Максимальный подтвержденный размер финансового ущерба от утечки информации в российской компании составил 30 миллионов долларов. Об этом говорится в исследовании компании Zecurion.

Исследование проведено в октябре 2014 года с участием представителей более 100 российских компаний различных отраслей.

В среднем российские компании различных отраслей и размеров теряют от каждой утечки данных около 820 тысяч долларов - такой результат для тех случившихся инцидентов, ущерб от которых можно оценить в деньгах. При этом интересно, что потенциальный ущерб от одной предотвращенной утечки компании оценивают ниже - в 310 тысяч долларов.

Согласно исследованию, инциденты достаточно высокой степени серьезности фиксируются в различных российских компаниях раз в несколько недель. Этот показатель варьирует от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.

Так, эксперты Zecurion подсчитали, что более 90 процентов российских компаний сталкиваются с крупными утечками данных, которые могут привести к серьезным финансовым проблемам вплоть до банкротства. И лишь восемь процентов организаций не страдают от утечек данных, а в 30 процентах компаний крупного и среднего бизнеса фиксируют в среднем по две попытки в месяц похитить ценную информацию, потеря которой сказывается на финансовой стабильности фирмы.

Утекает из организаций самая разнообразная информация, включая проектную документацию, клиентские базы, сведения об инвестиционной деятельности компании, персональные данные сотрудников, коммерческие предложения, сведения о движениях на счетах клиентов и другое, отмечают эксперты.

Основными статьями ущерба вследствие утечек являются прямые потери, упущенная выгода, а также штрафы со стороны регуляторов. Если говорить о российской практике, наибольшие потери компаний приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных отраслях) или из-за получения конкурентами других преимуществ.

Большая часть компаний несет косвенные убытки вследствие кражи сотрудниками клиентской базы. В случаях выявления кражи и незаконного использования коммерческой информации сотрудниками девять процентов компаний увольняет виновников и лишь два процента привлекает их к уголовной или административной ответственности.

Если в действиях сотрудника отсутствует злой умысел, в большинстве случаев (61 процент) все заканчивается разъяснительными беседами. При серьезных последствиях непреднамеренных утечек 17 процентов работодателей прибегают к официальным выговорам и штрафам.

Кроме того, нередко на «сливе» информации попадаются топ-менеджеры компаний. Аналитики объясняют это тем, что, во-первых, топ-менеджеры имеют легальный доступ к конфиденциальной информации самого высокого уровня, прекрасно представляют ее ценность и возможные варианты использования вне компании. Во-вторых, часто руководители чувствуют свою безнаказанность.

К информации с ограниченным доступом относится: государственная, коммерческая, банковская, профессиональная, служебная тайны, персональные данные и интеллектуальная собственность.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации 155]:

• - владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
• - источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
• - промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем случае факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации (НСД).

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т.д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения.

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарные или в подвижном варианте, оборудованные самыми современными техническими средствами.

Конкурентная борьба в условиях рыночной экономики невозможна без получения достоверной информации, а стремление получить ее в условиях закрытого доступа порождает недобросовестную конкуренцию. Экономическая сущность недобросовестной конкуренции ясна - не тратить средства на проведение разработок новой продукции, а незаконно получить информацию о ней у конкурента и таким образом получить большую прибыль. Кроме того, преследуются и другие цели: уничтожить конкурента, сорвать ему выгодные сделки, понизить престиж предприятия и др.

Чтобы добыть информацию ограниченного доступа, злоумышленники имеют необходимые кадры, технические средства и отработанные способы и приемы несанкционированного доступа.

В современной практике шпионажа способами НСД являются :

• 1. Инициативное сотрудничество - проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных, готовых ради наживы на любые противоправные действия.
• 2. Склонение к сотрудничеству - это, как правило, насильственное действие со стороны злоумышленников. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа.
• 3. Выведывание, выпытывание - это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложным трудоустройством, и созданием ложных фирм, и другими действиями.
• 4. Подслушивание - способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств.
• 5. Наблюдение - способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов целенаправленно, в определенное время и в нужном месте специально подготовленными людьми, как правило, скрытно.
• 6. Хищение - умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией.
• 7. Копирование. В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в автоматизированных системах обработки данных; продукцию.
• 8. Подделка. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и др.
• 9. Уничтожение. Особую опасность представляет уничтожение информации в автоматизированных системах обработки данных, в которых накапливаются на технических носителях огромные объемы сведений различного характера. Уничтожаются и сведения о людях, и документы, и средства обработки информации, и продукция.
• 10. Незаконное подключение. Под незаконным подключением понимается контактное или бесконтактное подключение к различным линиям с целью несанкционированного доступа к информации.
• 11. Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи, переговоры, ведущиеся с подвижных средств телефонной связи, переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и др.
• 12. Негласное ознакомление - способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность с ней ознакомиться. К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки.
• 13. Фотографирование - способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа - документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.
• 14. Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение.

Краткий обзор способов НСД позволяет заключить, что к определенным источникам информации применимы и определенные способы НСД.

Условия , способствующие неправомерному овладению конфиденциальной информацией, следующие :

• - разглашение (излишняя болтливость сотрудников) - 32%;
• - несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
• - отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
• - традиционный обмен производственным опытом - 12%;
• - бесконтрольное использование информационных систем -
• - наличие предпосылок возникновения среди сотрудников конфликтных ситуаций - 8%.

Надежность и эффективность системы безопасности объекта оценивается на основе одного критерия - степени отсутствия или наличия нанесенного ему материального ущерба и морального вреда. Содержание этого критерия раскрывается через ряд показателей:

• 1) недопущение фактов утечки (разглашения) конфиденциальных сведений;
• 2) предупреждение или пресечение противоправных действий со стороны персонала предприятия, его посетителей, клиентов;
• 3) сохранность имущества и интеллектуальной собственности предприятия;
• 4) предупреждение чрезвычайных ситуаций;
• 5) пресечение насильственных преступлений в отношении отдельных (специально выделенных) сотрудников и групп сотрудников;
• 6) своевременное выявление и пресечение попыток несанкционированного проникновения на охраняемые объекты.

Однако быстрое изменение проблематики рассматриваемой области приводит к вариации подходов и методов оценки ущерба. Наиболее целесообразно эту проблему рассматривать в неразрывной связи с функционированием всех подсистем в единой комплексной системе обеспечения безопасности объекта информатизации.

Стоимость ущерба, т.е. потери финансовых, материальных ценностей и (или) информационных ресурсов на объекте при отсутствии технических средств охраны (ТСО), могут составлять 100%. При наличии же ТСО ущерб растет от нуля вплоть до времени начала ликвидации угрозы, которое состоит из времени срабатывания и времени реагирования.

В процессе ликвидации угрозы, на которое также необходимо определенное время ликвидации, рост ущерба замедляется и останавливается при окончании угрозы.

Ущерб может носить как случайный, так и намеренный характер.

При расчете стоимости риска от наступления события следует учитывать такие параметры, как:

• - стоимость возмещения прямых убытков от возможного действия (проникновения, кражи, пожара и т.д.);
• - стоимость временных расходов на восстановление последствий;
• - стоимость штрафов, прямых, косвенных убытков из-за невыполнения договорных обязательств;
• - стоимость потерь из-за невозможности проведения производственных операций.

Чрезвычайно важно рассматривать методологию оценки ущерба от противоправных нарушений в связи с методологией оценки стоимости систем защиты информации. Обе методики напрямую зависят от стоимости составляющих СЗИ технических (аппаратно-программных) средств и стоимости работ по их установке.

При организации работ по обеспечению безопасности информации оценка возможного ущерба должна являться необходимым и обязательным условием.

Активность инсайдеров набирает обороты. Каждый следующий месяц приносит еще больше утечек, чем предыдущий. Растет и ущерб от инцидентов внутренней безопасности. Апрель не стал исключением. Более двух десятков утечек зарегистрировано за месяц. Число пострадавших приближается к 3,5 млн. Огромный ущерб (свыше 500 млн долларов) понесла вследствие утечки компания ACS. Еще больше потеряла NCsoft из-за инсайдерской выходки уволенных программистов. Ее убытки составили 1 млрд.

В последние годы хорошо просматривалась тенденция к постепенному увеличению убытков вследствие утечек. Наблюдение касается и среднего ущерба на один инцидент, и максимальных размеров отдельных утечек. Поэтому утечки с ущербом в несколько десятков миллионов долларов уже не шокируют. Тем не менее, астрономические величины потерь в сотни миллионов и даже миллиарды не могут не задевать. Ведь от действий инсайдеров не застрахована ни одна организация. И если информация не защищена от утечек с помощью современных комплексных систем, убытки могут привести к банкротству компании.

В апреле произошло сразу две утечки с приставкой "мега". Во-первых, это очередной инцидент в компании ACS (Affiliated Computer Services), а во-вторых, утечка программного кода новой игры Lineage III от разработчика NCsoft. Примечательно, что обе компании уже компрометировали себя, поскольку не способны уберечь информацию от утечек. ACS в прошлые годы отличилась несколькими утечками. В 2004 году компания даже потеряла выгодный контракт с правительством США. Тем не менее, сотрудничество продолжалось, и теперь ACS снова подвела федеральные власти.

Что касается NCsoft, софтверная компания также на протяжении некоторого времени испытывала проблемы с внутренним менеджментом. Утечки данных происходили осенью 2006 года. Чтобы улучшить ситуацию, владельцы уволили руководителя проекта, но это лишь обострило проблемы. Вслед за начальником команды компанию покинуло большое число разработчиков. Семеро программистов перед увольнением скопировали код новой игры. А вскоре вышли на связь с конкурирующей японской фирмой и продали исходники. По оценкам NCsoft, убыток составит свыше миллиарда долларов, что сопоставимо с продажами двух предыдущих версий игры.

Топ-10 инцидентов внутренней безопасности, апрель, 2007

Источник: InfoWatch, 2007

Среди апрельских инцидентов можно выделить несколько закономерностей. К традиционно большому числу мобильных утечек добавилось множество веб-утечек. Нередко сайты имеют уязвимости, которые позволяют получить доступ к данным. Но гораздо чаще информация просто находится в свободном пользовании. По ошибке веб-мастера выкладывают всевозможные сведения. В некоторых случаях приватные данные размещают временно, но потом забывают убрать. Впрочем, понятие "временно" для интернета не совсем актуально. Современные поисковые машины быстро индексируют содержимое доступных страниц и сохраняют данные в кэше. После этого информация будет доступна пользователям глобальной сети, даже если оригинальную страницу уже убрали с сервера.

Кроме того, в апреле зафиксировано три инцидента, когда утечка происходила во время транспортировки носителей. Многие компании совершенно неверно относятся к пересылке носителей с данными. Информация при этом оказывается особенно уязвимой, поэтому следует в обязательном порядке шифровать чувствительные файлы.

Еще одна распространенная ошибка – неправильная утилизация документов с конфиденциальной информацией. Проблема относится и к электронным носителям, и к бумагам. Недавно целый ряд британских банков получил строгие взыскания от регуляторов, а общество Nationwide Building Society заплатило штраф в 900 тыс фунтов стерлингов. Теперь привычку выбрасывать персональные данные клиентов переняли американские компании.

Как подсчитывать убытки

Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. Тем не менее, существует общая методика, с помощью которой можно оценить примерные убытки. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались скомпрометированы. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях, одни почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Количество жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.

Рассмотрим для ясности пример с кражей персональных данных из Bank of America. На пропавшем ноутбуке находились персональные данные примерно 40 тыс сотрудников сети банков. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, прямые издержки составляют в среднем 54 долл. на каждого пострадавшего. Это траты на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. В нашем случае общие прямые издержки получатся 2,16 млн. долл. Средние косвенные издержки составляют по 30 долл. на одну украденную запись. Тогда общие косвенные убытки будут равны 1,2 млн.

В данной ситуации можно предположить, что Bank of America избежит издержек упущенной выгоды. Ведь утеряны данные не клиентов, а собственных служащих. Разумеется, часть работников могла уволиться из филиалов. Чтобы не допустить этого, руководство Bank of America уже пообещало, что все люди, чьи данные находились на украденном лэптопе, получат бесплатный мониторинг счетов в течение 2 лет. Цены на подобную услугу достаточно стабильны в различных агентствах и составляют порядка 120 долларов в год на одного человека. Это еще 9,6 млн долл. Прибавим сюда уже посчитанные 3,36 млн косвенных и прямых издержек. Получим итоговое значение 12,96 млн долл.

Разумеется, посчитанные таким способом цифры не точно совпадают с реальными убытками в каждом случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.

Алексей Доля

Несмотря на то, что тема утечек информации широко освещается в современных СМИ, далеко не все компании осознают реальный ущерб от подобных инцидентов. Проблема в том, что большая часть потерь в результате утечки приходится на так называемый "косвенный" ущерб, который редко поддается прямой численной оценке.

В большинстве случаев компаниям не удается подсчитать ущерб от одного инцидента. Однако, собрав данные по некой выборке утечек, можно примерно оценить средние потери. Именно так и поступает исследовательский центр института Понемона (Ponemon Institute), публикующий ежегодные отчеты о стоимости утечек информации.

В 2007г. вышло очередное исследование - 2007 Annual Study: Cost of a Data Breach. Исследователи Ponemon проанализировали выборку из 35 утечек, случившихся в американских компаниях различных секторов экономики. Сразу же оговоримся, что все в результате всех этих инцидентов терялись персональные сведения клиентов, а не интеллектуальная собственность компаний. На практике оценить средний ущерб от потери интеллектуальной собственности не представляется возможным – он может составлять практически любую сумму, вплоть до миллионов или даже миллиардов долларов.

Из каких слагаемых складывается ущерб?

Прежде чем переходить к конкретным цифрам, остановимся на теоретических основах. Итак, из каких слагаемых складывается ущерб в результате утечки персональных сведений?

Когда компания теряет персональные сведения, в первую очередь, она должна оповестить пострадавших. В западных странах уже давно приняты законодательные акты, которые обязывают проводить оповещение в обязательном порядке. В частности, такие нормативы уже действуют в 44 американских штатах, не за горами и подписание единого федерального акта.

Как правило, оповещение пострадавших включает в себя типовой комплекс мер: рассылку писем с информацией об инциденте, организацию бесплатной телефонной линии и специального портала для пострадавших, а также (опционально) оплату услуги кредитного мониторинга сроком на один-два года.

Стоимость всех этих мер в расчете на одну скомпрометированную запись не велика, однако если количество пострадавших измеряется миллионами, то и прямые расходы на оповещение становятся неприлично большими. В частности, Университет Юты, потерявший ленту с персональными сведениями 2,2 млн человек, потратил полмиллиона долларов только на почтовую рассылку. Добавим, что стоимость годовой подписки на кредитный мониторинг значительно выше – в расчете на одну приватную запись она составляет 150-180 долл. в год.

"Второй немаловажной составляющей ущерба являются внутренние мероприятия, которые проводятся внутри компании, - рассказывает руководитель аналитического центра компании Perimetrix Владимир Ульянов . - Любую утечку необходимо расследовать, найти и наказать виновных, а также оповестить об инциденте правоохранительные органы и регуляторов. В дальнейшем компании неизбежно придется инвестировать средства в развитие информационной безопасности, иначе случившийся инцидент может повториться уже в ближайшем будущем".

Однако все перечисленные потери меркнут перед самой объемной строкой косвенных расходов – так называемым, репутационным ущербом. Дело в том, что в результате публичных утечек страдает имидж и репутация компании, а это, в свою очередь, приводит к оттоку старых и к сложностям с привлечением новых клиентов. А для любой уважающей себя компании клиентская база является самым важным и наиболее ценным активом. По данным Ponemon Institute, средняя доля репутационных потерь в общих расходах на ликвидацию утечек составляет 56%.

Численная оценка ущерба также может быть рассчитана

В рамках исследования, специалисты Ponemon Institute проводили подробные интервью с представителями компаний, которые допускали утечки информации. Это означает, что все представленные в отчете данные являются реальной, а не гипотетической или косвенной оценкой потерь. С другой стороны, выборку из 35 респондентов можно признать вполне репрезентативной для такого рода исследований.

По сравнению с прошлым годом, средний ущерб от утечки информации в расчете на одну потерянную запись вырос на 7%, достигнув отметки в 197 долл. Несмотря на то, что темпы роста в течение года находятся в пределах статистической погрешности, тенденция налицо. По сравнению с 2005 г., убытки выросли почти на 42%. По мнению аналитиков Perimetrix, на фоне финансового кризиса в США, снижения курса доллара и роста инфляции, тенденция к росту продолжится и в нынешнем году, причем ее темпы, скорее всего, также вырастут.

Средний ущерб от одной утечки в расчете на одну потерянную запись

Отметим, что среднее значение ущерба обратно пропорционально количеству скомпрометированных записей. Например, удельные потери розничных компаний от утечек составляют всего 145 долл. При этом необходимо учитывать, что именно розничные компании допускают наиболее масштабные инциденты, в результате которых страдают миллионы человек.

"Чем большее количество приватных записей было скомпрометировано – тем меньше средний ущерб в расчете на одну приватную запись, - считает менеджер проектов по информационной безопасности компании "УСП Компьюлинк" Александр Юрков, – Вместе с тем, существует некое минимальное значение ущерба, которым сопровождается практически любая утечка. Репутационные потери никогда не бывают нулевыми, даже если пострадали всего лишь несколько десятков записей".

Обозначенный ущерб в 197 долларов аналитики Ponemon разбили на четыре составляющих, три из которых показали тенденцию к падению и только одна – к росту. Причины такого развития событий очевидны – с одной стороны, компании набирают определенный опыт и тратят на ликвидацию последствий утечек меньшее количество ресурсов.

С другой стороны, обычные люди более внимательно относятся к утечкам и стремятся избегать встреч с допускающими их компаниями. Как следствие, увеличивается ненормальный отток клиентов после инцидентов, а значит, растут и репутационные издержки.

Структура потерь от одной утечки данных (в расчете на одну учетную запись)

Источник: Ponemon Institute, 2007

Между прочим, рост репутационных издержек во многом объясняется и растущей медиа-активностью в этом направлении. По данным различных опросов, современные люди опасаются расплачиваться банковскими картами в супермаркетах и интернет-магазинах именно из-за проблемы утечек. В будущем эта тенденция будет только усиливаться, до тех пор, пока в индустрии борьбы с утечками не произойдет коренного перелома.

По данным Ponemon Institute, следствием утечки персональных сведений клиентов является их "аномальный отток", среднее значение которого составляет 2,67%. В масштабах крупной корпорации это просто огромный показатель, восстановление которого требует масштабных инвестиции в НИОКР, рекламу и маркетинг. Отметим, что в некоторых случаях "аномальный отток" был значительно выше и достигал отметки в 6-8%.

Еще одним интересным трендом, который активно проявился в прошлом году, стал рост количества инцидентов, случившихся по вине "третьих" компаний, партнеров или аутсорсеров. Такие инциденты происходят в том случае, если компания делится персональными сведениями своих клиентов с другими организациями, которые в дальнейшем эти сведения теряют.

Утечки в результате деятельности "третьих" компаний (партнеров или аутсорсеров)

Источник: Ponemon Institute, 2007

"Бороться с утечками из партнерских организаций достаточно трудно – в подавляющем большинстве случаев компания не может проконтролировать их деятельность, - считает Александр Юрков, – Поэтому, передавая конфиденциальную информацию на хранение третьей фирмы, необходимо заключать соглашение о неразглашении, в котором должна быть прописана ответственность сторон в случае тех или иных инцидентов".

Средний ущерб от одной утечки в результате деятельности "третьих" компаний

Источник: Ponemon Institute, 2007

По данным Ponemon, в 2007 году подобные случаи стали происходит значительно чаще – на долю "третьих" компаний пришлось как минимум 40% утечек. Отметим, что удельный ущерб от такого рода инцидентов несколько выше, поскольку компаниям приходится тратить дополнительное время и деньги на организацию взаимодействия друг с другом. Кроме того, репутационные издержки от подобных утечек приходятся на две компании вместо одной.

Ущерб оценить можно и в условиях отечественных реалий

Полученную информацию можно переносить на российскую почву лишь с определенными допущениями. Главное отличие состоит в том, что в нашей стране до сих пор не принят закон, который обязывает компании раскрывать информацию об утечках персональных сведений. И потому, если компания теряет такую информацию, она может никому об этом не сообщать.

Вместе с тем, если информация о случившейся утечке все же попала в прессу, то результаты Ponemon (особенно относительно "аномального оттока" и репутационных издержек) оказываются вполне актуальными и в нашей стране. Конечно, конкретные числовые значения могут быть несколько другими, однако здесь важен порядок тех показателей, из которых складывается ущерб. А этот порядок явно показывает, что утечка всего лишь пяти тысяч приватных записей обойдется компании практически в миллион долларов. Другими словами, предупреждение даже одной сравнительно небольшой утечки с лихвой покрывает все затраты на внедрение системы адекватной защиты.

При этом, необходимо помнить и об утечках интеллектуальной собственности (технических разработок, бизнес-планов и т. д.), убытки от которых крайне трудно оценить численно. Однако и без оценки очевидно, что они очень велики.

Существенный пласт подобных утечек покрывается теми же системами защиты, а значит – ценность последних в рамках корпоративной инфраструктуры только возрастает. Добавим, что внедрение систем защиты от утечек позволяет, обычно, решить и ряд сопутствующих задач, самой яркой из которых является классификация корпоративной информации.

"Конечно, ущерб от утечек в США или Великобритании значительно выше, чем в России, - считает директор по маркетингу компании Perimetrix Денис Зенкин . – Однако даже сравнительно небольшой "российский" ущерб является вполне достаточным основанием для инвестиций в это направление. Как следствие, мы наблюдаем взрывной рост спроса на защитные системы, который вряд ли прекратится в течение ближайших нескольких лет".

Алексей Доля