Основатель и генеральный директор компании GlobalTrust Александр Астахов говорит о риск-ориентированном подходе для оценки экономической целесообразности и эффективности применения средств защиты информации. В качестве примера автор использует DLP-систему «КИБ СерчИнформ».

Введение

В наше время DLP-системы получают все более широкое распространение, несмотря на их дороговизну с одной стороны и отсутствие четких представлений об их экономической эффективности с другой. О внутренних угрозах и губительных последствиях утечек информации нам уже почти все рассказали маркетинговые службы разработчиков этих систем. Пора поговорить об экономике вопроса. DLP-система - мощный инструмент защиты информации, применение которого сопряжено, однако, с рядом «побочных эффектов», таких как ухудшение морального климата в коллективе, а также непростые отношения с законодательством, защищающим право граждан на личную жизнь. Вложение средств в информационную безопасность должны быть экономически оправданы. Отбойный молоток - тоже очень эффективный инструмент, но им не забивают гвозди. Являются ли DLP-системы экономически оправданными? При каких условиях? Для каких организаций? Как оценить их экономическую эффективность? Какой возврат инвестиций они способны обеспечить? Современные методики анализа рисков, базирующиеся на международных стандартах, предоставляют достаточно возможностей для нахождения ответов на эти вопросы. Рассмотрим, как это может применяться на практике.

Статистика утечек информации

Продвижение DLP-систем осуществляется их разработчиками при помощи отчетов об инцидентах. Цель этих отчетов заключается, конечно, не в предоставлении наиболее полных и достоверных данных для оценки окупаемости DLP-систем, а демонстрация того, что проблема утечек информации существует, носит достаточно общий характер и имеет тенденцию к увеличению. Достоверных данных об утечках, особенно по России не существует. Информация берется в основном из открытых источников. Поэтому в данную статистику попадают только резонансные дела, просочившиеся в прессу. Компании статистику своих инцидентов либо вообще не ведут, либо не предоставляют. Многие инциденты умышленно не афишируются. Тем не менее, нам надо на что-то опираться. К тому же отчеты об утечках не настолько недостоверны, как может показаться. Ведь все утечки по своим последствиям можно разделить на три группы:
  1. Утечки, наносящие ущерб репутации (все они попадают в СМИ и в официальные отчеты, иначе какой тогда может быть ущерб репутации)
  2. Утечки, наносящие прямой финансовый ущерб (как правило, не очень большой и достаточно просто оцениваемый)
  3. Утечки, приводящие к утрате конкурентных преимуществ, например, утечки коммерческой тайны (такие утечки разбираются в судах и должна быть судебная статистика по таким делам)
Другими словами, утечки, по которым нет официальной статистики, не столь существенны для нашего анализа. Общемировая статистика утечек за 2015 год (по данным Zecurion Analytics) выглядит следующим образом:
  • Общий зарегистрированный ущерб - 29 млрд долларов (868 утечек)
  • Средняя стоимость утечки - ~33 млн долларов
  • Россия на 4-м месте (после США, Великобритании и Канады) - 49 публичных инцидентов (~1 617 млн долларов)
  • Финансовые данные физлиц - один из самых востребованных киберпреступниками типов информации — 19,1% инцидентов
  • Чаще всего утекает информация из госучреждений, предприятий розничной торговли и банков
Наиболее «громкие» утечки 2015 года из российских компаний включали в себя следующее:
  • Mail.ru и Яндекс в один день анонсировали запуск двухфакторной аутентификации для доступа к аккаунтам, что дает все основания предполагать утечку информации к конкурентам.
  • Яндекс . Инсайдеру удалось успешно скопировать на флешку и вынести исходники и алгоритмы работы поисковика.
  • Ижевский автозавод . Инсайдеры сделали «секретные» снимки нового серийного автомобиля «Лада Веста» и продали их интернет-блогеру.
  • Банк «Санкт-Петербург» . По данным представителей банка в руки злоумышленников попали имена, номера счетов, номера карт и ИНН нескольких тысяч клиентов. Перевыпуск карт и репутационный ущерб. Банк заявил об отсутствии ущерба.
  • Topface . На одном из форумов для киберпреступников обнаружили базу пользователей российского сервиса знакомств Topface (только адреса и никнеймы).
  • На портале госзакупок обнаружили паспортные данные членов Совета Федерации.
Более подробную информацию о данных утечках можно найти в СМИ, а также в упомянутом выше отчете Zecurion Analytics. Там есть случаи, которые могли привести к утрате конкурентных преимуществ в результате нарушения коммерческой тайны и случаи, которые могли привести к прямому финансовому ущербу (судебные издержки и компенсации), а также к репутационному ущербу. Могли привести, но не привели. По мнению аналитиков, готовивших отчет, во всех этих случаях «ущерб не очевиден». Несмотря на «неочевидность» ущерба, рассмотренные данные, как правило, и служат обоснованием для приобретения DLP-системы. Они показывают заказчикам то, что должны показывать:
  • Проблема существует по всему миру и Россия на одном из первых мест.
  • Проблема выражается кругленькой суммой в 30 миллиардов долларов (и это только вершина айсберга).
  • Проблема касается каждого и растет из года в год.
Видимо этих соображений для многих руководителей оказывается вполне достаточно для того, чтобы обосновать целесообразность приобретения DLP-системы. Однако остаются еще вопросы:
  1. Какую из существующих DLP-систем выбрать, в какой комплектации и сколько можно на нее потратить?
  2. Какой процент утечек данная DLP-система позволит предотвратить?
Для ответа на эти вопросы необходимо представлять себе архитектуру DLP-системы, процессы ее функционирования и существующие ограничения.

Архитектура DLP-системы

Чтобы понять какие угрозы реально способна предотвращать DLP-система, а какие нет, рассмотрим ее архитектуру на примере КИБ SearchInform в несколько упрощенном виде. Архитектура DLP-системы многомодульная. Она осуществляет перехват и анализ информации на двух уровнях : на сетевом и на хостовом. Сетевые модули располагаются на сетевом шлюзе на платформе NetworkSniffer и отвечают за сетевой перехват. Они включают в себя: MailSniffer, IMSniffer, HTTPSniffer, FTPSniffer, CloudSniffer, ADSniffer и прочее, в зависимости от того, какие сетевые протоколы требуется контролировать. Хостовые модули устанавливаются на рабочих станциях пользователей на платформе EndpointSniffer и осуществляют перехват информации в «конечных точках». Они включают в себя: MailSniffer, IMSniffer, HTTPSniffer, MicrophoneSniffer, MobileSniffer, MonitorSniffer, KeyloggerSniffer, FileSniffer, FTPSniffer, PrintSniffer, DeviceSniffer, SkypeSniffer, ProgramSniffer, CloudSniffer и прочие компоненты, в зависимости от того, какие протоколы, приложение, порты или устройства надо контролировать в конечных точках. Помимо модулей, отвечающих за перехват информации, в состав DLP-системы входят серверные компоненты, обеспечивающие централизованное управление информацией и всеми компонентами системы. Без этих компонентов система не может функционировать. В их числе:
  • DataCenter - центр управления «КИБ». Контролирует работоспособность модулей, а также управляет всеми созданными индексами и базами данных.
  • SearchServer - модуль, отвечающий за индексацию перехваченной информации.
  • AlertCenter - «мозговой центр» всей системы. Опрашивает все модули и, при наличии в перехваченной информации заданных ключевых слов, фраз или фрагментов текста, атрибутов документов, немедленно оповещает об этом офицеров безопасности.
  • ReportCenter - инструмент отчётности. Позволяет собирать статистику по активности пользователей и инцидентам, связанным с нарушениями политики безопасности, и представлять ее в виде отчетов.
Примечание В состав КИБ SearchInform входит еще ряд компонентов, которые мы не рассматриваем здесь с целью упрощения. Подробнее обо всех модулях и платформах можно прочитать . В большинстве случаев имеет смысл приобретать максимальную комплектацию DLP-системы. Исключение могут составлять случаи, когда клиенту нужен только 1-2 модуля, например, чтобы контролировать только подключаемые устройства или только принтеры. Но в этом случае будет дешевле поискать узкоспециализированное решение.

Ограничения DLP-систем

Рассмотренная архитектура DLP-системы заключает в себе следующие возможности по противодействию утечкам:
  • Выявлять, блокировать, расследовать утечки информации из корпоративной сети, осуществляемые сотрудниками организации при помощи штатных средств по тем каналам, для которых имеются соответствующие снифферы и которые охвачены правилами политики безопасности DLP-системы.
  • Осуществлять мониторинг действий пользователей корпоративной сети и контролировать производительность труда.
DLP-система не позволяет противодействовать утечкам информации, происходящим в результате кражи или утраты оборудования и носителей информации, внешних взломов сетей и прочих действий, не охваченных политикой безопасности. Такие утечки составляют значительный процент в статистических отчетах. Таким образом, применение DLP-системы позволит бороться лишь с некоторой частью угроз, связанных с утечками информации. Да и в отношении этих угроз она сможет эффективно функционировать только в сочетании с прочими организационными, юридическими и техническими мерами защиты, обеспечивающими аутентификацию и управление паролями, защиту периметра сети и конечных точек, контроль использования и хранения носителей информации, управление инцидентами и т. д. и т. п. Без всего этого, эффективность DLP-системы может быть сведена к нулю, даже для тех угроз, которые находятся в границах ее политики безопасности. Все эти факторы нам надо будет учесть при дальнейшем анализе, если нас интересует реальная экономическая эффективность и окупаемость DLP-системы.

Коэффициент возврата инвестиций

Конечной целью нашего анализа является оценка возврата инвестиций для DLP-системы. Коэффициент возврата инвестиций (ROI) - основной экономический показать эффективности ИБ. Он определяется как отношение величины сокращения ожидаемых среднегодовых потерь (величины уменьшения риска) к стоимости реализации контрмер:

[Коэффициент возврата инвестиций (ROI)] = ([Уменьшение среднегодовых потерь (ALE)] - [Стоимость защитных мер (TCO)]) / [Стоимость защитных мер (TCO)]

ROI показывает во сколько раз величина потенциального ущерба превышает расходы на его предотвращение. Возможные значения ROI:

  • ROI = 0, сколько вложили, столько и сэкономили (ничего не выиграли и не потеряли)
  • ROI < 0, стоимость DLP превышает потенциальный ущерб (зря потратили деньги и время)
  • 0 < ROI < 1, с учетом большой неопределенности измерений, какая либо польза не очевидна
  • ROI = 1, мы получаем 100% экономию на вложенные средства
  • ROI > 10, ожидаемое сокращение потерь на порядок превышает затраты
Примечание Хоть мы и говорим об инвестициях в ИБ, не надо путать это с обычными инвестициями, которые значительно лучше просчитываются и для которых ROI = 1 - это отличный результат (100% годовая прибыль). Инвестиции в безопасность являются скорее страхованием, а страховая премия может составлять меньше 1% от стоимости застрахованного имущества. Это соответствует значениям ROI > 100. Примерно таким же должен быть ROI для DLP-системы. Если ROI < 10 - это слишком большая страховая премия. Хотели бы вы застраховать свою машину или квартиру, например, за 20% процентов ее стоимости в год? Основная экономическая целью ИБ - обеспечения оптимального уровня возврата инвестиций в безопасность, т.е. максимизация ROI, как это показано на графике. Для этого надо не только оценивать риски, но также регистрировать, анализировать и считать прямые и косвенные потери в результате инцидентов.
На схеме закрашены проблемные области с отрицательным возвратом инвестиций: область недофинансирования и область избыточного финансирования. В первом случае деньги на безопасность не выделяются, либо выделяются по остаточному принципу. Для этого случае характерны проблемы с вирусами, отсутствие планов непрерывности бизнеса и легкомысленное отношение персонала к вопросам безопасности. Во втором случае, осуществляется избыточное финансирование безопасности, но большая часть средств расходуется впустую. Для этого случая характерно процветание бюрократии, избыточная формализация, приобретение дорогостоящего оборудования без принятия необходимых организационных мер. Простая формула ROI = ALE / TCO может дать ответы на все экономические вопросы ИБ. ROI > 10 - хорошо, ROI < 10 - плохо, ROI < 0 - отвратительно. В этой формуле стоимость владения (TCO) достаточно легко и точно считается, в то время как риск (ALE) является функцией нескольких нелинейных величин, носящих неопределенный характер, таких как частота инцидентов, величина уязвимости и ценность актива.

Стоимость владения

Будем двигаться от простого к сложному, поэтому начнем с оценки стоимости владения (TCO). Она для DLP-системы оценивается по следующей формуле: Инвестиции в DLP = Единовременные затраты (обследование, проектирование, закупка ПО и оборудования, внедрение, обучение, консалтинг, разработка ОРД, приемочные испытания) + Постоянные затраты (техническая поддержка, продление подписок, администрирование и эксплуатация) Например, полная комплектация DLP-системы КИБ SearchInform (включая 1 год тех. поддержки, внедрение и обучение специалистов) зависит от количества хостов области контроля и для 1000 машин составляет 1000 машин примерно 14 млн. рублей. Стоимость оборудования и системного ПО составит соответственно ~760 000 руб. (стоимость сервера для 1000 агентов) и ~100 000 руб. (стоимость системного ПО: Windows 2008R2, Microsoft SQL Server 2008R2 Standard). В итоге получаем ~860 000 руб. для 1000 агентов. При покупке КИБ SearchInform первый год техподдержки входит в стоимость лицензии. В дальнейшем каждый год оплата составляет 30% от стоимости лицензий. Таким образом, для 1000 машин стоимость техподдержки составит ~4 200 000 руб. в год, начиная со второго года эксплуатации системы. В техподдержку будет входить:
  • обновление софта (выпуск новых версий, расширение функционала, оптимизация работы, исправление багов и т.д.);
  • обслуживание по инженерной части (к примеру, если клиент по какой-то причине не может или не знает, как разбить индексы, настроить автоматический запуск компонент, прописать альтернативные адреса серверов и т.д.);
  • первичное обучение по части аналитики (создание и настройка политик, составление отчётов и т.д.) и дальнейшая поддержка со стороны отдела внедрения разработчика.
Работы по внедрению DLP-системы обычно включают в себя следующее:
  • Заполнение анкеты (для определения состава оборудования, ПО и планирования работ)
  • Подготовка к тестовому внедрению
  • Тестовое внедрение (может включать сравнительные испытания, нагрузочное тестирование и т.п.)
  • Развертывание (установка) DLP-системы
  • Первичное обучение
  • Настройка политик безопасности
  • Анализ перехваченной информации и формирование отчётов
Стоимость этих работ, в данном случае, включена в указанную выше стоимость лицензии. В общем случае для DLP-систем она может в среднем составлять порядка 10-20% от стоимости продукта. Помимо всего прочего, функционирование DLP-системы должно поддерживаться комплексом организационных и юридических мер, документирование которых осуществляется в ходе разработки комплекта организационно-распорядительных документов. Соответствующие мероприятия могут оцениваться, например, следующим образом:
Теперь посчитаем стоимость владения для DLP-системы на 5-летнем периоде для 1000 машин.
Таким образом TCO DLP-системы КИБ SearchInform составляет 45 350 тыс. руб. на 1000 машин на 5-летнем периоде или 9 070 тыс. рублей в год.

Формула риска

Теперь переходим к оценке риска утечки информации, который количественно определяется величиной вероятного среднегодового ущерба (ALE) и рассчитывается по формуле:

Величина риска = Вероятность угрозы х Величина Уязвимости х Размер ущерба

В этой формуле:

  • Вероятность угрозы - среднее количество инцидентов ИБ в год
  • Величина уязвимости - % успешных инцидентов от общего количества инцидентов
  • Размер ущерба - совокупная стоимость скомпрометированных информационных активов, выражающаяся соответствующими потерями организации от успешных инцидентов
В нашем случае будут рассматриваться только те угрозы, связанные с утечкой информации, защита от которых обеспечивается DLP-системой, а в качестве информационных активов - информация, критичная с точки зрения конфиденциальности. К такой информации могут относится: персональные данные, финансовая информация и различные виды тайн, определяемые законодательством.

Методика управления рисками BSI/ISO/GTS

Для оценки перечисленных выше факторов риска необходимо будет пройти все этапы, предусмотренные методикой оценки рисков ИБ, которая изначально описана в 3-й части британского стандарта BS 7799-3, заложена в основу международных стандартов серии ISO 27000, и адаптирована GlobalTrust для практического применения.
Основной документ, который формируется по результатам применения данной методики, - профиль рисков ИБ, который описывает все факторы риска для конкретного объекта защиты и определяет все необходимые числовые показатели для количественной оценки рисков и возврата инвестиций в ИБ.
Оценка риска начинается с инвентаризации активов и оценки их ценности для бизнеса. Ценность актива выражается размером потенциального ущерба, который может быть нанесен в результате его компрометации. Оценка ущерба осуществляется в ходе анализа последствий инцидентов. Для инцидентов, связанных с утечкой информации, возможны три вида последствий:
  1. Утрата конкурентных преимуществ, недополученная прибыль (например, в результате утечки ноу-хау или клиентской базы).
  2. Ущерб репутации (например, в результате утечки персональных данных клиентов, банковской тайны или внутренней финансовой отчетности).
  3. Прямой финансовый ущерб: судебные издержки, штрафы со стороны регуляторов, компенсации пострадавшим, затраты на ликвидацию последствий инцидента (например, в результате утечки данных третьих лиц, клиентов, партнеров или контрагентов).
Соответствующие сценарии возможных последствий утечек рассматриваются для каждой группы критичных информационных активов организации, при этом оценивается наихудший и наиболее вероятный сценарии развития событий. Полученные результаты сопоставляются с усредненными оценками, полученными различными исследователями.

Оценка последствий утечек информации

Среднестатистическая стоимость утечек может варьироваться от 1,5 (согласно Forrester Research) до 4,8 млн долларов (согласно Ponemon Institute) или быть сопоставимой со среднемесячным оборотом организации. В качестве примера воспользуемся расчетами Forrester Research. Для того, чтобы оценить последствия компрометации базы данных (например, ИСПДн), надо дать оценку прямых затрат организации в расчете на одну запись базы данных. Рассматриваются четыре статьи затрат:
  1. Организационные затраты на выявление, реагирование, расследование и оповещение об инциденте
  2. Потеря производительности работников организации в результате инцидента
  3. Компенсационные выплаты пострадавшим клиентам
  4. Потеря конкурентоспособности
Оценки данных расходов сведены в таблицу Прямые затраты от утечки на одну запись Так, например, если произошла утечка клиентской базы, насчитывающей 100 000 записей, то, согласно этим расчетам, прямой ущерб составит 21,8 млн долларов. Далее оцениваются последствия репутационного ущерба для компании с годовым оборотом в 1 млрд долларов. Он может выражаться в потере 10% существующей клиентской базы и 20% новых клиентов, что суммарно составляет 120 млн долларов, 12% выручки или более 60% валовой прибыли. Оценочное влияние утечки на выручку Влияние репутационного ущерба на прибыль организации показано в следующей таблице. Прямые затраты и репутационные потери суммируются. Получаем цифры по недополученной прибыли на 5-летнем периоде. Оценочное влияние утечки на выручку на периоде 5 лет (в долларах)
Годовая выручка (предполагается 8% рост) 1,000,000,000 1,080,000,000 1,166,400,000 1,259,712,000 1,360,488,960
Годовая чистая прибыль (предполагается маржинальность 20%) 200,000,000 216,000,000 233,280,000 251,942,400 272,097,792
Годовая стоимость ликвидации последствий утечки 12,220,000 8,450,000 5,770,000 4,680,000 4,680,000
Потери бизнеса 120,000,000 129,600,000 139,968,000 151,165,440 163,258,675
Суммарные потери от утечки 132,220,000 138,050,000 145,738,000 155,845,440 167,938,675
Результирующая годовая чистая прибыль 67,780,000 77,950,000 87,542,000 96,096,960 104,159,117
Уменьшение прибыльности по причине утечки 66% 64% 62% 62% 62%
На следующей диаграмме для наглядности изображена прогнозируемая прибыль организации до и после инцидента. Оценочное влияние на рентабельность
Сравнение рентабельности
  • Годовая чистая прибыль (предполагается 20% маржи)
  • Годовая чистая прибыль (с учетом потерь от утечки)
Теперь потенциальный ущерб от утечки можно сравнить со стоимостью DLP-системы. В качестве стоимости DLP-системы берется стоимость подписки на Websense Data Protect (один из лидеров мирового рынка DLP-систем) на 100 000 пользователей. (в долларах)
Суммарные потери от утечки 132,220,000 138,050,000 145,738,000 155,845,440 167,938,675
Суммарная стоимость DLP-системы 385,000 193,750 192,813 191,922 191,076
Стоимость DLP-системы в процентах от общего размера ущерба 0.29% 0.14% 0.13% 0.12% 0.11%
Из таблицы видно, что в среднем это соотношение составляет 0,15%. Эта цифра соответствует размерам страховой премии, в случае, если мы рассматриваем расходы на ИБ как страхование от соответствующих рисков.

Оценка вероятности утечек информации

Таким образом, мы получили оценку потенциального ущерба от инцидентов ИБ и оценку стоимости владения для DLP-системы на пятилетнем периоде. Для определения величины риска (ALE) и соответствующего значения коэффициента возврата инвестиций (ROI) осталось оценить вероятность инцидентов (угроз). Эта вероятность, помимо всего прочего, будет зависеть от настроек политик безопасности DLP-системы, определяющих модель угроз, от которых она обеспечивает защиту. Модель угроз для DLP-системы (политики SearchInform AlertСenter) Для приблизительной оценки частоты реализации этих угроз может использоваться анализ журнала событий DLP-системы, в котором фиксируются все подозрительные события, потенциально нарушающие политику безопасности. Частота реализации угроз (события ИБ SearchInform AlertСenter)
Логины и пароли (Информация о людях) 4816
Переписка по некорпоративной почте (Использование личной почты) 4150
Сайты фильмы-онлайн (Нерациональное использование времени и ресурсов) 2642
Личная почта (Использование личной почты) 1258
Cообщения о банковских картах (Информация о людях) 618
Посещение сайтов по трудоустройству (Нелояльные сотрудники) 389
Cайты знакомств (Нерациональное использование времени и ресурсов) 347
Опасно (Подозрительная тематика) 215
Поиск резюме (Нелояльные сотрудники) 193
Использование принтера в нерабочих целях (Нерациональное использование времени и ресурсов) 176
Махинации (Подозрительная тематика) 111
Откатная тематика 2 (Подозрительная тематика) 108
Сообщения в соцсетях (Нерациональное использование времени и ресурсов) 94
Кредитная карта (Информация о людях) 47
Список месяцев (Контроль документов) 44
Игры онлайн (Нерациональное использование времени и ресурсов) 37
Откатная тематика (Подозрительная тематика) 36
Однако, DLP-система выявляет не инциденты, связанные с утечками, а события ИБ (десятки и сотни тысяч в месяц), которые могут потенциально быть инцидентами. Нет возможности заблокировать все обнаруженные события, а значит нет возможности и предотвратить возможные утечки. Поэтому нужна еще и статистика: сколько было реальных инцидентов и сколько из них было предотвращено. Сопоставляя это с общей и отраслевой статистикой, можно было бы достаточно точно оценивать вероятность (частоту реализации) инцидентов (угроз) безопасности. Для иллюстрации воспользуемся одним из отчетов об утечках информации, согласно которому в 2012 году, например, в банках был зарегистрирован 21 инцидент. Распределение утечек по источникам за 2012 год (263 инцидента по данным SearchInform)
Это подтверждается и картиной распределения утечек по типам информации, согласно которой примерно 20 инцидентов были связаны с утечкой банковской тайны. Распределение утечек по типам информации (SearchInform)
Если эту цифру разделить на 1000 банков (по которым собиралась статистика), то получится 0,02 или 2% - вероятность инцидента в течение года. Т. е. прогнозируемая частота реализации угрозы - 1 раз в 50 лет. Если посмотреть на распределение утечек по способам получения информации, то мы видим, что далеко не все утечки предотвращаются DLP системой, а только приблизительно 70% инцидентов (левая половина графика). Это надо учитывать в модели угроз. Банковских инцидентов, которые можно предотвратить при помощи DLP, будет не 21, а примерно 15. Распределение утечек по способам получения информации за 2012 год (SearchInform)

Оценка среднегодовых потерь от утечек информации

Теперь по формуле риска можно рассчитать прогнозируемую величину среднегодовых потерь от утечки информации:

Среднегодовые потери (ALE) = [Частота реализации угрозы] х [Величина уязвимости] х [Размер ущерба]

Рассчитаем ALE до и после внедрения DLP-системы. В качестве среднего размера ущерба возьмем «среднее по больнице» согласно доступной нам статистике инцидентов за 2015 год - 33 млн долларов. Величина уязвимости показывает эффективность DLP. Для иллюстрации предположим, что сам факт использования DLP на порядок уменьшает количество инцидентов. А их тех, которые происходят, на порядок снижается количество успешных. Поэтому после частота угрозы и величина уязвимости у нас соответствующим образом уменьшаются. Исходя из этих предположений посчитаем эффект от внедрения DLP-системы (уменьшение среднегодовых потерь). В этой таблице:

  • Частота реализации угрозы = количество инцидентов в год / количество организаций
  • Размер ущерба (ценность всех защищаемых DLP-системой активов) = среднестатистическая стоимость аналогичной утечки

Оценка возврата инвестиций для DLP-системы

Имея стоимость владения (TCO) DLP-системой на пятилетнем периоде и значение вероятных среднегодовых потерь (ALE) до и после внедрения DLP-системы, рассчитаем коэффициент возврата инвестиций (ROI) по формуле:

[Коэффициент возврата инвестиций (ROI)] = ([Уменьшение среднегодовых потерь] - [Стоимость защитных мер]) / [Стоимость защитных мер]

Уменьшение среднегодовых потерь (ALE) 201 630
Стоимость защитных мер (TCO) 45 350
Возврат инвестиций (ALE - TCO) 156 280
Коэффициент возврата инвестиций (ROI) 3.5
В результате данных расчетов получаем ROI = 3.5. Это означает, что возврат инвестиций в DLP-систему, в нашем примере, в 3.5 раза превышает ее стоимость.

Выводы

В данной статье мы продемонстрировали возможности применения методики управления рисками (BSI/ISO/GTS) для оценки возврата инвестиций и экономической эффективности DLP-систем. Таким же образом может оцениваться экономическая эффективность любых средств защиты информации, комплекса средства и все системы обеспечения информационной безопасности в целом. При этом должны учитываться:
  1. Внутренняя и отраслевая статистика использования DLP-систем (результаты учета и анализа инцидентов).
  2. Данные учета и классификации информационных активов.
  3. Риски конфиденциальности носят спекулятивный характер. Одинаковые утечки могут иметь различные трудно-прогнозируемые последствия. Поэтому одной статистики для оценки ценности активов недостаточно, необходим анализ и прогнозирование с учетом особенностей конкретной ситуации.
Кроме того, следует принимать во внимание, что ALE и ROI носят вероятностный характер, т.е. значение риска (ALE) более точно выражается распределением вероятностей диапазона последствий инцидентов, а коэффициента возврата инвестиций (ROI) также выражается распределением вероятностей своих значений, например:

ROI = 3.5 с вероятностью 80%,

ROI = 2 с вероятностью 4%,

ROI = 5 с вероятностью 7% и т.п.

Также необходимо учитывать погрешность используемых методов оценки риска и соответствующую степень неопределенности результатов оценки. Диапазон вероятных значений ROI не должен быть слишком широк. Например, ROI = (-2;50) - слишком большая неопределенность метода оценки, а ROI = (2;5) - вполне приемлемая неопределенность.

Библиография

  1. The ROI of Data Loss Prevention (DLP), A Websense Whitepaper
  2. Утечки конфиденциальной информации в России и в мире. Итоги 2015 года, ZECURION Analytics
  3. ROI DLP. Можно ли посчитать? Петр Сковордник, SearchInform
  4. ИБ инциденты СНГ 2012. А. Бодрик, А. Токаренко, SearchInform
  5. Искусство управления информационными рисками. Астахов А.М, ГлобалТраст, Изд. ДМК Пресс, 2009 г. (http://анализ-риска.рф/)
Опубликовано в журнале «Директор по безопасности», Выпуск 2 (Февраль) 2017 года.

Несмотря на то, что тема утечек информации широко освещается в современных СМИ, далеко не все компании осознают реальный ущерб от подобных инцидентов. Проблема в том, что большая часть потерь в результате утечки приходится на так называемый "косвенный" ущерб, который редко поддается прямой численной оценке.

В большинстве случаев компаниям не удается подсчитать ущерб от одного инцидента. Однако, собрав данные по некой выборке утечек, можно примерно оценить средние потери. Именно так и поступает исследовательский центр института Понемона (Ponemon Institute), публикующий ежегодные отчеты о стоимости утечек информации.

В 2007г. вышло очередное исследование - 2007 Annual Study: Cost of a Data Breach. Исследователи Ponemon проанализировали выборку из 35 утечек, случившихся в американских компаниях различных секторов экономики. Сразу же оговоримся, что все в результате всех этих инцидентов терялись персональные сведения клиентов, а не интеллектуальная собственность компаний. На практике оценить средний ущерб от потери интеллектуальной собственности не представляется возможным – он может составлять практически любую сумму, вплоть до миллионов или даже миллиардов долларов.

Из каких слагаемых складывается ущерб?

Прежде чем переходить к конкретным цифрам, остановимся на теоретических основах. Итак, из каких слагаемых складывается ущерб в результате утечки персональных сведений?

Когда компания теряет персональные сведения, в первую очередь, она должна оповестить пострадавших. В западных странах уже давно приняты законодательные акты, которые обязывают проводить оповещение в обязательном порядке. В частности, такие нормативы уже действуют в 44 американских штатах, не за горами и подписание единого федерального акта.

Как правило, оповещение пострадавших включает в себя типовой комплекс мер: рассылку писем с информацией об инциденте, организацию бесплатной телефонной линии и специального портала для пострадавших, а также (опционально) оплату услуги кредитного мониторинга сроком на один-два года.

Стоимость всех этих мер в расчете на одну скомпрометированную запись не велика, однако если количество пострадавших измеряется миллионами, то и прямые расходы на оповещение становятся неприлично большими. В частности, Университет Юты, потерявший ленту с персональными сведениями 2,2 млн человек, потратил полмиллиона долларов только на почтовую рассылку. Добавим, что стоимость годовой подписки на кредитный мониторинг значительно выше – в расчете на одну приватную запись она составляет 150-180 долл. в год.

"Второй немаловажной составляющей ущерба являются внутренние мероприятия, которые проводятся внутри компании, - рассказывает руководитель аналитического центра компании Perimetrix Владимир Ульянов . - Любую утечку необходимо расследовать, найти и наказать виновных, а также оповестить об инциденте правоохранительные органы и регуляторов. В дальнейшем компании неизбежно придется инвестировать средства в развитие информационной безопасности, иначе случившийся инцидент может повториться уже в ближайшем будущем".

Однако все перечисленные потери меркнут перед самой объемной строкой косвенных расходов – так называемым, репутационным ущербом. Дело в том, что в результате публичных утечек страдает имидж и репутация компании, а это, в свою очередь, приводит к оттоку старых и к сложностям с привлечением новых клиентов. А для любой уважающей себя компании клиентская база является самым важным и наиболее ценным активом. По данным Ponemon Institute, средняя доля репутационных потерь в общих расходах на ликвидацию утечек составляет 56%.

Численная оценка ущерба также может быть рассчитана

В рамках исследования, специалисты Ponemon Institute проводили подробные интервью с представителями компаний, которые допускали утечки информации. Это означает, что все представленные в отчете данные являются реальной, а не гипотетической или косвенной оценкой потерь. С другой стороны, выборку из 35 респондентов можно признать вполне репрезентативной для такого рода исследований.

По сравнению с прошлым годом, средний ущерб от утечки информации в расчете на одну потерянную запись вырос на 7%, достигнув отметки в 197 долл. Несмотря на то, что темпы роста в течение года находятся в пределах статистической погрешности, тенденция налицо. По сравнению с 2005 г., убытки выросли почти на 42%. По мнению аналитиков Perimetrix, на фоне финансового кризиса в США, снижения курса доллара и роста инфляции, тенденция к росту продолжится и в нынешнем году, причем ее темпы, скорее всего, также вырастут.

Средний ущерб от одной утечки в расчете на одну потерянную запись

Отметим, что среднее значение ущерба обратно пропорционально количеству скомпрометированных записей. Например, удельные потери розничных компаний от утечек составляют всего 145 долл. При этом необходимо учитывать, что именно розничные компании допускают наиболее масштабные инциденты, в результате которых страдают миллионы человек.

"Чем большее количество приватных записей было скомпрометировано – тем меньше средний ущерб в расчете на одну приватную запись, - считает менеджер проектов по информационной безопасности компании "УСП Компьюлинк" Александр Юрков, – Вместе с тем, существует некое минимальное значение ущерба, которым сопровождается практически любая утечка. Репутационные потери никогда не бывают нулевыми, даже если пострадали всего лишь несколько десятков записей".

Обозначенный ущерб в 197 долларов аналитики Ponemon разбили на четыре составляющих, три из которых показали тенденцию к падению и только одна – к росту. Причины такого развития событий очевидны – с одной стороны, компании набирают определенный опыт и тратят на ликвидацию последствий утечек меньшее количество ресурсов.

С другой стороны, обычные люди более внимательно относятся к утечкам и стремятся избегать встреч с допускающими их компаниями. Как следствие, увеличивается ненормальный отток клиентов после инцидентов, а значит, растут и репутационные издержки.

Структура потерь от одной утечки данных (в расчете на одну учетную запись)

Источник: Ponemon Institute, 2007

Между прочим, рост репутационных издержек во многом объясняется и растущей медиа-активностью в этом направлении. По данным различных опросов, современные люди опасаются расплачиваться банковскими картами в супермаркетах и интернет-магазинах именно из-за проблемы утечек. В будущем эта тенденция будет только усиливаться, до тех пор, пока в индустрии борьбы с утечками не произойдет коренного перелома.

По данным Ponemon Institute, следствием утечки персональных сведений клиентов является их "аномальный отток", среднее значение которого составляет 2,67%. В масштабах крупной корпорации это просто огромный показатель, восстановление которого требует масштабных инвестиции в НИОКР, рекламу и маркетинг. Отметим, что в некоторых случаях "аномальный отток" был значительно выше и достигал отметки в 6-8%.

Еще одним интересным трендом, который активно проявился в прошлом году, стал рост количества инцидентов, случившихся по вине "третьих" компаний, партнеров или аутсорсеров. Такие инциденты происходят в том случае, если компания делится персональными сведениями своих клиентов с другими организациями, которые в дальнейшем эти сведения теряют.

Утечки в результате деятельности "третьих" компаний (партнеров или аутсорсеров)

Источник: Ponemon Institute, 2007

"Бороться с утечками из партнерских организаций достаточно трудно – в подавляющем большинстве случаев компания не может проконтролировать их деятельность, - считает Александр Юрков, – Поэтому, передавая конфиденциальную информацию на хранение третьей фирмы, необходимо заключать соглашение о неразглашении, в котором должна быть прописана ответственность сторон в случае тех или иных инцидентов".

Средний ущерб от одной утечки в результате деятельности "третьих" компаний

Источник: Ponemon Institute, 2007

По данным Ponemon, в 2007 году подобные случаи стали происходит значительно чаще – на долю "третьих" компаний пришлось как минимум 40% утечек. Отметим, что удельный ущерб от такого рода инцидентов несколько выше, поскольку компаниям приходится тратить дополнительное время и деньги на организацию взаимодействия друг с другом. Кроме того, репутационные издержки от подобных утечек приходятся на две компании вместо одной.

Ущерб оценить можно и в условиях отечественных реалий

Полученную информацию можно переносить на российскую почву лишь с определенными допущениями. Главное отличие состоит в том, что в нашей стране до сих пор не принят закон, который обязывает компании раскрывать информацию об утечках персональных сведений. И потому, если компания теряет такую информацию, она может никому об этом не сообщать.

Вместе с тем, если информация о случившейся утечке все же попала в прессу, то результаты Ponemon (особенно относительно "аномального оттока" и репутационных издержек) оказываются вполне актуальными и в нашей стране. Конечно, конкретные числовые значения могут быть несколько другими, однако здесь важен порядок тех показателей, из которых складывается ущерб. А этот порядок явно показывает, что утечка всего лишь пяти тысяч приватных записей обойдется компании практически в миллион долларов. Другими словами, предупреждение даже одной сравнительно небольшой утечки с лихвой покрывает все затраты на внедрение системы адекватной защиты.

При этом, необходимо помнить и об утечках интеллектуальной собственности (технических разработок, бизнес-планов и т. д.), убытки от которых крайне трудно оценить численно. Однако и без оценки очевидно, что они очень велики.

Существенный пласт подобных утечек покрывается теми же системами защиты, а значит – ценность последних в рамках корпоративной инфраструктуры только возрастает. Добавим, что внедрение систем защиты от утечек позволяет, обычно, решить и ряд сопутствующих задач, самой яркой из которых является классификация корпоративной информации.

"Конечно, ущерб от утечек в США или Великобритании значительно выше, чем в России, - считает директор по маркетингу компании Perimetrix Денис Зенкин . – Однако даже сравнительно небольшой "российский" ущерб является вполне достаточным основанием для инвестиций в это направление. Как следствие, мы наблюдаем взрывной рост спроса на защитные системы, который вряд ли прекратится в течение ближайших нескольких лет".

Алексей Доля

К информации с ограниченным доступом относится: государственная, коммерческая, банковская, профессиональная, служебная тайны, персональные данные и интеллектуальная собственность.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации 155]:

  • - владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
  • - источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
  • - промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем случае факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации (НСД).

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т.д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения.

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарные или в подвижном варианте, оборудованные самыми современными техническими средствами.

Конкурентная борьба в условиях рыночной экономики невозможна без получения достоверной информации, а стремление получить ее в условиях закрытого доступа порождает недобросовестную конкуренцию. Экономическая сущность недобросовестной конкуренции ясна - не тратить средства на проведение разработок новой продукции, а незаконно получить информацию о ней у конкурента и таким образом получить большую прибыль. Кроме того, преследуются и другие цели: уничтожить конкурента, сорвать ему выгодные сделки, понизить престиж предприятия и др.

Чтобы добыть информацию ограниченного доступа, злоумышленники имеют необходимые кадры, технические средства и отработанные способы и приемы несанкционированного доступа.

В современной практике шпионажа способами НСД являются :

  • 1. Инициативное сотрудничество - проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных, готовых ради наживы на любые противоправные действия.
  • 2. Склонение к сотрудничеству - это, как правило, насильственное действие со стороны злоумышленников. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа.
  • 3. Выведывание, выпытывание - это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложным трудоустройством, и созданием ложных фирм, и другими действиями.
  • 4. Подслушивание - способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств.
  • 5. Наблюдение - способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов целенаправленно, в определенное время и в нужном месте специально подготовленными людьми, как правило, скрытно.
  • 6. Хищение - умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией.
  • 7. Копирование. В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в автоматизированных системах обработки данных; продукцию.
  • 8. Подделка. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и др.
  • 9. Уничтожение. Особую опасность представляет уничтожение информации в автоматизированных системах обработки данных, в которых накапливаются на технических носителях огромные объемы сведений различного характера. Уничтожаются и сведения о людях, и документы, и средства обработки информации, и продукция.
  • 10. Незаконное подключение. Под незаконным подключением понимается контактное или бесконтактное подключение к различным линиям с целью несанкционированного доступа к информации.
  • 11. Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи, переговоры, ведущиеся с подвижных средств телефонной связи, переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и др.
  • 12. Негласное ознакомление - способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность с ней ознакомиться. К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки.
  • 13. Фотографирование - способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа - документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.
  • 14. Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение.

Краткий обзор способов НСД позволяет заключить, что к определенным источникам информации применимы и определенные способы НСД.

Условия , способствующие неправомерному овладению конфиденциальной информацией, следующие :

  • - разглашение (излишняя болтливость сотрудников) - 32%;
  • - несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
  • - отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
  • - традиционный обмен производственным опытом - 12%;
  • - бесконтрольное использование информационных систем -
  • - наличие предпосылок возникновения среди сотрудников конфликтных ситуаций - 8%.

Надежность и эффективность системы безопасности объекта оценивается на основе одного критерия - степени отсутствия или наличия нанесенного ему материального ущерба и морального вреда. Содержание этого критерия раскрывается через ряд показателей:

  • 1) недопущение фактов утечки (разглашения) конфиденциальных сведений;
  • 2) предупреждение или пресечение противоправных действий со стороны персонала предприятия, его посетителей, клиентов;
  • 3) сохранность имущества и интеллектуальной собственности предприятия;
  • 4) предупреждение чрезвычайных ситуаций;
  • 5) пресечение насильственных преступлений в отношении отдельных (специально выделенных) сотрудников и групп сотрудников;
  • 6) своевременное выявление и пресечение попыток несанкционированного проникновения на охраняемые объекты.

Однако быстрое изменение проблематики рассматриваемой области приводит к вариации подходов и методов оценки ущерба. Наиболее целесообразно эту проблему рассматривать в неразрывной связи с функционированием всех подсистем в единой комплексной системе обеспечения безопасности объекта информатизации.

Стоимость ущерба, т.е. потери финансовых, материальных ценностей и (или) информационных ресурсов на объекте при отсутствии технических средств охраны (ТСО), могут составлять 100%. При наличии же ТСО ущерб растет от нуля вплоть до времени начала ликвидации угрозы, которое состоит из времени срабатывания и времени реагирования.

В процессе ликвидации угрозы, на которое также необходимо определенное время ликвидации, рост ущерба замедляется и останавливается при окончании угрозы.

Ущерб может носить как случайный, так и намеренный характер.

При расчете стоимости риска от наступления события следует учитывать такие параметры, как:

  • - стоимость возмещения прямых убытков от возможного действия (проникновения, кражи, пожара и т.д.);
  • - стоимость временных расходов на восстановление последствий;
  • - стоимость штрафов, прямых, косвенных убытков из-за невыполнения договорных обязательств;
  • - стоимость потерь из-за невозможности проведения производственных операций.

Чрезвычайно важно рассматривать методологию оценки ущерба от противоправных нарушений в связи с методологией оценки стоимости систем защиты информации. Обе методики напрямую зависят от стоимости составляющих СЗИ технических (аппаратно-программных) средств и стоимости работ по их установке.

При организации работ по обеспечению безопасности информации оценка возможного ущерба должна являться необходимым и обязательным условием.

Активность инсайдеров набирает обороты. Каждый следующий месяц приносит еще больше утечек, чем предыдущий. Растет и ущерб от инцидентов внутренней безопасности. Апрель не стал исключением. Более двух десятков утечек зарегистрировано за месяц. Число пострадавших приближается к 3,5 млн. Огромный ущерб (свыше 500 млн долларов) понесла вследствие утечки компания ACS. Еще больше потеряла NCsoft из-за инсайдерской выходки уволенных программистов. Ее убытки составили 1 млрд.

В последние годы хорошо просматривалась тенденция к постепенному увеличению убытков вследствие утечек. Наблюдение касается и среднего ущерба на один инцидент, и максимальных размеров отдельных утечек. Поэтому утечки с ущербом в несколько десятков миллионов долларов уже не шокируют. Тем не менее, астрономические величины потерь в сотни миллионов и даже миллиарды не могут не задевать. Ведь от действий инсайдеров не застрахована ни одна организация. И если информация не защищена от утечек с помощью современных комплексных систем, убытки могут привести к банкротству компании.

В апреле произошло сразу две утечки с приставкой "мега". Во-первых, это очередной инцидент в компании ACS (Affiliated Computer Services), а во-вторых, утечка программного кода новой игры Lineage III от разработчика NCsoft. Примечательно, что обе компании уже компрометировали себя, поскольку не способны уберечь информацию от утечек. ACS в прошлые годы отличилась несколькими утечками. В 2004 году компания даже потеряла выгодный контракт с правительством США. Тем не менее, сотрудничество продолжалось, и теперь ACS снова подвела федеральные власти.

Что касается NCsoft, софтверная компания также на протяжении некоторого времени испытывала проблемы с внутренним менеджментом. Утечки данных происходили осенью 2006 года. Чтобы улучшить ситуацию, владельцы уволили руководителя проекта, но это лишь обострило проблемы. Вслед за начальником команды компанию покинуло большое число разработчиков. Семеро программистов перед увольнением скопировали код новой игры. А вскоре вышли на связь с конкурирующей японской фирмой и продали исходники. По оценкам NCsoft, убыток составит свыше миллиарда долларов, что сопоставимо с продажами двух предыдущих версий игры.

Топ-10 инцидентов внутренней безопасности, апрель, 2007

Инцидент Дата занесения в базу Число пострадавших Ущерб
1 Программисты-инсайдеры из NCsoft продали конкурентам программный код онлайновой игры Lineage III 25 апреля Нет данных 1 млрд долл.
2 Компания Affiliated Computer Services пересылала незащищенный диск с приватными данными жителей штата Джорджия. До адресата диск не дошел 9 апреля 2,9 млн человек 510 млн долл.
3 У субподрядчика корпорации Neiman Marcus Group Inc. украли ноутбук с номерами социального страхования работников компании 27 апреля 160 тыс человек 29 млн долл.
4 Bank of America потерял ноутбук с персональными данными работников 20 апреля 40 тыс человек 13 млн долл.
5 В мусорном отстойнике колледжа на юго-западе Атланты обнаружены свыше 30 коробок с регистрационными формами избирателей. 16 апреля 75 тыс человек 10 млн долл.
6 На правительственном сайте в течение 10 лет размещались номера социального страхования большого количества фермеров 16 апреля 63 тыс человек 8,8 млн долл.
7 Компания Caterpillar потеряла лэптоп с персональными данными работников 26 апреля 35 тыс человек 6,1 млн долл.
8 Университет Калифорнии в Сан-Франциско допустил утечку из базы данных приватных сведений студентов 3 апреля 46 тыс человек 5,5 млн долл.
9 Инсайдеры из чикагского Управления средними школами украли два ноутбука с данными о преподавателях 11 апреля 40 тыс человек 5,3 млн долл.
10 Из базы данных университета Огайо просочились персональные данные бывших и нынешних работниках ВУЗа 19 апреля 14 тыс человек 2 млн долл.

Источник: InfoWatch, 2007

Среди апрельских инцидентов можно выделить несколько закономерностей. К традиционно большому числу мобильных утечек добавилось множество веб-утечек. Нередко сайты имеют уязвимости, которые позволяют получить доступ к данным. Но гораздо чаще информация просто находится в свободном пользовании. По ошибке веб-мастера выкладывают всевозможные сведения. В некоторых случаях приватные данные размещают временно, но потом забывают убрать. Впрочем, понятие "временно" для интернета не совсем актуально. Современные поисковые машины быстро индексируют содержимое доступных страниц и сохраняют данные в кэше. После этого информация будет доступна пользователям глобальной сети, даже если оригинальную страницу уже убрали с сервера.

Кроме того, в апреле зафиксировано три инцидента, когда утечка происходила во время транспортировки носителей. Многие компании совершенно неверно относятся к пересылке носителей с данными. Информация при этом оказывается особенно уязвимой, поэтому следует в обязательном порядке шифровать чувствительные файлы.

Еще одна распространенная ошибка – неправильная утилизация документов с конфиденциальной информацией. Проблема относится и к электронным носителям, и к бумагам. Недавно целый ряд британских банков получил строгие взыскания от регуляторов, а общество Nationwide Building Society заплатило штраф в 900 тыс фунтов стерлингов. Теперь привычку выбрасывать персональные данные клиентов переняли американские компании.

Как подсчитывать убытки

Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. Тем не менее, существует общая методика, с помощью которой можно оценить примерные убытки. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались скомпрометированы. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях, одни почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Количество жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.

Рассмотрим для ясности пример с кражей персональных данных из Bank of America. На пропавшем ноутбуке находились персональные данные примерно 40 тыс сотрудников сети банков. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, прямые издержки составляют в среднем 54 долл. на каждого пострадавшего. Это траты на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. В нашем случае общие прямые издержки получатся 2,16 млн. долл. Средние косвенные издержки составляют по 30 долл. на одну украденную запись. Тогда общие косвенные убытки будут равны 1,2 млн.

В данной ситуации можно предположить, что Bank of America избежит издержек упущенной выгоды. Ведь утеряны данные не клиентов, а собственных служащих. Разумеется, часть работников могла уволиться из филиалов. Чтобы не допустить этого, руководство Bank of America уже пообещало, что все люди, чьи данные находились на украденном лэптопе, получат бесплатный мониторинг счетов в течение 2 лет. Цены на подобную услугу достаточно стабильны в различных агентствах и составляют порядка 120 долларов в год на одного человека. Это еще 9,6 млн долл. Прибавим сюда уже посчитанные 3,36 млн косвенных и прямых издержек. Получим итоговое значение 12,96 млн долл.

Разумеется, посчитанные таким способом цифры не точно совпадают с реальными убытками в каждом случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.

Алексей Доля

Не секрет, что сегодня информация играет гораздо большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Чем чреваты сегодня утечки конфиденциальной информации для тех, кто их допускает?

Внедрение новых информационных технологий ставит современные компании в зависимость от информационной системы, а переход на электронные носители информации приводит к необходимости уделять пристальное внимание вопросу информационной безопасности. Любое вмешательство в работу информационной системы: кража, уничтожение или несанкционированный доступ к данным может привести к значительным убыткам компании, а иногда и к ее полной ликвидации, особенно если эти данные касаются ее коммерческих тайн или ноу-хау.

Обеспокоенность внутренними угрозами информационной безопасности обоснованна. Госструктуры и представители бизнес-сектора ставят на первое место утечку информации далеко не случайно, так как негативные последствия этого инцидента очевидны: прямые финансовые убытки, удар по репутации, потеря клиентов. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации.

Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:

  • разглашение (излишняя болтливость сотрудников) — 32%;
  • несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
  • отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
  • традиционный обмен производственным опытом — 12%;
  • бесконтрольное использование информационных систем — 10%;
  • наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива — 8%.

Наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.

В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал коммерческого банка ОАО «Уралсиб» в Воронеже, когда в конце 2009 года ряд сотрудников «Уралсиба» перешли работать в Воронежский филиал Банка «Поволжский» забрав с собой клиентскую базу предыдущего работодателя. И клиенты «Уралсиба» с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка. В «Уралсибе» и банке «Поволжский» эту информацию не комментируют.

Нельзя сказать, что проблема утечек информации появилась совсем недавно — такие вещи, как промышленный шпионаж, переманивание ценных специалистов вместе с их наработками и знаниями и другие подобные действия известны уже достаточно давно. В информационную эпоху возросла их актуальность и значимость, поскольку сегодняшние приемы обработки и хранения информации открывают поистине безграничные возможности для того, кто хочет эту информацию незаконно получить. Ведь если раньше нужно было выносить в буквальном смысле целые шкафы бумажных документов, то сегодня все это можно передать по электронной почте или записать на помещающуюся в карман небольшую флэшку. И объемы информации, которую сегодня можно запросто «слить», только увеличивают значимость угрозы утечек конфиденциальных данных.

Для того чтобы говорить предметно о возможных последствиях утечек информации, нужно, в первую очередь, посмотреть на то, какая информация может вообще «утекать» из компании. Сегодня, как показывает практика, сотрудники как случайно, так и целенаправленно передают за пределы родной организации чаще всего следующие сведения:

  • Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);
  • Персональные данные клиентов и сотрудников организации;
  • Технологические и конструкторские разработки, ноу-хау компании и т.п.;
  • Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);
  • Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.);

Как видите, интересы инсайдеров — сотрудников, незаконно распространяющих закрытую информацию, к которой они имеют доступ, —; достаточно широки. Во многом то, какая информация интересует конкретного инсайдера, зависит от того, для чего он в будущем собирается эту информацию применить. То есть, к примеру, как правило, инсайдеры, «купленные» конкурентами, больше интересуются бизнес-планами, клиентами и ноу-хау, в то время как сотрудники, желающие отомстить начальству, которое, по их мнению, несправедливо с ними обошлось, более склонны обнародовать документы, которые могут характеризовать в неприглядном свете это начальство или саму компанию (например, жалобы клиентов, записи с совещаний, написанные с ошибками письма в адрес сотрудников и пр.).

Каким именно образом страдает компания от утечек информации в финансовом аспекте, и всякая ли утечка несет за собой денежные последствия? Само собой, утечки информации, в результате которых, например, конкуренты получают доступ к новейшим разработкам компании, несут очень тяжелые последствия для нее, поскольку в результате таких утечек все средства, затраченные на R&D (Research & Development), оказываются фактически подаренными конкурентам. Утечки финансовой документации, особенно в те моменты, когда компания находится, скажем так, не в лучшей форме, также вполне предсказуемо могут нести за собой очень тяжелые последствия, вплоть до банкротства.

На первый взгляд может показаться, что некоторые утечки вполне безвредны, например, те же утечки персональных данных. Но, как показывает практика, именно они становятся наиболее частой причиной убытков компаний из-за утечек информации. Убытки компания получает вследствие судебных исков, предъявляемых пострадавшими из-за утечек физическими лицами, чьи персональные данные подверглись компрометации, а также от штрафов регулирующих органов, занимающихся защитой персональных данных на государственном уровне. В России пока что проблема штрафов не так актуальна, как в западных странах, где даже крупнейшие компании становятся героями новостей о штрафах за утечку персональных данных клиентов или сотрудников. Но уже всего через полгода ситуация в России должна радикально измениться в связи со вступлением в полную силу закона «О персональных данных».

Аналогичным образом приводят к убыткам и утечки внутренних данных, например, тех же служебных записок и презентаций. К прямым убыткам в виде штрафов или компенсаций они, конечно, не ведут, но могут серьезно навредить репутации компании, допустившей подобные утечки. А испорченная репутация автоматически означает упущенную выгоду, поскольку ряд потенциальных клиентов или партнеров могут изменить свои предпочтения в выборе между несколькими конкурирующими компаниями, и причиной подобных изменений может служить как информация, ставшая публичной в результате утечки, так и сам факт подобной утечки конфиденциальных данных.

Таким образом, можно говорить о том, что любая утечка информации несет в себе те или иные негативные экономические последствия для компании. С этим мнением согласны и представители индустрии информационной безопасности, говорящие о том, что безобидных утечек данных не бывает — любая из них несет в себе ущерб для бизнеса, если не сейчас, то в будущем. «Иногда достаточно трудно предсказать, где и когда «выстрелят» те документы, которые инсайдеры вынесли из вашего офиса сегодня, считает Лев Матвеев, генеральный директор компании SearchInform — Бывает, что проходит несколько месяцев, или даже несколько лет, прежде чем информация сделает свое черное дело, попавшись, например, на глаза журналистам или конкурентам. Именно поэтому очень важно защищать данные комплексно, а не делить их на более важные и менее важные. Информация, не предназначенная для публики, должна оставаться закрытой. А значит ее следует защитить от возможных утечек».

Каким образом можно оценить возможный ущерб от утечки конфиденциальных данных? Для начала необходимо свериться со списком возможных источников ущерба:

  • Упущенная выгода в результате испорченного имиджа;
  • Штрафы со стороны регуляторов;
  • Компенсации по судебным искам;
  • Снижение котировок акций (для акционерных компаний) в результате попадания на рынок инсайдерской информации;
  • Прямые убытки: стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т.д.

Каждая утечка информации «ставит галочку» напротив как минимум одного из перечисленных выше пунктов, наиболее серьезные же утечки способны «преподнести» компании весь этот список. Соответственно, общая сумма ущерба от каждой конкретной утечки информации складывается из «цены» каждого источника ущерба.

Конечно, не для всех перечисленных пунктов подсчитать возможную стоимость ущерба достаточно просто. Если, к примеру, штрафы со стороны регуляторов или стоимость технологических разработок подсчитать не так уж сложно, то предсказать, как поведет себя рынок ценных бумаг в ответ на обнародованные инсайдерами документы, или сколько клиентов отвернутся от компании в результате ухудшившейся репутации, практически невозможно. Поэтому в своих оценках лучше не придерживаться оптимистической позиции «все обойдется», а закладывать в «бюджет» утечки максимально возможную сумму ущерба. К сожалению, достоверных исследований, которые показывали бы среднюю стоимость утечки информации в России, пока нет, однако можно ориентироваться на данные для других стран, которые вряд ли будут существенно отличаться от данных для России.

Так, согласно исследованиям Ponemon Institute, средняя стоимость утечки информации для фирм в Великобритании в 2008 г. составила 1,7 млн фунтов, то есть почти 80 миллионов российских рублей. Еще одна цифра: в среднем убытки при потере служебного ноутбука составляют почти 50 тыс. долларов – такие данные были получены после опроса представителей 29 организаций, которые пережили 138 отдельных случаев потери ноубтуков их постоянными или временными сотрудниками, пишет Руформатор со ссылкой на PCWorld. Такая сумма получена с помощью учета семи различных факторов: цены самого ноутбука, определения потерянных данных, экспертизы и расследования обстоятельств потери, сообщения об утечке данных и действий по смягчению последствий инцидента, потери интеллектуальной собственности, потери производительности, а также других юридических и нормативных затрат.

Эксперты также подсчитали, что чем быстрее компания реагирует на утрату компьютера, тем меньшие потери она несет. Если потерю ноутбука удалось обнаружить в тот же день, то затраты могут составить в среднем лишь 8 950 долларов. Спустя неделю они могут достичь уже 115 849 долларов.

Шифрование данных приводит к существенному снижению финансовых потерь при утрате компьютера. Так, если информация на жестком диске ноутбука была зашифрована, потеря обходится в 37 443 долларов, если нет, — то в 56 165 долларов.

Наконец, финансовые потери напрямую зависят от того, какую должность в компании занимает человек, потерявший компьютер или лишившийся его в результате кражи. Наибольшей ценностью обладает ноутбук не высшего должностного лица компании, а директора или менеджера. Потеря ноутбука топ-менеджером обходится в среднем в 28 449 долларов, но если его потеряли директор или менеджер, сумма возрастает до 60 781 долларов и 61 040 долларов соответственно.

Это свидетельствует о высоком уровне риска для корпоративных сетей, потому что доступ к сайтам для взрослых, поиск работы на подозрительных ресурсах и другие виды нецелевого использования рабочих ноутбуков могут привести к серьезным утечкам информации, а иногда и к проникновению вредоносного ПО в сеть организации.

Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения средств защиты от утечек информации (например, DLP-систем — от английского Data Leak Prevention, предотвращение утечек данных). Выгода, конечно же, есть, когда стоимость возможных утечек хотя бы в 2 раза превышает стоимость внедрения подобной системы. Как показывает практика, для подавляющего большинства компаний внедрение DLP-системы действительно целесообразно.