Теперь в руках исследователя есть все исходные данные для оценки потерь (возможного ущерба).

Желательно, чтобы эта оценка была количественной. В качестве возможных вариантов оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач.

Оценивая тяжесть ущерба, необходимо иметь в виду:

непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущер­ба, восстановление информации и функционирования АС по ее обработке;

косвенные потери , связанные со снижением банковского доверия, потерей клиентуры,подрывом репутации,ослабление позиций на рынке.

Естественно, что информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претен­зии пользователей, потерю интересов, а иногда и финансовые санк­ции.

Для оценки потерь необходимо описать сценарий действий трех сторон – нарушителя по использованию добытой информации, службы информационной безопасности по предотвращению последствий и восстановлению нормального функционирования системы и третьей стороны.

Ценность физических ресурсов определяется ценой их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

Недоступность ресурса в течение определенного периода времени;

Разрушение ресурса – потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

Нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

Модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

Ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Ущерб репутации организации;

Нарушение действующего законодательства;

Ущерб, связанный с разглашением персональных данных отдельных лиц;

Финансовые потери от разглашения информации;

Потери, связанные с невозможностью выполнения обязательств;

Дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые параметры, дается оценка ущерба по дискретной шкале, например со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Например, анализ, проведенный экспертом совместно с руководством организации, показал, что для данной информационной технологии будут приниматься во внимание следующие критерии:

Ущерб для здоровья персонала;

Ущерб репутации организации;

Финансовые потери, связанные с восстановлением ресурсов;

Дезорганизация деятельности в связи с недоступностью данных.

Затем разрабатываются шкалы для выбранной системы критериев. Они могут выглядеть следующим образом:

Ущерб репутации организации:

2 - негативная реакция отдельных чиновников, общественных деятелей;

4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6 - негативная реакция отдельных депутатов Думы, Совета Федерации;

8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;

10 - негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);

4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);

б - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);

10 - гибель людей;

Финансовые потери, связанные с восстановлением ресурсов:

2 - менее $1000;

6 - от $1000 до $10 000;

8 - от $10 000 до $100 000;

10 - свыше $100 000.

Дезорганизация деятельности в связи с недоступностью данных:

2 - отсутствие доступа к информации до 15 минут;

4 - отсутствие доступа к информации до 1 часа;

6 - отсутствие доступа к информации до 3 часов;

8 - отсутствие доступа к информации от 12 часов;

10 - отсутствие доступа к информации более суток.

Выбор существенных параметров и разработка шкал индивидуальны в каждом конкретном случае для каждой организации.

Активность инсайдеров набирает обороты. Каждый следующий месяц приносит еще больше утечек, чем предыдущий. Растет и ущерб от инцидентов внутренней безопасности. Апрель не стал исключением. Более двух десятков утечек зарегистрировано за месяц. Число пострадавших приближается к 3,5 млн. Огромный ущерб (свыше 500 млн долларов) понесла вследствие утечки компания ACS. Еще больше потеряла NCsoft из-за инсайдерской выходки уволенных программистов. Ее убытки составили 1 млрд.

В последние годы хорошо просматривалась тенденция к постепенному увеличению убытков вследствие утечек. Наблюдение касается и среднего ущерба на один инцидент, и максимальных размеров отдельных утечек. Поэтому утечки с ущербом в несколько десятков миллионов долларов уже не шокируют. Тем не менее, астрономические величины потерь в сотни миллионов и даже миллиарды не могут не задевать. Ведь от действий инсайдеров не застрахована ни одна организация. И если информация не защищена от утечек с помощью современных комплексных систем, убытки могут привести к банкротству компании.

В апреле произошло сразу две утечки с приставкой "мега". Во-первых, это очередной инцидент в компании ACS (Affiliated Computer Services), а во-вторых, утечка программного кода новой игры Lineage III от разработчика NCsoft. Примечательно, что обе компании уже компрометировали себя, поскольку не способны уберечь информацию от утечек. ACS в прошлые годы отличилась несколькими утечками. В 2004 году компания даже потеряла выгодный контракт с правительством США. Тем не менее, сотрудничество продолжалось, и теперь ACS снова подвела федеральные власти.

Что касается NCsoft, софтверная компания также на протяжении некоторого времени испытывала проблемы с внутренним менеджментом. Утечки данных происходили осенью 2006 года. Чтобы улучшить ситуацию, владельцы уволили руководителя проекта, но это лишь обострило проблемы. Вслед за начальником команды компанию покинуло большое число разработчиков. Семеро программистов перед увольнением скопировали код новой игры. А вскоре вышли на связь с конкурирующей японской фирмой и продали исходники. По оценкам NCsoft, убыток составит свыше миллиарда долларов, что сопоставимо с продажами двух предыдущих версий игры.

Топ-10 инцидентов внутренней безопасности, апрель, 2007

Источник: InfoWatch, 2007

Среди апрельских инцидентов можно выделить несколько закономерностей. К традиционно большому числу мобильных утечек добавилось множество веб-утечек. Нередко сайты имеют уязвимости, которые позволяют получить доступ к данным. Но гораздо чаще информация просто находится в свободном пользовании. По ошибке веб-мастера выкладывают всевозможные сведения. В некоторых случаях приватные данные размещают временно, но потом забывают убрать. Впрочем, понятие "временно" для интернета не совсем актуально. Современные поисковые машины быстро индексируют содержимое доступных страниц и сохраняют данные в кэше. После этого информация будет доступна пользователям глобальной сети, даже если оригинальную страницу уже убрали с сервера.

Кроме того, в апреле зафиксировано три инцидента, когда утечка происходила во время транспортировки носителей. Многие компании совершенно неверно относятся к пересылке носителей с данными. Информация при этом оказывается особенно уязвимой, поэтому следует в обязательном порядке шифровать чувствительные файлы.

Еще одна распространенная ошибка – неправильная утилизация документов с конфиденциальной информацией. Проблема относится и к электронным носителям, и к бумагам. Недавно целый ряд британских банков получил строгие взыскания от регуляторов, а общество Nationwide Building Society заплатило штраф в 900 тыс фунтов стерлингов. Теперь привычку выбрасывать персональные данные клиентов переняли американские компании.

Как подсчитывать убытки

Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. Тем не менее, существует общая методика, с помощью которой можно оценить примерные убытки. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались скомпрометированы. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях, одни почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Количество жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.

Рассмотрим для ясности пример с кражей персональных данных из Bank of America. На пропавшем ноутбуке находились персональные данные примерно 40 тыс сотрудников сети банков. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, прямые издержки составляют в среднем 54 долл. на каждого пострадавшего. Это траты на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. В нашем случае общие прямые издержки получатся 2,16 млн. долл. Средние косвенные издержки составляют по 30 долл. на одну украденную запись. Тогда общие косвенные убытки будут равны 1,2 млн.

В данной ситуации можно предположить, что Bank of America избежит издержек упущенной выгоды. Ведь утеряны данные не клиентов, а собственных служащих. Разумеется, часть работников могла уволиться из филиалов. Чтобы не допустить этого, руководство Bank of America уже пообещало, что все люди, чьи данные находились на украденном лэптопе, получат бесплатный мониторинг счетов в течение 2 лет. Цены на подобную услугу достаточно стабильны в различных агентствах и составляют порядка 120 долларов в год на одного человека. Это еще 9,6 млн долл. Прибавим сюда уже посчитанные 3,36 млн косвенных и прямых издержек. Получим итоговое значение 12,96 млн долл.

Разумеется, посчитанные таким способом цифры не точно совпадают с реальными убытками в каждом случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.

Алексей Доля

Интервью получено у почти 400 компаний в мире.

Количественный и качественный рост инцидентов, связанных с кибербезопасностью, продолжается. В 2015 году зарегистрировано на 64% больше инцидентов в сфере безопасности, чем в 2014 г. По мере возрастания сложности этих угроз, они все дороже обходятся компаниям.

Исследование показало, что компании теряют $158 на каждой скомпрометированной записи данных. Еще дороже стоят утечки в жестко регулируемых отраслях, достигая, например, в здравоохранении $355 на одну запись данных – на $100 больше, чем в 2013 году.

Согласно результатам исследования, самым важным фактором снижения убытков от утечки данных стало привлечение команды специалистов, отвечающих за инциденты. Это сэкономило компаниям в среднем почти $400 тыс. (или $16 в расчете на одну запись данных).

Стоимость мер реагирования (расследование причин, создание горячих линий для клиентов, найм юристов, издание предписаний регулирующих органов) составляет 59% от суммы ущерба от утечки данных. Часть этих затрат может объясняться тем, что 70% руководителей компаний , курирующих вопросы безопасности, сообщили об отсутствии планов реагирования на инциденты.

Исследование выявило прямую зависимость между количеством времени для обнаружения и пресечения утечки данных и стоимостью ликвидации ее последствий. В то время, как утечки, выявленные менее чем за 100 дней, обходятся компании в среднем $3,23 млн, стоимость утечек, обнаруженных позднее 100-дневной отметки, составляет в среднем на $1 млн больше ($4,38 млн).

Zecurion: В России зафиксирован 41 инцидент, в среднем по $820 тыс. убытка

Согласно исследованиям компании Zecurion , по итогам 2014 года в России зафиксирован 41 внутренний инцидент. По количеству публичных инцидентов, собранных в рамках исследования, Россия удерживает второе место после лидера - США.

По мнению аналитиков, опубликованные сведения об утечках - вершина айсберга. Реальное число таких инцидентов в России и мире на несколько порядков больше. В попытках - понять истинный масштаб проблемы защиты информации от утечек, последствия инцидентов и узнать, какими усилиями организации пытаются минимизировать инсайдерскую угрозу, компания Zecurion опросила собственных заказчиков, использующих DLP -решения.

Итог опроса, 2015

Выяснилось: большинство компаний фиксирует от 11 до 20 серьёзных инцидентов в год. Среди популярных каналов утечек - электронная почта (с попытками передать информацию по этому каналу сталкиваются 53% компаний), USB-флэшки (45%) и интернет-сервисы (32%).

Отметили аналитики отличия в оценке ущерба от утечек в России: если в мировой статистике каждый инцидент стоит более $25 млн, то в России это значение достигает $820 тыс., а максимальные потери российской компании составили около $30 млн. Основные финансовые потери приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных областях) и из-за получения конкурентами других преимуществ.

Размер утечек в России, 2015

В 2011 году по сравнению с 2011 годом существенно изменился отраслевой профиль утечек. Чаще всего информация утекала из образовательных заведений (20,1%), госсектора (16,9%), предприятий торговли (12,4%) и медучреждений (12,3%). Годом ранее больше всего данных «теряли» медицинские организации (20,4% в 2011 году).

Наиболее распространённый канал утечек в 2012 году - это веб-сервисы (20,5%). Существенно возросла доля утечек через ноутбуки и планшеты (16,5% в 2012 году против 10,1% в 2011). В свою очередь процент утечек через электронную почту упал до минимального значения за последние несколько лет, с 17,8% в 2010 году до 5,8% в 2012 году. Последняя тенденция обусловлена широким распространением технических средств для фильтрации и архивирования почты. Кроме того, сами пользователи сегодня более ответственно подходят к передаче корпоративной информации через электронную почту.

Ponemon: Средняя цена утечки данных в США - $5,4 млн, в Германии - $4,8 млн

Корпорация Symantec и институт Ponemon Institute опубликовали в июне 2013 года результаты совместного исследования 2013 Cost of Data Breach Study: Global Analysis (на основе материалов за 2012 год). Данные указывали на то, что системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации и подняли средний мировой показатель убытка от кражи 1 учетной записи до 136 долларов . В список ключевых факторов вошли непонимание сотрудниками, что является конфиденциальной информацией, недостаточность системного контроля (средств управления системой), а также несоблюдение государственных и отраслевых нормативов. В таких строго регулируемых отраслях, как здравоохранение, экономика и фармацевтика, убытки от утечки информации оказались в среднем на 70% выше.

Средняя по миру убыточность скомпрометированной записи возросла, при этом цена одного инцидента утечки в США снизилась до $5,4 млн. Такое снижение связано с распространенностью должности руководителя отдела IT-безопасности (Chief Information Security Officer, CISO), отвечающего за безопасность на уровне всей компании, а также с формированием планов реагирования на инциденты и усилением программ безопасности в целом.

Восьмой ежегодный глобальный отчет основан на данных об утечках информации у 277 компаний в 9 странах мира: США, Франции, Германии, Италии, Индии, Японии, Австралии и Бразилии. Отчеты по каждой из стран, а также общий отчет можно найти по ссылке. Все рассмотренные случаи утечек случились в 2012 календарном году. Для того чтобы избежать искажений, в исследовании не учитывались огромные утечки с кражей более 100 тыс. учетных записей.

Компании могут оценить свой собственный риск утечки при помощи нашего калькулятора риска утечки информации, который учитывает размер организации, отрасль, месторасположение, а также применяемые методы защиты и дает оценку как в масштабе учетной записи, так и всей организации.

Основные выводы исследования:

• Средняя цена утечки информации сильно различается в разных странах . Многие их этих различий связаны с типами угроз, с которыми организации приходится иметь дело, а также со спецификой законодательства по защите информации в конкретной стране. В некоторых странах, таких как Германия, Австралия и США, законодательство в области защиты потребителей более развито, что обеспечивает большую конфиденциальность данных и общую кибербезопасность. США и Германия пока отличались самой высокой стоимостью утечки: в среднем $188 и $199 за каждую скомпрометированную учетную запись и $5,4 млн и $4,8 млн соответственно за каждый инцидент утечки;

• Ошибки людей и систем – главные причины утечек . Человеческий фактор и системные ошибки являются причиной 64% утечек по всему миру, при этом, как показало проведенное ранее исследование, 62% сотрудников компаний считали приемлемым перемещение корпоративных данных за пределы компании и большинство сотрудников никогда не удаляли данные, способствуя, таким образом, утечкам. Все это дает представление о том, какую роль в утечках информации играли сами сотрудники компаний и какие убытки эти компании впоследствии несут. В наибольшей степени влиянию человеческого фактора подвержены бразильские компании. А компании в Индии чаще всего становятся жертвами утечек, связанных с системными сбоями и нарушениями бизнес-процессов. Системные сбои включали в себя сбои приложений, случайные выгрузки данных, логические ошибки при передаче данных, ошибки идентификации (неправомерный доступ), ошибки восстановления данных и др.;

• Хакерские атаки обходятся дороже всего . Консолидированные исследования показывали, что преднамеренные атаки являются причиной 37% всех утечек информации в мире, при этом во всех исследованных странах эти утечки оказываются самыми дорогостоящими. Компаниям из США и Германии хакерские атаки обходятся дороже всего – $277 и $214 за каждую скомпрометированную учетную запись. В то время как в Бразилии и Индии эта цифра составляет лишь $71 и $46 соответственно. Помимо того, немецкие компании, вместе с компаниями в Австралии и Японии, больше всего подвержены риску стать жертвами хакерской атаки;

• Некоторые организационные факторы приводят к снижению расходов . Компаниями в США и Великобритании удалось добиться наибольшего снижения расходов при утечках за счет сильной стратегии в отношении информационной безопасности, наличия плана реагирования на инциденты и назначения руководителя отдела IT-безопасности. США и Франция также снизили расходы за счет привлечения сторонних консультантов по расследованию утечек.

2011

Ponemon: Средний убыток - $5,5 млн

В марте 2012 года Symantec и Ponemon Institute объявили результаты очередного ежегодного отчета 2011 Cost of Data Breach Study: United States, который позволяет оценить наносимый компаниям ущерб от утечек информации. В 2011 году впервые за последние семь лет средняя стоимость утечки данных сократилась. Согласно данным, опубликованным Symantec и Ponemon Institute, в 2011 году этот показатель составил 5,5 млн долл., что на 24% ниже, чем в 2010 году. При этом наиболее катастрофичные инциденты, способные исказить общую картину, были исключены из исследования.

С точки зрения стоимости наиболее значимой категорией убытков остались «потери бизнеса». Сюда включалось, например, повышение оттока клиентов и потеря репутации. Однако сам показатель потерь такого рода снизился на 34%. Как оказалось, клиенты стали сдержаннее реагировать на инциденты, зачастую прощая нерадивые компании. Разумеется, их поведение сильно зависит от отрасли, в которой оперирует пострадавшая организация и вида скомпрометированных данных. Наиболее болезненными инциденты являются для компаний финансового сектора и здравоохранения.

Злонамеренные атаки обходятся на 25% дороже остальных видов угроз.

39% респондентов считают, что чаще всего причиной утечек корпоративной информации невольно становятся сами сотрудники организаций, точнее, их халатное отношение к выполнению должностных обязанностей. Ситуация еще больше усугубляется с распространением планшетов, смартфонов и облачной модели вычислений, – считает Френсис деСуза (Francis deSouza) , президент подразделения Symantec Enterprise Products and Services. Причина роста обеспокоенности понятна, ведь теперь сотрудники имеют доступ к информации в любое время из любого места.

Самым эффективным средством снижения стоимости утечек данных авторы исследования считают наличие в штатном расписании должности директора по ИБ (информационной безопасности). Консолидация ответственности за происходящее в масштабах всей компании на одном человеке дает возможность сократить потери на 35% или на $80 в пересчете на утраченную запись. Привлечение к расследованию инцидентов сторонних консультантов снижает удельные потери еще на $41. Кроме того, важное значение имеют разработка и внедрение политик и процедур, которые в полной мере учитывают современные реалии, в частности, растущую консьюмеризацию ИТ.

К сожалению, пока сохраняется негативная тенденция: в зависимости от характера утраченных данных и способа передачи в третьи руки по сравнению с 2010 годом удельная стоимость утечек выросла на $22-37. В седьмом по счету исследовании Cost of Data Breach Study приняли участие 49 американских компаний – представителей 14 различных отраслей экономики.

Убытки российских компаний от утечек данных превысили $1 млрд

Аналитический центр компании Zecurion представляет результаты ежегодного исследования об утечках конфиденциальной информации. Всего в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в $20 млрд, из которых более $1 млрд пришлось на российские компании.

Наибольшее число инцидентов (45,2% всех случаев) произошло вследствие ошибок или халатности персонала, низкой осведомленности сотрудников компаний в вопросах информационной безопасности. Высокая доля преднамеренности характерна для утечек медицинских данных - это объясняется их востребованностью среди мошенников: цена одной такой записи на черном рынке в 50 раз превышает стоимость номера социального страхования, по данным ANSI. Однако число утечек медицинских данных осталось примерно на уровне прошлого года (19,1%).

Доля утечек финансовых данных физических лиц значительно возросла по сравнению с прошлым годом и составила в 2011 году 18,2%. Прочие персональные данные по-прежнему лидируют среди типов скомпрометированной информации, однако их доля продолжает сокращаться (56% против 63,6% в 2010 году). Гораздо реже утекают коммерческая и государственная тайна, интеллектуальная собственность. Тем не менее, каждый подобный инцидент, как правило, несет внушительные финансовые потери и имеет серьезные репутационные последствия.

Чаще всего информация утекает из медицинских организаций (20,4%), госучреждений (16,7%), образовательных заведений (15,2%), предприятий розничной торговли (13,8%). При этом самыми распространенными каналами утечек являются ноутбуки и мобильные накопители (суммарно 19,4%), веб-сервисы (18,2%), компьютеры (16,1%), а также неэлектронные носители (13,8%). Последние остаются популярным каналом утечки вследствие некорректной утилизации: бумаги с конфиденциальными данными просто выбрасывают в общедоступные мусорные баки. Между тем, внедрение процедур безопасной утилизации позволит значительно снизить риски утечки информации.

В России зарегистрирован 41 публичный инцидент, большинство из которых получили широкую огласку в СМИ. Среди наиболее громких - утечка СМС-сообщений сотового оператора «МегаФон », база данных 1,6 млн абонентов МТС , публикация персональных данных на сайте Пенсионного фонда России, а также массовая компрометация данных о клиентах со стороны российских интернет-магазинов.

2010: Ponemon: Средний ущерб от инцидента в США - $7,2 млн

Согласно результатам шестого ежегодного исследования института Ponemon Institute - U.S. Cost of a Data Breach Study (Исследование стоимости хищений информации в

Не секрет, что сегодня информация играет гораздо большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Чем чреваты сегодня утечки конфиденциальной информации для тех, кто их допускает?

Внедрение новых информационных технологий ставит современные компании в зависимость от информационной системы, а переход на электронные носители информации приводит к необходимости уделять пристальное внимание вопросу информационной безопасности. Любое вмешательство в работу информационной системы: кража, уничтожение или несанкционированный доступ к данным может привести к значительным убыткам компании, а иногда и к ее полной ликвидации, особенно если эти данные касаются ее коммерческих тайн или ноу-хау.

Обеспокоенность внутренними угрозами информационной безопасности обоснованна. Госструктуры и представители бизнес-сектора ставят на первое место утечку информации далеко не случайно, так как негативные последствия этого инцидента очевидны: прямые финансовые убытки, удар по репутации, потеря клиентов. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации.

Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:

• разглашение (излишняя болтливость сотрудников) — 32%;
• несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
• отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
• традиционный обмен производственным опытом — 12%;
• бесконтрольное использование информационных систем — 10%;
• наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива — 8%.

Наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.

В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал коммерческого банка ОАО «Уралсиб» в Воронеже, когда в конце 2009 года ряд сотрудников «Уралсиба» перешли работать в Воронежский филиал Банка «Поволжский» забрав с собой клиентскую базу предыдущего работодателя. И клиенты «Уралсиба» с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка. В «Уралсибе» и банке «Поволжский» эту информацию не комментируют.

Нельзя сказать, что проблема утечек информации появилась совсем недавно — такие вещи, как промышленный шпионаж, переманивание ценных специалистов вместе с их наработками и знаниями и другие подобные действия известны уже достаточно давно. В информационную эпоху возросла их актуальность и значимость, поскольку сегодняшние приемы обработки и хранения информации открывают поистине безграничные возможности для того, кто хочет эту информацию незаконно получить. Ведь если раньше нужно было выносить в буквальном смысле целые шкафы бумажных документов, то сегодня все это можно передать по электронной почте или записать на помещающуюся в карман небольшую флэшку. И объемы информации, которую сегодня можно запросто «слить», только увеличивают значимость угрозы утечек конфиденциальных данных.

Для того чтобы говорить предметно о возможных последствиях утечек информации, нужно, в первую очередь, посмотреть на то, какая информация может вообще «утекать» из компании. Сегодня, как показывает практика, сотрудники как случайно, так и целенаправленно передают за пределы родной организации чаще всего следующие сведения:

• Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);
• Персональные данные клиентов и сотрудников организации;
• Технологические и конструкторские разработки, ноу-хау компании и т.п.;
• Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);
• Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.);

Как видите, интересы инсайдеров — сотрудников, незаконно распространяющих закрытую информацию, к которой они имеют доступ, —; достаточно широки. Во многом то, какая информация интересует конкретного инсайдера, зависит от того, для чего он в будущем собирается эту информацию применить. То есть, к примеру, как правило, инсайдеры, «купленные» конкурентами, больше интересуются бизнес-планами, клиентами и ноу-хау, в то время как сотрудники, желающие отомстить начальству, которое, по их мнению, несправедливо с ними обошлось, более склонны обнародовать документы, которые могут характеризовать в неприглядном свете это начальство или саму компанию (например, жалобы клиентов, записи с совещаний, написанные с ошибками письма в адрес сотрудников и пр.).

Каким именно образом страдает компания от утечек информации в финансовом аспекте, и всякая ли утечка несет за собой денежные последствия? Само собой, утечки информации, в результате которых, например, конкуренты получают доступ к новейшим разработкам компании, несут очень тяжелые последствия для нее, поскольку в результате таких утечек все средства, затраченные на R&D (Research & Development), оказываются фактически подаренными конкурентам. Утечки финансовой документации, особенно в те моменты, когда компания находится, скажем так, не в лучшей форме, также вполне предсказуемо могут нести за собой очень тяжелые последствия, вплоть до банкротства.

На первый взгляд может показаться, что некоторые утечки вполне безвредны, например, те же утечки персональных данных. Но, как показывает практика, именно они становятся наиболее частой причиной убытков компаний из-за утечек информации. Убытки компания получает вследствие судебных исков, предъявляемых пострадавшими из-за утечек физическими лицами, чьи персональные данные подверглись компрометации, а также от штрафов регулирующих органов, занимающихся защитой персональных данных на государственном уровне. В России пока что проблема штрафов не так актуальна, как в западных странах, где даже крупнейшие компании становятся героями новостей о штрафах за утечку персональных данных клиентов или сотрудников. Но уже всего через полгода ситуация в России должна радикально измениться в связи со вступлением в полную силу закона «О персональных данных».

Аналогичным образом приводят к убыткам и утечки внутренних данных, например, тех же служебных записок и презентаций. К прямым убыткам в виде штрафов или компенсаций они, конечно, не ведут, но могут серьезно навредить репутации компании, допустившей подобные утечки. А испорченная репутация автоматически означает упущенную выгоду, поскольку ряд потенциальных клиентов или партнеров могут изменить свои предпочтения в выборе между несколькими конкурирующими компаниями, и причиной подобных изменений может служить как информация, ставшая публичной в результате утечки, так и сам факт подобной утечки конфиденциальных данных.

Таким образом, можно говорить о том, что любая утечка информации несет в себе те или иные негативные экономические последствия для компании. С этим мнением согласны и представители индустрии информационной безопасности, говорящие о том, что безобидных утечек данных не бывает — любая из них несет в себе ущерб для бизнеса, если не сейчас, то в будущем. «Иногда достаточно трудно предсказать, где и когда «выстрелят» те документы, которые инсайдеры вынесли из вашего офиса сегодня, считает Лев Матвеев, генеральный директор компании SearchInform — Бывает, что проходит несколько месяцев, или даже несколько лет, прежде чем информация сделает свое черное дело, попавшись, например, на глаза журналистам или конкурентам. Именно поэтому очень важно защищать данные комплексно, а не делить их на более важные и менее важные. Информация, не предназначенная для публики, должна оставаться закрытой. А значит ее следует защитить от возможных утечек».

Каким образом можно оценить возможный ущерб от утечки конфиденциальных данных? Для начала необходимо свериться со списком возможных источников ущерба:

• Упущенная выгода в результате испорченного имиджа;
• Штрафы со стороны регуляторов;
• Компенсации по судебным искам;
• Снижение котировок акций (для акционерных компаний) в результате попадания на рынок инсайдерской информации;
• Прямые убытки: стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т.д.

Каждая утечка информации «ставит галочку» напротив как минимум одного из перечисленных выше пунктов, наиболее серьезные же утечки способны «преподнести» компании весь этот список. Соответственно, общая сумма ущерба от каждой конкретной утечки информации складывается из «цены» каждого источника ущерба.

Конечно, не для всех перечисленных пунктов подсчитать возможную стоимость ущерба достаточно просто. Если, к примеру, штрафы со стороны регуляторов или стоимость технологических разработок подсчитать не так уж сложно, то предсказать, как поведет себя рынок ценных бумаг в ответ на обнародованные инсайдерами документы, или сколько клиентов отвернутся от компании в результате ухудшившейся репутации, практически невозможно. Поэтому в своих оценках лучше не придерживаться оптимистической позиции «все обойдется», а закладывать в «бюджет» утечки максимально возможную сумму ущерба. К сожалению, достоверных исследований, которые показывали бы среднюю стоимость утечки информации в России, пока нет, однако можно ориентироваться на данные для других стран, которые вряд ли будут существенно отличаться от данных для России.

Так, согласно исследованиям Ponemon Institute, средняя стоимость утечки информации для фирм в Великобритании в 2008 г. составила 1,7 млн фунтов, то есть почти 80 миллионов российских рублей. Еще одна цифра: в среднем убытки при потере служебного ноутбука составляют почти 50 тыс. долларов – такие данные были получены после опроса представителей 29 организаций, которые пережили 138 отдельных случаев потери ноубтуков их постоянными или временными сотрудниками, пишет Руформатор со ссылкой на PCWorld. Такая сумма получена с помощью учета семи различных факторов: цены самого ноутбука, определения потерянных данных, экспертизы и расследования обстоятельств потери, сообщения об утечке данных и действий по смягчению последствий инцидента, потери интеллектуальной собственности, потери производительности, а также других юридических и нормативных затрат.

Эксперты также подсчитали, что чем быстрее компания реагирует на утрату компьютера, тем меньшие потери она несет. Если потерю ноутбука удалось обнаружить в тот же день, то затраты могут составить в среднем лишь 8 950 долларов. Спустя неделю они могут достичь уже 115 849 долларов.

Шифрование данных приводит к существенному снижению финансовых потерь при утрате компьютера. Так, если информация на жестком диске ноутбука была зашифрована, потеря обходится в 37 443 долларов, если нет, — то в 56 165 долларов.

Наконец, финансовые потери напрямую зависят от того, какую должность в компании занимает человек, потерявший компьютер или лишившийся его в результате кражи. Наибольшей ценностью обладает ноутбук не высшего должностного лица компании, а директора или менеджера. Потеря ноутбука топ-менеджером обходится в среднем в 28 449 долларов, но если его потеряли директор или менеджер, сумма возрастает до 60 781 долларов и 61 040 долларов соответственно.

Это свидетельствует о высоком уровне риска для корпоративных сетей, потому что доступ к сайтам для взрослых, поиск работы на подозрительных ресурсах и другие виды нецелевого использования рабочих ноутбуков могут привести к серьезным утечкам информации, а иногда и к проникновению вредоносного ПО в сеть организации.

Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения средств защиты от утечек информации (например, DLP-систем — от английского Data Leak Prevention, предотвращение утечек данных). Выгода, конечно же, есть, когда стоимость возможных утечек хотя бы в 2 раза превышает стоимость внедрения подобной системы. Как показывает практика, для подавляющего большинства компаний внедрение DLP-системы действительно целесообразно.