Цена одной утечки

Георгий Иванов

Тема утечек конфиденциальных данных и инсайдеров широко освещается в российских СМИ. Едва ли не все эксперты по информационной безопасности говорят о серьезности данной угрозы, однако почти никто из них не может привести цифры, которые бы подтверждали степень их опасности. Американский Институт Ларри Понемона (Ponemon Insisute) на протяжении уже многих лет занимается оценкой среднего ущерба от одной утечки. В конце прошлого года было завершено очередное исследование, направленное на определение стоимости одной утечки в 2007 году.

В рамках опроса «2007 Annual Study: Cost of a Data Breach» специалисты Ponemon Institute проанализировали 35 утечек, случившихся в американских компаниях из различных секторов экономики. Отметим, что все приведенные в статье цифры являются реальными затратами компаний на те или иные мероприятия по ликвидации и дальнейшему сопровождению утечки. Также сразу оговоримся, что мы будем рассматривать только крупный бизнес. Для небольших компаний проблема утечек не слишком актуальна в силу ряда объективных причин. «Во-первых, вероятность утечки в маленькой фирме невелика. Количество ее сотрудников жестко ограничено, все они находятся на виду и вряд ли будут рисковать своей карьерой ради сомнительной выгоды, — полагает Ольга Маркина, менеджер по развитию бизнеса компании Kerio. — Во-вторых, на рынке отсутствуют продукты для таких предприятий — все доступные системы пока слишком сложны и дороги. Компании, работающие на рынке среднего и малого бизнеса (СМБ), испытывают совсем другие трудности: им надо подобрать хороший антивирус, межсетевой экран или систему беспроводной защиты».

Как подсчитать общий ущерб от утечки

Утечки конфиденциальных данных бывают двух типов. В первом случае за пределы организации выходит секретная информация, представляющая ценность для самой организации. Например, сведения о технологиях, спецификации, исходные коды программного обеспечения… По мнению экспертов компании Perimetrix, после таких утечек компания несет очень большие и очевидные потери, связанные с ослаблением конкурентных позиций, утратой уникальных знаний или научного потенциала. Эти потери настолько очевидны, что аналитики Ponemon Insitute не рассматривали таких утечек в принципе.

Гораздо труднее оценить ущерб от второго типа инцидентов — связанных с утечкой информации о клиентах или сотрудниках компании. Как правило, даже после инцидента эти данные остаются внутри организации, поэтому сама она напрямую не страдает. Однако на деле такие утечки тоже приводят к весьма плачевным последствиям.

Начнем с того, что в большинстве штатов США (а также в большинстве стран с развитой экономикой) приняты законы, предписывающие обязательное оповещение пострадавших граждан в результате утечки информации. Это означает, что, если утечка произошла, компания должна направить письма всем скомпрометированным людям. На практике это довольно трудная задача, поскольку, во-первых, требуется составить список пострадавших, а во-вторых, осуществить работу по отправке десятков тысяч писем. По статистике аналитического центра Perimetrix, в США происходит несколько «пятизначных» (то есть с количеством пострадавших более 10 тыс. человек) утечек в неделю, и их количество продолжает расти. При этом статистика учитывает только публичные утечки, информация о которых попала в СМИ.

Добавим, что оповещение пострадавших включает не только рассылку писем, но и организацию call-центров, соответствующую пиар-активность, а в некоторых случаях — бесплатное предоставление услуги кредитного мониторинга счетов. Другими словами, оповещение — это целый комплекс обязательных мер, каждая из которых имеет определенную стоимость.

Говоря о составлении списка пострадавших, мы косвенно упомянули вторую составляющую ущерба от утечки конфиденциальных данных. Дело в том, что после инцидента необходимо провести ряд мероприятий, связанных с расследованием обстоятельств, поиском виновных сотрудников и их дальнейшим наказанием. А это означает, что придется отвлекать от своих прямых обязанностей «айтишников», специалистов службы безопасности или сотрудников юридического отдела. Таким образом, формируется еще одна составляющая конечных потерь.

Третье слагаемое общего ущерба возникает в результате дальнейших действий по ликвидации утечки. После случившегося инцидента компания хочет застраховать себя от повторения случившегося. Для этого она приглашает аудиторов и консультантов, а также внедряет сложные информационные системы взамен морально устаревших решений.

Однако все перечисленные пункты меркнут по сравнению с главной статьей убытка от утечки — репутационными потерями и, как следствие, упущенной выгодой в результате оттока клиентов. По данным Ponemon Institute, именно этот пункт убытков является максимально большим — его доля в общем профиле потерь достигает 56%.

Так сколько же сегодня стоит утечка?

После того как мы обозначили структуру ущерба, перейдем к цифрам из отчета Ponemon Institute. В прошлом году общая стоимость утечки достигла рекордной отметки в 197 долл. за одну потерянную учетную запись (рис. 1). Это означает, что утечка 10 тыс. учетных записей обойдется компании практически в 2 млн долл.

Рис. 1. Средняя стоимость одной утечки
в пересчете на одну учетную запись

По сравнению с прошлым годом удельная стоимость утечки выросла на 7%, что, в принципе, укладывается в статистическую погрешность исследования. Вместе с тем ущерб от утечек за два последних года вырос практически на 42%, а это уже достаточно серьезный показатель.

Расписав общую сумму ущерба по различным составляющим, Ponemon Institute получил картину, представленную на рис. 2. Как видите, увеличение общей суммы ущерба в нынешнем году обусловлено только репутационными издержками, в то время как затраты на остальные мероприятия сократились. Обе обозначенные тенденции весьма логичны и имеют простое объяснение.

Рис. 2. Структура средней утечки данных по различным составляющим
(в расчете на одну учетную запись)

Падение затрат на расследование инцидента, уведомление пострадавших и прочие мероприятия логично вытекает из общей проблематики данного вопроса. Оказывается, некоторые американские компании уже имеют достаточный опыт в области ликвидации утечек, поэтому могут решить эти проблемы быстрее, а значит — потратить на их решение гораздо меньше средств.

Увеличение репутационных издержек объясняется лучшей осведомленностью людей в вопросах приватности и повышением общественного внимания к данной проблеме. Если десять лет назад подобные вопросы никого не волновали, то теперь люди не хотят, чтобы их данные (имя, адрес, телефон, номер банковской карты) оказались в чужих руках. К вопросам кражи личности в Америке относятся очень серьезно, и многие граждане просто разрывают контракты с допустившей утечку компанией (рис. 3).

Рис. 3. Отток клиентов в результате утечки данных

Таким образом, следствием средней утечки является отток 2,67% клиентов компании, а это очень большой показатель в масштабах крупной организации. Чтобы вернуть клиентов, придется проводить различные акции, усиливать работу с клиентами и нанимать новых менеджеров, то есть опять тратить деньги.

Можно предположить, что удельная стоимость утечки будет расти и дальше, полагают эксперты Perimetrix. Озабоченность общества проблемами приватности растет, а значит, будут увеличиваться и репутационные издержки. Остальные слагаемые потерь вряд ли существенно уменьшатся, поскольку они сравнительно невелики уже сейчас.

В 2007 году отчетливо проявилась еще одна тенденция — утечка приватных данных по вине третьей компании или аутсорсера. По данным Ponemon Institute, примерно 40% (рис. 4) утечек происходит именно таким образом, причем этот показатель существенно вырос по сравнению с прошлыми годами. Добавим, что средний ущерб от подобных утечек несколько выше, поскольку мероприятия по ликвидации затрагивают две организации вместо одной (рис. 5).

Рис. 4. Утечки в результате халатности третьих компаний или аутсорсеров

Рис. 5. Ущерб от утечек в результате халатности третьих компаний
или аутсорсеров в расчете на одну учетную запись

Российские реалии

В России ситуация с утечками несколько иная, чем на Западе. В нашей стране до сих пор действует крайне отсталое, по западным меркам, законодательство, которое не обязывает компании оповещать пострадавших в результате утечки. Более того, фирма, допустившая утечку, может вообще об этом никому не сообщать. Единственный российских закон, хоть как-то поднимающий эту проблему (ФЗ «О персональных данных»), содержит крайне туманные рекомендации, которые можно истолковать в собственных интересах. К тому же на практике он попросту не действует.

Однако и в России сведения об утечках далеко не всегда остаются в пределах организации. Сотовым операторам трудно отрицать факт утечки, если в любом ларьке продаются их базы данных. Как следствие, определенные потери за счет репутации отечественные компании все же несут, однако их объем, безусловно, меньше, чем в случае западных фирм.

По мнению аналитического центра Perimetrix, основную опасность в России представляют утечки первого типа, которые приводят к попаданию секретных данных в руки конкурентов или, что еще хуже, в открытый доступ. С такими инцидентами, безусловно, необходимо бороться, поскольку их последствия могут привести к огромным прямым потерям и уже упоминавшимся репутационным убыткам.

Заключение: покупайте шредеры!

Эксперты Ponemon Institute отмечают, что практически половина утечек происходит в результате кражи или потери ноутбука (либо другого носителя информации). На втором месте халатность третьих компаний, которая является причиной 16% потерь. Интересно, что опасность от злонамеренных действий инсайдеров (9%) вполне сопоставима с опасностью «бумажных» утечек данных (9%), однако она почти в два раза превышает опасность хакеров (5%) и вредоносного ПО (4%) — рис. 6. Таким образом, современным компаниям надо покупать шредеры вместо антивирусов.

Рис. 6. Основные причины утечек данных

Если серьезно, то для комплексной защиты данных от утечек необходимы два класса программных продуктов. Во-первых, системы шифрования, которые дают возможность избежать потерь в случае кражи ноутбука и других мобильных устройств. Во-вторых, комплексные системы защиты от утечек (решения класса DLP), позволяющие отследить все стадии работы с информацией и недопустить ее попадания за пределы организации. В некоторых случаях системы шифрования и DLP могут быть объединены в одно интегрированное решение (например, Perimetrix), которое способно обеспечить комплексную защиту приватных данных без установки дополнительного ПО.

КомпьютерПресс 3'2008

1999	1	2	3	4	5	6	7	8	9	10	11	12
2000	1	2	3	4	5	6	7	8	9	10	11	12
2001	1	2	3	4	5	6	7	8	9	10	11	12
2002	1	2	3	4	5	6	7	8	9	10	11	12
2003	1	2	3	4	5	6	7	8	9	10	11	12
2004	1	2	3	4	5	6	7	8	9	10	11	12
2005	1	2	3	4	5	6	7	8	9	10	11	12
2006	1	2	3	4	5	6	7	8	9	10	11	12
2007	1	2	3	4	5	6	7	8	9	10	11	12
2008	1	2	3	4	5	6	7	8	9	10	11	12
2009	1	2	3	4	5	6	7	8	9	10	11	12
2010	1	2	3	4	5	6	7	8	9	10	11	12
2011	1	2	3	4	5	6	7	8	9	10	11	12
2012	1	2	3	4	5	6	7	8	9	10	11	12
2013	1	2	3	4	5	6	7	8	9	10	11	12