Есть страны (например, США, Великобритания), где компании обязаны публиковать информацию о произошедших у них утечках данных. Есть такие (например, Россия, Китай), где это делать необязательно. И нужно сказать, что на положении этих стран в списках, учитывающих количество утечек, это никак не отражается. США, например, из года в год лидируют по количеству публичных утечек. Вроде бы, неудивительно – ведь тамошние компании обязаны придавать утечки гласности. Зато второе место столь же уверенно удерживает наша страна, где этого делать не нужно.
Складывается мнение, что публичность утечек – дело необязательное. Гораздо важнее информировать об утечках только заинтересованных, в смысле пострадавших, на предмет рекомендации им последовательности действий в целях минимизации ущерба. Желательно, кстати, организовать для физических лиц (как наименее просвещенных в области ИБ) финансово-юридические буферные институции, которые помогали бы им максимально быстро компенсировать ущерб в досудебном порядке, запускать и поддерживать судебные разбирательства.
Разумеется, окончательные взаиморасчеты между сторонами, вовлеченными в разбирательство - по завершению разбирательства. Но в начале нужно быстро помочь пострадавшему в пресечении возможной эскалации последствий утечки. Возможно, до суда вообще дело не дойдет. Для этого и нужно оперативно затормозить эскалацию.
Итак, нужна не публичность утечек, а эффективная финансово-юридическая система борьбы с их последствиями – форензика, работающая в интересах граждан, пострадавших от утечек. Разумеется, организацию и поддержку (финансовую и юридическую) такой системы должно взять на себя государство.