Санкт-Петербург
Контакты

8 (800) 551-22-85

бесплатный звонок для регионов РФ

Санкт-Петербург

+7-981-722-86-95

Москва

+7-916-238-40-04

Ваш город: Санкт-Петербург
Ваш город Санкт-Петербург?
Да Нет

 8 (800) 551-22-85
бесплатный звонок по РФ +7 (812) 575-54-64
+7 (812) 764-06-18

Семинары и курсы в Санкт-Петербурге и Москве Лицензия на образовательную деятельность № 3504

Скачать план

Сколько стоит утечка информации на самом деле?

Сколько стоит утечка информации на самом деле?

В последнее время все чаще звучит тема последствий утечки конфиденциальной информации или персональных данных. Но сколько придется на самом деле заплатить компании, которая пострадает от утечки? Какова будет структура этой суммы? В последнее время все большую актуальность приобретает вопрос о том, сколько денег теряет предприятие из-за утечки персональных данных или конфиденциальной информации. Дело в том, что в 2006 году зафиксирован небывалый рост количества утечек из компаний самых разных сфер деятельности. Например, в конце прошлого года концерн Boeing потерял ноутбук с приватными сведениями почти 400 тыс. своих работников. Уже в январе 2007 года компания TJX допустила утечку информации о кредитных картах миллионов покупателей. Из последних российских инцидентов можно вспомнить нашумевшее дело об утечке базы данных пользователей петербургского провайдера Valuehost. Более того, в продаже постоянно появляются базы данных, в том числе, государственных организаций. Не так давно в продажу поступила база с компрометирующей информацией и данными о прослушивании телефонов российских политиков и обычных граждан.

Итак, каковы реальные потери компаний от утечек и инсайдерских инцидентов? Чтобы разобраться в этой проблеме, следует обратиться к нескольким исследованиям, позволяющим уточнить масштабы утечек и оценить их последствия.

Ущерб от утечек

В исследовании "Annual Study — Cost of a Data Breach", проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией. Выяснилось, что подавляющее большинство граждан (59%) либо уже отказалось от услуг ненадежной фирмы, либо собирается прервать сотрудничество в ближайшем будущем.

Проблемы при утечках информации

Отметим, что для коммерческих предприятий именно отношение клиентов зачастую является главной целью. Если лояльные клиенты рассержены и покидают компанию или даже переходят к конкурентам, то дела такой компании плачевны. Действительно, когда речь заходит об ущербе вследствие утечек, прежде всего в голову приходит мысль о вреде для репутации. Имиджевый ущерб тоже можно оценить в финансовых показателях. Согласно все тому же исследованию, каждая утечка приносит компании средний ущерб в размере 4,8 млн долл. Откуда взялась такая астрономическая цифра? Дело в том, что при утечке персональных данных существует целый комплекс обязательных мероприятий, которые необходимо выполнить виновным предприятиям. Прежде всего, по американским законам компания должна уведомить всех пострадавших. Затем организуются call-центры, создаются службы для общения с инвесторами, прессой, проводится судебное расследование и т.д. Все вместе требует солидных финансовых затрат. Но наибольший ущерб приносят отнюдь не прямые и косвенные убытки на выявление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.

В таблице ниже представлена структура убытков вследствие утечки. Логичнее всего рассчитать потери компании исходя из количества украденных приватных записей. Так, на выявление и расследование утечки затрачивается 11,27 долл. на каждую утерянную запись. Сюда входят такие мероприятия, как внутренние расследования, услуги консультантов и аудиторов. Далее, на базовые мероприятия по уведомлению пострадавших по почте, телефону, через интернет и печатные издания требуется 25,19 долл. на одну запись. На общение с прессой, инвесторами, судебное расследование, услуги адвокатов, внешние и внутренние call-центры, почту и прочие услуги после уведомления пострадавших уходит еще 47,39 долл. на одну приватную запись. Наконец, потери вследствие снижения привлекательности торговой марки и ухудшения репутации составляют 98,32 долл. Этот ущерб обусловлен оттоком лояльных клиентов и трудностями в привлечении новых.

Средний ущерб из-за утечки всего одной приватной записи

Мероприятие Средние прямые издержки (долларов) Средние косвенные издержки (долларов) Средняя упущенная прибыль (долларов) Всего (долларов)
Выявление и исследование инцидента 5,76 5,51 11,27
Уведомление 13,03 12,16 25,19
Дальнейшие мероприятия 35,42 11,97 47,39
Издержки ухудшения репутации 98,32 98,32
Сумма затрат на компенсацию утечки 54,21 29,64 98,32 182,17
Последующие траты на ИТ-подразделения 6,85 6,85

Источник: Ponemon Institute

Конечно, эти суммы нельзя полностью переносить на российские утечки. Ведь в России нет закона, который заставлял бы компанию хоть кому-то сообщать об инциденте. Следовательно, потери на уведомление пострадавших, а также юридические издержки можно вообще не учитывать. Конечно, в перспективе в нашей стране появится регулирование, дублирующее аналогичные законы США и Евросоюза. Все к этому идет – государство закручивает гайки. Однако произойдет это не скоро. Что действительно вполне подходит для российской ментальности, так это косвенный ущерб, выраженный в статье "издержки ухудшения репутации". На их долю приходится наибольшая часть убытков, при этом они совсем не зависят от законодательства. Таким образом, можно утверждать, что если российской компании не удастся сохранить свою утечку в тайне, она столкнется с серьезным имиджевым вредом, который очень легко можно оценить в финансовых показателях.

Косвенные потери

Обратимся теперь к исследованию "Внутренние ИТ-угрозы в России 2006", в ходе которого было опрошено 1450 российских организаций. У нас, как и за рубежом, в числе наиболее плачевных последствий утечки фигурируют удар по репутации и потеря клиентов (79,2%), прямые финансовые убытки (46%), падение конкурентоспособности (25,2%). При этом юридические издержки составляют лишь 10%. Другими словами, российские организации действительно не боятся судебного преследования и наказания со стороны правоохранительных или надзорных органов. В то же самое время руководители отдают себе отчет в том, что если об утечке станет известно публике, то избежать потери репутации вряд ли удастся. Это в свою очередь прямиком приводит к потере существующих клиентов и трудностям в привлечении новых клиентов.

Для полноты картины следует отметить ФЗ "О персональных данных", который был принят в июле 2006 года и вступил в силу в феврале 2007 года. Это, безусловно, положительный сдвиг, хотя кардинально изменить ситуацию ему вряд ли удастся. В России просто не хватает правоприменительной практики и официального стандарта по защите приватных данных.

Источник: InfoWatch

Структура потерь

Однако вернемся к финансовой оценке последствий утечки. Все расходы можно свести в следующую диаграмму, на которой хорошо видно, какую долю в общем объеме потерь занимает каждая категория. При этом не вызывает сомнений лидерство упущенной прибыли (52%). Однако ситуация справедлива лишь для коммерческих предприятий. Например, госструктуры не несут таких больших потерь из-за утечки и потери репутации. Вообще, вред имиджу очень трудно применить к правительству или министерствам. Ведь гражданин не может сменить эту организацию на конкурента попросту из-за отсутствия альтернативы.

Структура среднего ущерба вследствие одной утечки

Ponemon Institute

Конечно, эти цифры достаточно абстрактны. По ним трудно определить настоящий ущерб от утечек. Чтобы вычислить абсолютные значения убытков, обратимся к статистике. В результате каждого инцидента компании теряли от 2,5 до 263 тыс. приватных записей клиентов. Усредненное значение составляет 26,3 тыс. человек. Таким образом, можно определить общие убытки. В среднем, каждая компания понесла 0,8 млн. долл. косвенных издержек, 1,6 млн. долл. прямых издержек и недополучила прибыли 2,6 млн. долл. В сумме 5 млн. долл. за год. Интересно, что стоимость современных решений для защиты информации от утечек будет, как минимум, на порядок меньше.

Даже если отбросить из предлагаемой выше структуры ущерба целый ряд статей, по определению не имеющих силу в России, то все равно останется упущенная выгода и, как минимум, часть косвенного ущерба. То есть, для российских организаций можно прогнозировать средний ущерб из-за утечки в районе 3 млн. долларов.

Чтобы оценить масштабы утечек в российских организациях, стоит вернуться к исследованию "Внутренние ИТ-угрозы в России 2006". Каждая четвертая отечественная организация (24%) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9%) – от 6 до 25. Таким образом, почти половина всех респондентов (41,5%) зафиксировала в 2006 году минимум одну утечку конфиденциальной информации.

Количество утечек конфиденциальной информации, Россия

Источник: InfoWatch

Это не очень приятная статистика. Слишком многие отечественные организации допускают утечки (41,5%), а довольно существенная доля допускают сразу более 6 утечек за год (17,5%). С учетом посчитанной выше средней суммы ущерба, потери таких компаний просто впечатляют.

Ущерб от утечек обычно ассоциируется с чем-то несущественным. Понятно, если с сервера пропали несколько файлов, это не будет так заметно как, к примеру, пожар, уничтоживший оборудование. Ведь в первом случае, как будто ничего не изменилось, а во втором потребуются несколько тысяч или даже десятков тысяч долларов, чтобы возместить потери. Только если конкуренты украли ценную технологическую информацию, иной руководитель сможет посмотреть вперед и прикинуть убытки. Но подобные случаи достаточно редки. Итак, возникает иллюзия того, что потеря информации в большинстве случаев не опасна. Однако подобная точка зрения не имеет под собой никаких объективных оснований. Более того, она опасна. Так, утечка конфиденциальных данных чревата не только потерями, но может стать даже критичной для бизнеса. Это мнение полностью подтверждают пострадавшие от инсайдеров компании, участвовавшие в исследовании "2006 Annual Study". За свою халатность в отношении защиты информации от инсайдеров каждая из этих фирм поплатилась в среднем 5 млн. долларов. Также отметим результаты еще одного исследования "National Survey on Managing the Insider Threats", проведенного среди почти 500 американских компаний. Аналитики подсчитали средний ущерб от каждой утечки, он составил около 3,4 млн. долларов.

В итоге практически каждая утечка информации, ставшая достоянием публики, приносит крупные убытки: косвенные и упущенную выгоду. К тому же если адаптировать полученные оценки для российского бизнеса, то единственное, чего можно пока не бояться, это прямых потерь в связи с преследованием со стороны регулятора рынка, правоохранительных органов и пострадавших граждан, обратившихся в суд.

Еще один немаловажный аспект утечки – репутация. В России удар по репутации и потеря клиентов входят в тройку самых неприятных последствий утечки. Все это естественно выливается в снижение конкурентоспособности бизнеса.


Автор:  А. Доля

Возврат к списку


Наши клиенты

ООО "Спецморнефтепорт Приморск" ООО "Спецморнефтепорт Приморск" ООО «О’КЕЙ» ООО «О’КЕЙ» ООО «ЛГ Электроникс РУС»ООО «ЛГ Электроникс РУС» Консорциум «Кодекс»Консорциум «Кодекс» ПАО "Мегафон"ПАО "Мегафон" Компании PSIКомпании PSI ООО «Газпром энергохолдинг» ООО «Газпром энергохолдинг» ОАО «Российские железные дороги»ОАО «Российские железные дороги» ПАО «Уралкалий»ПАО «Уралкалий» ПАО «Северсталь»ПАО «Северсталь» Центральный банк Российской Федерации (Банк России)Центральный банк Российской Федерации (Банк России) Корпорация "ТехноНИКОЛЬ"Корпорация "ТехноНИКОЛЬ" Энергетический холдинг "РусГидро"Энергетический холдинг "РусГидро" Росс-ТурРосс-Тур АврораАврора ГосзнакГосзнак Петербургский Международный Экономический ФорумПетербургский Международный Экономический Форум  ООО «АромаЛюкс» ООО «АромаЛюкс» Санкт – Петербургский центр специальной связиСанкт – Петербургский центр специальной связи Corinthia Nevsky PalaceCorinthia Nevsky Palace Министерство по внешним связям, национальной политике, печати и информации Республики ИнгушетияМинистерство по внешним связям, национальной политике, печати и информации Республики Ингушетия ПАО «Трубная Металлургическая Компания»ПАО «Трубная Металлургическая Компания» АО "Сбербанк-Технологии"АО "Сбербанк-Технологии" АО «Петербургская сбытовая компания» (Группа «Интер РАО»)АО «Петербургская сбытовая компания» (Группа «Интер РАО») Газпром НефтьГазпром Нефть ООО «Делонги»ООО «Делонги» HEINZ RussiaHEINZ Russia ВТБВТБ  «Аскона» «Аскона» ПАО «БИНБАНК»ПАО «БИНБАНК»