 47,39 долл. на одну приватную запись. Наконец, потери вследствие снижения привлекательности торговой марки и ухудшения репутации составляют 98,32 долл. Этот ущерб обусловлен оттоком лояльных клиентов и трудностями в привлечении новых.
Средний ущерб из-за утечки всего одной приватной записи
Мероприятие |
Средние прямые издержки (долларов) |
Средние косвенные издержки (долларов) |
Средняя упущенная прибыль (долларов) |
Всего (долларов) |
Выявление и исследование инцидента |
5,76 |
5,51 |
— |
11,27 |
Уведомление |
13,03 |
12,16 |
— |
25,19 |
Дальнейшие мероприятия |
35,42 |
11,97 |
— |
47,39 |
Издержки ухудшения репутации |
— |
— |
98,32 |
98,32 |
Сумма затрат на компенсацию утечки |
— |
— |
98,32 |
98,32 |
Последующие траты на ИТ-подразделения |
6,85 |
— |
— |
6,85 |
Источник: Ponemon Institute, 2006
Конечно, эти суммы нельзя полностью переносить на российские утечки. Ведь в России нет закона, который заставлял бы компанию хоть кому-то сообщать об инциденте. Следовательно, потери на уведомление пострадавших, а также юридические издержки можно вообще не учитывать. Конечно, в перспективе в нашей стране появится регулирование, дублирующее аналогичные законы США и Евросоюза. Все к этому идет — государство закручивает гайки. Однако произойдет это не скоро. Что действительно вполне подходит для российской ментальности, так это косвенный ущерб, выраженный в статье «издержки ухудшения репутации». На их долю приходится наибольшая часть убытков, при этом они совсем не зависят от законодательства. Таким образом, можно утверждать, что если российской компании не удастся сохранить свою утечку в тайне, она столкнется с серьезным имиджевым вредом, который очень легко можно оценить в финансовых показателях.
Косвенные потери
Обратимся теперь к исследованию «Внутренние ИТ-угрозы в России 2006», в ходе которого было опрошено 1450 российских организаций. У нас, как и за рубежом, в числе наиболее плачевных последствий утечки фигурируют удар по репутации и потеря клиентов (79,2 %), прямые финансовые убытки (46 %), падение конкурентоспособности (25,2 %). При этом юридические издержки составляют лишь 10 %. Другими словами, российские организации действительно не боятся судебного преследования и наказания со стороны правоохранительных или надзорных органов. В то же самое время руководители отдают себе отчет в том, что если об утечке станет известно публике, то избежать потери репутации вряд ли удастся. Это в свою очередь прямиком приводит к потере существующих клиентов и трудностям в привлечении новых клиентов.
Наиболее плачевные последствия утечки конфиденциальной информации, Россия, 2006
Источник: InfoWatch, 2007
Для полноты картины следует отметить ФЗ «О персональных данных», который был принят в июле 2006 года и вступил в силу в феврале 2007 года. Это, безусловно, положительный сдвиг, хотя кардинально изменить ситуацию ему вряд ли удастся. В России просто не хватает правоприменительной практики и официального стандарта по защите приватных данных.
Структура потерь
Однако вернемся к финансовой оценке последствий утечки. Все расходы можно свести в следующую диаграмму, на которой хорошо видно, какую долю в общем объеме потерь занимает каждая категория. При этом не вызывает сомнений лидерство упущенной прибыли (52 %). Однако ситуация справедлива лишь для коммерческих предприятий. Например, госструктуры не несут таких больших потерь из-за утечки и потери репутации. Вообще вред имиджу очень трудно применить к правительству или министерствам. Ведь гражданин не может сменить эту организацию на конкурента попросту из-за отсутствия альтернативы.
Структура среднего ущерба вследствие одной утечки
Ponemon Institute, 2006
Конечно, эти цифры достаточно абстрактны. По ним трудно определить настоящий ущерб от утечек. Чтобы вычислить абсолютные значения убытков, обратимся к статистике. В результате каждого инцидента компании теряли от 2,5 до 263 тыс. приватных записей клиентов. Усредненное значение составляет 26,3 тыс. человек. Таким образом, можно определить общие убытки. В среднем, каждая компания понесла 0,8 млн. долл. косвенных издержек, 1,6 млн. долл. прямых издержек и недополучила прибыли 2,6 млн долл. В сумме 5 млн долл. за год. Интересно, что стоимость современных решений для защиты информации от утечек будет, как минимум, на порядок меньше.
Даже если отбросить из предлагаемой выше структуры ущерба целый ряд статей, по определению не имеющих силу в России, то все равно останется упущенная выгода и, как минимум, часть косвенного ущерба. То есть, для российских организаций можно прогнозировать средний ущерб из-за утечки в районе 3 млн долларов. По данным исследования «Внутренние ИТ-угрозы в России 2006» каждая четвертая отечественная организация (24 %) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9 %) — от 6 до 25. Таким образом, почти половина всех респондентов (41,5 %) зафиксировала в 2006 году минимум одну утечку конфиденциальной информации.
Количество утечек конфиденциальной информации, Россия, 2006
Источник: InfoWatch, 2007
Это не очень приятная статистика. Слишком многие отечественные организации допускают утечки (41,5 %), а довольно существенная доля допускают сразу более 6 утечек за год (17,5 %). С учетом посчитанной выше средней суммы ущерба, потери таких компаний просто впечатляют.
Ущерб от утечек обычно ассоциируется с чем-то несущественным. Понятно, если с сервера пропали несколько файлов, это не будет так заметно как, к примеру, пожар, уничтоживший оборудование. Ведь в первом случае, как будто ничего не изменилось, а во втором потребуются несколько тысяч или даже десятков тысяч долларов, чтобы возместить потери. Только если конкуренты украли ценную технологическую информацию, иной руководитель сможет посмотреть вперед и прикинуть убытки. Но подобные случаи достаточно редки. Итак, возникает иллюзия того, что потеря информации в большинстве случаев не опасна. Однако подобная точка зрения не имеет под собой никаких объективных оснований. Более того, она опасна. Так, утечка конфиденциальных данных чревата не только потерями, но может стать даже критичной для бизнеса. Это мнение полностью подтверждают пострадавшие от инсайдеров компании, участвовавшие в исследовании «2006 Annual Study». За свою халатность в отношении защиты информации от инсайдеров каждая из этих фирм поплатилась в среднем 5 млн долларов. Также отметим результаты еще одного исследования «National Survey on Managing the Insider Threats», проведенного среди почти 500 американских компаний. Аналитики подсчитали средний ущерб от каждой утечки, он составил около 3,4 млн. долларов.
В итоге практически каждая утечка информации, ставшая достоянием публики, приносит крупные убытки: косвенные и упущенную выгоду. К тому же если адаптировать полученные оценки для российского бизнеса, то единственное, чего можно пока не бояться, это прямых потерь в связи с преследованием со стороны регулятора рынка, правоохранительных органов и пострадавших граждан, обратившихся в суд. Еще один немаловажный аспект утечки — репутация. В России удар по репутации и потеря клиентов входят в тройку самых неприятных последствий утечки. Все это, естественно, выливается в снижение конкурентоспособности бизнеса.
Алексей Доля
|
|
