|
|
Обзор подготовлен
При поддержке
Несмотря на то, что тема утечек информации широко освещается в современных СМИ, далеко не все компании осознают реальный ущерб от подобных инцидентов. Проблема в том, что большая часть потерь в результате утечки приходится на так называемый "косвенный" ущерб, который редко поддается прямой численной оценке.
В большинстве случаев компаниям не удается подсчитать ущерб от одного инцидента. Однако, собрав данные по некой выборке утечек, можно примерно оценить средние потери. Именно так и поступает исследовательский центр института Понемона (Ponemon Institute), публикующий ежегодные отчеты о стоимости утечек информации.
В 2007г. вышло очередное исследование - 2007 Annual Study: Cost of a Data Breach. Исследователи Ponemon проанализировали выборку из 35 утечек, случившихся в американских компаниях различных секторов экономики. Сразу же оговоримся, что все в результате всех этих инцидентов терялись персональные сведения клиентов, а не интеллектуальная собственность компаний. На практике оценить средний ущерб от потери интеллектуальной собственности не представляется возможным – он может составлять практически любую сумму, вплоть до миллионов или даже миллиардов долларов.
Прежде чем переходить к конкретным цифрам, остановимся на теоретических основах. Итак, из каких слагаемых складывается ущерб в результате утечки персональных сведений?
Когда компания теряет персональные сведения, в первую очередь, она должна оповестить пострадавших. В западных странах уже давно приняты законодательные акты, которые обязывают проводить оповещение в обязательном порядке. В частности, такие нормативы уже действуют в 44 американских штатах, не за горами и подписание единого федерального акта.
Как правило, оповещение пострадавших включает в себя типовой комплекс мер: рассылку писем с информацией об инциденте, организацию бесплатной телефонной линии и специального портала для пострадавших, а также (опционально) оплату услуги кредитного мониторинга сроком на один-два года.
Стоимость всех этих мер в расчете на одну скомпрометированную запись не велика, однако если количество пострадавших измеряется миллионами, то и прямые расходы на оповещение становятся неприлично большими. В частности, Университет Юты, потерявший ленту с персональными сведениями 2,2 млн человек, потратил полмиллиона долларов только на почтовую рассылку. Добавим, что стоимость годовой подписки на кредитный мониторинг значительно выше – в расчете на одну приватную запись она составляет 150-180 долл. в год.
"Второй немаловажной составляющей ущерба являются внутренние мероприятия, которые проводятся внутри компании, - рассказывает руководитель аналитического центра компании Perimetrix Владимир Ульянов. - Любую утечку необходимо расследовать, найти и наказать виновных, а также оповестить об инциденте правоохранительные органы и регуляторов. В дальнейшем компании неизбежно придется инвестировать средства в развитие информационной безопасности, иначе случившийся инцидент может повториться уже в ближайшем будущем".
Однако все перечисленные потери меркнут перед самой объемной строкой косвенных расходов – так называемым, репутационным ущербом. Дело в том, что в результате публичных утечек страдает имидж и репутация компании, а это, в свою очередь, приводит к оттоку старых и к сложностям с привлечением новых клиентов. А для любой уважающей себя компании клиентская база является самым важным и наиболее ценным активом. По данным Ponemon Institute, средняя доля репутационных потерь в общих расходах на ликвидацию утечек составляет 56%.
В рамках исследования, специалисты Ponemon Institute проводили подробные интервью с представителями компаний, которые допускали утечки информации. Это означает, что все представленные в отчете данные являются реальной, а не гипотетической или косвенной оценкой потерь. С другой стороны, выборку из 35 респондентов можно признать вполне репрезентативной для такого рода исследований.
По сравнению с прошлым годом, средний ущерб от утечки информации в расчете на одну потерянную запись вырос на 7%, достигнув отметки в 197 долл. Несмотря на то, что темпы роста в течение года находятся в пределах статистической погрешности, тенденция налицо. По сравнению с 2005 г., убытки выросли почти на 42%. По мнению аналитиков Perimetrix, на фоне финансового кризиса в США, снижения курса доллара и роста инфляции, тенденция к росту продолжится и в нынешнем году, причем ее темпы, скорее всего, также вырастут.
Средний ущерб от одной утечки в расчете на одну потерянную запись
Источник: Ponemon Institute, 2007
Отметим, что среднее значение ущерба обратно пропорционально количеству скомпрометированных записей. Например, удельные потери розничных компаний от утечек составляют всего 145 долл. При этом необходимо учитывать, что именно розничные компании допускают наиболее масштабные инциденты, в результате которых страдают миллионы человек.
"Чем большее количество приватных записей было скомпрометировано – тем меньше средний ущерб в расчете на одну приватную запись, - считает менеджер проектов по информационной безопасности компании "УСП Компьюлинк" Александр Юрков, – Вместе с тем, существует некое минимальное значение ущерба, которым сопровождается практически любая утечка. Репутационные потери никогда не бывают нулевыми, даже если пострадали всего лишь несколько десятков записей".
Обозначенный ущерб в 197 долларов аналитики Ponemon разбили на четыре составляющих, три из которых показали тенденцию к падению и только одна – к росту. Причины такого развития событий очевидны – с одной стороны, компании набирают определенный опыт и тратят на ликвидацию последствий утечек меньшее количество ресурсов.
С другой стороны, обычные люди более внимательно относятся к утечкам и стремятся избегать встреч с допускающими их компаниями. Как следствие, увеличивается ненормальный отток клиентов после инцидентов, а значит, растут и репутационные издержки.
Структура потерь от одной утечки данных (в расчете на одну учетную запись)
Источник: Ponemon Institute, 2007
Между прочим, рост репутационных издержек во многом объясняется и растущей медиа-активностью в этом направлении. По данным различных опросов, современные люди опасаются расплачиваться банковскими картами в супермаркетах и интернет-магазинах именно из-за проблемы утечек. В будущем эта тенденция будет только усиливаться, до тех пор, пока в индустрии борьбы с утечками не произойдет коренного перелома.
По данным Ponemon Institute, следствием утечки персональных сведений клиентов является их "аномальный отток", среднее значение которого составляет 2,67%. В масштабах крупной корпорации это просто огромный показатель, восстановление которого требует масштабных инвестиции в НИОКР, рекламу и маркетинг. Отметим, что в некоторых случаях "аномальный отток" был значительно выше и достигал отметки в 6-8%.
Еще одним интересным трендом, который активно проявился в прошлом году, стал рост количества инцидентов, случившихся по вине "третьих" компаний, партнеров или аутсорсеров. Такие инциденты происходят в том случае, если компания делится персональными сведениями своих клиентов с другими организациями, которые в дальнейшем эти сведения теряют.
Утечки в результате деятельности "третьих" компаний (партнеров или аутсорсеров)
Источник: Ponemon Institute, 2007
"Бороться с утечками из партнерских организаций достаточно трудно – в подавляющем большинстве случаев компания не может проконтролировать их деятельность, - считает Александр Юрков, – Поэтому, передавая конфиденциальную информацию на хранение третьей фирмы, необходимо заключать соглашение о неразглашении, в котором должна быть прописана ответственность сторон в случае тех или иных инцидентов".
Средний ущерб от одной утечки в результате деятельности "третьих" компаний
Источник: Ponemon Institute, 2007
По данным Ponemon, в 2007 году подобные случаи стали происходит значительно чаще – на долю "третьих" компаний пришлось как минимум 40% утечек. Отметим, что удельный ущерб от такого рода инцидентов несколько выше, поскольку компаниям приходится тратить дополнительное время и деньги на организацию взаимодействия друг с другом. Кроме того, репутационные издержки от подобных утечек приходятся на две компании вместо одной.
Полученную информацию можно переносить на российскую почву лишь с определенными допущениями. Главное отличие состоит в том, что в нашей стране до сих пор не принят закон, который обязывает компании раскрывать информацию об утечках персональных сведений. И потому, если компания теряет такую информацию, она может никому об этом не сообщать.
Вместе с тем, если информация о случившейся утечке все же попала в прессу, то результаты Ponemon (особенно относительно "аномального оттока" и репутационных издержек) оказываются вполне актуальными и в нашей стране. Конечно, конкретные числовые значения могут быть несколько другими, однако здесь важен порядок тех показателей, из которых складывается ущерб. А этот порядок явно показывает, что утечка всего лишь пяти тысяч приватных записей обойдется компании практически в миллион долларов. Другими словами, предупреждение даже одной сравнительно небольшой утечки с лихвой покрывает все затраты на внедрение системы адекватной защиты.
При этом, необходимо помнить и об утечках интеллектуальной собственности (технических разработок, бизнес-планов и т. д.), убытки от которых крайне трудно оценить численно. Однако и без оценки очевидно, что они очень велики.
Существенный пласт подобных утечек покрывается теми же системами защиты, а значит – ценность последних в рамках корпоративной инфраструктуры только возрастает. Добавим, что внедрение систем защиты от утечек позволяет, обычно, решить и ряд сопутствующих задач, самой яркой из которых является классификация корпоративной информации.
"Конечно, ущерб от утечек в США или Великобритании значительно выше, чем в России, - считает директор по маркетингу компании Perimetrix Денис Зенкин. – Однако даже сравнительно небольшой "российский" ущерб является вполне достаточным основанием для инвестиций в это направление. Как следствие, мы наблюдаем взрывной рост спроса на защитные системы, который вряд ли прекратится в течение ближайших нескольких лет".
Алексей Доля
CNews: Проводились ли вашей компанией расчеты по срокам окупаемости DLP проектов?
Ольга Горшкова: Экономическая эффективность DLP-решения обычно оценивается во время пилотных проектов – после установки системы в режим мониторинга обычно в течение первого рабочего дня выявляются нарушения, которые могут стоить компании довольно серьезных убытков. На основе статистики пилотного проекта расчеты окупаемости обычно проводим не мы, а наши заказчики, каждый по своей, принятой в конкретной компании методике. В нашей практике встречались три основных подхода. Первый – оценивается риск возможных санкций за невыполнение требований регулятора. Второй – оценивалась стоимость защищаемой информации. Третий – финансовая ответственность за риски утечки информации переносилась на сотрудников, т.е. за нарушение политики обращения с конфиденциальной информацией сотрудники лишались премии. По любой методике расчета получается, что, сохраняя конфиденциальную информацию компании, система окупает себя меньше, чем за год. Бывали случаи, когда заказчик признавал, что система окупила себя при первом же инциденте, иногда даже во время пилотного проекта.
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP