В последнее время все большую актуальность приобретает вопрос о том, сколько денег теряет предприятие из-за утечки персональных данных или конфиденциальной информации. Дело в том, что в 2006 году зафиксирован небывалый рост количества утечек из компаний самых разных сфер деятельности. Например, в конце прошлого года концерн Boeing потерял ноутбук с приватными сведениями почти 400 тыс. своих работников. Уже в январе 2007 года компания TJX допустила утечку информации о кредитных картах миллионов покупателей. Из последних российских инцидентов можно вспомнить нашумевшее дело об утечке базы данных пользователей петербургского провайдера Valuehost. Более того, в продаже постоянно появляются базы данных, в том числе, государственных организаций. Не так давно в продажу поступила база с компрометирующей информацией и данными о прослушивании телефонов российских политиков и обычных граждан. Десятку самых громких утечек 2006 года недавно опубликовал CNews.
Итак, каковы реальные потери компаний от утечек и инсайдерских инцидентов? Чтобы разобраться в этой проблеме, следует обратиться к нескольким исследованиям, позволяющим уточнить масштабы утечек и оценить их последствия.
Ущерб от утечек
Источник: Ponemon Institute, 2006
В таблице ниже представлена структура убытков вследствие утечки. Логичнее всего рассчитать потери компании исходя из количества украденных приватных записей. Так, на выявление и расследование утечки затрачивается 11,27 долл. на каждую утерянную запись. Сюда входят такие мероприятия, как внутренние расследования, услуги консультантов и аудиторов. Далее, на базовые мероприятия по уведомлению пострадавших по почте, телефону, через интернет и печатные издания требуется 25,19 долл. на одну запись. На общение с прессой, инвесторами, судебное расследование, услуги адвокатов, внешние и внутренние call-центры, почту и прочие услуги после уведомления пострадавших уходит еще 47,39 долл. на одну приватную запись. Наконец, потери вследствие снижения привлекательности торговой марки и ухудшения репутации составляют 98,32 долл. Этот ущерб обусловлен оттоком лояльных клиентов и трудностями в привлечении новых.
Средний ущерб из-за утечки всего одной приватной записи
Мероприятие | Средние прямые издержки (долларов) | Средние косвенные издержки (долларов) | Средняя упущенная прибыль (долларов) | Всего (долларов) |
Выявление и исследование инцидента | 5,76 | 5,51 | — | 11,27 |
Уведомление | 13,03 | 12,16 | — | 25,19 |
Дальнейшие мероприятия | 35,42 | 11,97 | — | 47,39 |
Издержки ухудшения репутации | — | — | 98,32 | 98,32 |
Сумма затрат на компенсацию утечки | 54,21 | 29,64 | 98,32 | 182,17 |
Последующие траты на ИТ-подразделения | 6,85 | — | — | 6,85 |
Конечно, эти суммы нельзя полностью переносить на российские утечки. Ведь в России нет закона, который заставлял бы компанию хоть кому-то сообщать об инциденте. Следовательно, потери на уведомление пострадавших, а также юридические издержки можно вообще не учитывать. Конечно, в перспективе в нашей стране появится регулирование, дублирующее аналогичные законы США и Евросоюза. Все к этому идет – государство закручивает гайки. Однако произойдет это не скоро. Что действительно вполне подходит для российской ментальности, так это косвенный ущерб, выраженный в статье "издержки ухудшения репутации". На их долю приходится наибольшая часть убытков, при этом они совсем не зависят от законодательства. Таким образом, можно утверждать, что если российской компании не удастся сохранить свою утечку в тайне, она столкнется с серьезным имиджевым вредом, который очень легко можно оценить в финансовых показателях.
Косвенные потери
Наиболее плачевные последствия утечки конфиденциальной информации, Россия, 2006
Для полноты картины следует отметить ФЗ "О персональных данных", который был принят в июле 2006 года и вступил в силу в феврале 2007 года. Это, безусловно, положительный сдвиг, хотя кардинально изменить ситуацию ему вряд ли удастся. В России просто не хватает правоприменительной практики и официального стандарта по защите приватных данных.
Структура потерь
Однако вернемся к финансовой оценке последствий утечки. Все расходы можно свести в следующую диаграмму, на которой хорошо видно, какую долю в общем объеме потерь занимает каждая категория. При этом не вызывает сомнений лидерство упущенной прибыли (52%). Однако ситуация справедлива лишь для коммерческих предприятий. Например, госструктуры не несут таких больших потерь из-за утечки и потери репутации. Вообще, вред имиджу очень трудно применить к правительству или министерствам. Ведь гражданин не может сменить эту организацию на конкурента попросту из-за отсутствия альтернативы.
Структура среднего ущерба вследствие одной утечки
Ponemon Institute, 2006
Конечно, эти цифры достаточно абстрактны. По ним трудно определить настоящий ущерб от утечек. Чтобы вычислить абсолютные значения убытков, обратимся к статистике. В результате каждого инцидента компании теряли от 2,5 до 263 тыс. приватных записей клиентов. Усредненное значение составляет 26,3 тыс. человек. Таким образом, можно определить общие убытки. В среднем, каждая компания понесла 0,8 млн. долл. косвенных издержек, 1,6 млн. долл. прямых издержек и недополучила прибыли 2,6 млн. долл. В сумме 5 млн. долл. за год. Интересно, что стоимость современных решений для защиты информации от утечек будет, как минимум, на порядок меньше.
Даже если отбросить из предлагаемой выше структуры ущерба целый ряд статей, по определению не имеющих силу в России, то все равно останется упущенная выгода и, как минимум, часть косвенного ущерба. То есть, для российских организаций можно прогнозировать средний ущерб из-за утечки в районе 3 млн. долларов.
Чтобы оценить масштабы утечек в российских организациях, стоит вернуться к исследованию "Внутренние ИТ-угрозы в России 2006". Каждая четвертая отечественная организация (24%) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9%) – от 6 до 25. Таким образом, почти половина всех респондентов (41,5%) зафиксировала в 2006 году минимум одну утечку конфиденциальной информации.
Количество утечек конфиденциальной информации, Россия, 2006