Финансовые последствия утечек конфиденциальной информации
В прессе постоянно появляются сообщения о различных утечках конфиденциальной информации и персональных данных. Однако от нашего внимания зачастую ускользают их финансовые последствия. Между тем самое важное при этом — сколько денег теряет компания в результате инцидента.
Утечки происходят постоянно. От них страдают как западные, так и российские компании. Согласно результатам исследования «Внутренние ИТ-угрозы в России 2006», в ходе которого компания InfoWatch опросила 1450 российских организаций, практически каждый четвертый респондент (24%) заявил, что его компания допустила от одной до пяти утечек. Почти каждый восьмой (12,9%) зафиксировал от шести до 25 утечек в год. И наконец, 4,6% опрашиваемых сообщили о более чем 25 утечках. Таким образом, чуть меньше половины российских организаций (41,5%) допустили в 2006 году минимум одну утечку. Причем 44,8% компаний вообще затруднились ответить, как часто происходят утечки.
Исследование «Внутренние ИТ-угрозы в России 2006» не позволяет в полной мере оценить финансовые последствия утечек. Для этого обратимся к исследованию «2006 Annual Study — Cost of a Data Breach», в ходе которого были изучены последствия 31 утечки. Прежде всего рассмотрим основные результаты этого исследования. Во-первых, каждая утечка в среднем наносит компании ущерб в размере 4,8 млн долл. Так что скептицизм многих исполнительных лиц по поводу негативных последствий кражи данных, по меньшей мере, неуместен. Во-вторых, утечка отрицательно сказывается на деятельности всех департаментов компании, хотя ответственность за сохранность данных чаще всего возлагается лишь на ИТ-департамент. В-третьих, наиболее серьезным последствием утечки является вред, наносимый репутации компании. Косвенные убытки, возникающие вследствие ухудшения имиджа фирмы, превышают все прямые финансовые потери.
Структура убытков
Цифра в 4,8 млн долл. поражает и даже вызывает недоверие. Тем не менее суммарный ущерб от 31 исследованной утечки оказался равен 148 млн долл. Причем диапазон изменения финансового ущерба составил от 226 тыс. до 22 млн долл.
Обратимся теперь к абсолютным значениям, характеризующим масштаб утечек. Исследуя инциденты, можно сделать вывод, что вследствие кражи персональных данных в руки злоумышленников попали приватные записи от 2,5 до 263 тыс. человек из каждой пострадавшей организации. В среднем на одну фирму приходится 26,3 тыс. записей, а в сумме это будут персональные данные почти 815 тыс. граждан. Таким образом, легко вычислить средние убытки организации вследствие утечки приватных сведений всего одного человека — 182 долл. На примере этой суммы легко представить структуру убытков: прямые издержки (выплаты наличными, незапланированные траты на адвокатов, почтовые и телефонные уведомления, уменьшение стоимости продукции и услуг) составили 54 из 184 долл. на одного пострадавшего, а в общей сложности — 1,4 млн долл. (из 4,8 млн долл.). Между тем все остальное — это косвенные убытки. Среди них отдельно стоит отметить упущенную выгоду.
Упущенная выгода — это та прибыль, которую компания недополучила вследствие нанесения ущерба ее имиджу, потери имевшихся клиентов и трудностей при привлечении новых клиентов. Согласно исследованию «2006 Annual Study — Cost of a Data Breach», средняя упущенная выгода составила 98 долл. на одну приватную запись, или 2,6 млн долл. на компанию (рис. 1).
Рис. 1. Средние издержки на компанию
Вернемся к результатам исследования InfoWatch. Российские респонденты больше всего озабочены прямыми финансовыми убытками (46%). На втором месте — ухудшение имиджа и общественного мнения (42,3%), а на третьем — потеря клиентов (36,9%). Кроме того, бизнес обеспокоен снижением конкурентоспособности организации (25,2%), что является, скорее, следствием целого ряда других негативных последствий утечки. Таким образом, можно сделать вывод, что в российских компаниях в целом неверно представляют себе наиболее плачевные последствия утечек, так как на практике косвенные убытки составляют более 50% всего ущерба, причиненного кражей данных.
Одним из основных результатов исследования «2006 Annual Study — Cost of a Data Breach» стало выяснение того факта, что граждане, пострадавшие от утечки, в большинстве своем либо уже прервали сотрудничество с провинившейся организацией, либо собираются сделать это. В пользу такого развития событий высказались 59% респондентов (рис. 2).
Рис. 2. Реакция граждан на утечку
их
персональных данных
Таким образом, тот факт, что наибольшие проблемы после утечки вызывают именно косвенные убытки, находит подтверждение еще раз. Действительно, инцидент такого рода создает серьезные трудности для компании в удержании своих лояльных клиентов и привлечении новых заказчиков.
Кто виноват? Согласно исследованию «2006 Annual Study — Cost of a Data Breach», ответственность за утечку конфиденциальной информации лежит в основном на ИТ-департаменте (33%) и отделе ИТ-безопасности (20%), но наибольшая часть ущерба при его возмещении приходится на службы маркетинга (55%) и поддержки клиентов (34%). С одной стороны, это логично. Ведь именно службы ИТ и ИТ-безопасности лучше всех осведомлены об электронных угрозах и на них возложены задачи сохранения информации. С другой стороны, тот факт, что другие подразделения тоже должны нести потери, слегка настораживает, поскольку это ослабляет ответственность. По мнению экспертов InfoWatch, современный бизнес не может перекладывать возмещение ущерба на ИТ-департамент и службу ИТ-безопасности, так как для ликвидации негативных последствий утечки нужны совсем другие компетенции. В частности, чтобы предотвратить распространение слухов и негативной информации, требуются PR-усилия, корректные действия со стороны службы поддержки клиентов и т.д. Очевидно, что эти задачи ближе маркетингу, чем ИТ-департаменту. Тем не менее логично связать ответственность технических подразделений с фактом утечки. Это можно сделать, введя формальные процедуры, по которым руководитель отдела ИТ-безопасности или ИТ-службы должен докладывать обо всех внутренних инцидентах топ-менеджменту, а также объяснять причины утечки и принятые в связи с этим меры. |
Итоги
Инсайдерские атаки могут принимать самые разные формы. Кража интеллектуальной собственности, раскрытие корпоративной тайны, мошенничество и вымогательство, остановка деятельности организации и кража личности — все они угрожают любой современной компании. Причем для западных фирм наибольшие неприятности создает кража личности пострадавших граждан со всеми вытекающими отсюда дополнительными издержками для компании, допустившей утечку. С российскими организациями ситуация несколько иная. По мнению аналитического центра InfoWatch, к наибольшим потерям в результате утечек приводят плохое паблисити, ухудшение имиджа отечественной компании и потеря лояльных клиентов. Все это вместе составляет косвенные убытки.
Как видите, проблема утечки персональных и других конфиденциальных данных стоит чрезвычайно остро. Почти половина (44%) всех организаций страдает от внутренних краж хотя бы раз в год. На основе результатов исследования можно спрогнозировать потенциальные убытки в случае утечки информации. Принимая во внимание имеющиеся цифры, легко сравнить стоимость предлагаемых на рынке решений по защите информации и ущерб при ликвидации последствий утечки. Очевидно, что предупредить инцидент намного дешевле, чем устранять его последствия.
На рынке уже сейчас доступны специализированные решения, способные защитить конфиденциальную информацию и предотвратить инсайдерские атаки. Предлагаемые продукты достаточно гибкие, так что их можно легко подстроить под корпоративные требования и стандарты. Кроме того, централизованное управление и автоматический контроль обеспечивают высокую эффективность работы даже при гигантских объемах трафика, проходящего через почтовые и веб-серверы. Наконец, существующие решения позволяют обеспечить «контроль контролера», то есть не оставляют в системе суперпользователей, чьи действия никем не контролируются.
«Конечно, российские компании несут не столь большие потери из-за утечек, как представители американского бизнеса. Между тем в статье приводятся результаты именно западного исследования на эту тему. В частности, если четко отследить различия, то российские компании не обязаны информировать граждан об утечке, следовательно, отпадают все прямые расходы, связанные с рассылкой уведомлений, организацией call-центра и т.п. Более того, наши предприятия могут просто “замолчать” факт утечки. Тем не менее если инцидент становится известным публике, то избежать финансовых потерь не удастся. Поскольку прямые финансовые потери фактически отсутствуют, общая сумма ущерба существенно снижается. Однако от косвенных убытков не уйти.
Дело в том, что российским компаниям точно так же приходится бороться за лояльных клиентов, стараться отобрать клиентов у конкурентов и т.д. В то же самое время утечка персональных данных приводит к ухудшению имиджа компании, а значит, создает барьеры на пути привлечения и удержания клиентов. Таким образом, если мы пересчитаем западную цифру в 4,8 млн. долл., то для российской действительности она снизится примерно до 2 млн долл. Правда, эти убытки станут реальными, если компании не удастся “замолчать” факт утечки. Несмотря на эти затраты, мы рекомендуем всем представителям бизнеса всегда информировать об утечке тех лиц, чьи интересы в результате такого инцидента могут пострадать. Это клиенты, партнеры, инвесторы, государство и т.д.», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch. |