Последствия утечек: миллион - уже немного

БЕЗОПАСНОСТЬ

Сегодня от утечек конфиденциальной информации страдают все - и транснациональные корпорации, и маленькие фирмы. Удивительно, но руководители спокойно реагируют на прямую угрозу своему бизнесу. Думаю, все же стоит взглянуть в глаза фактам, обратить внимание на цифры. Сотни тысяч и даже миллионы долларов ущерба - это вовсе не редкость.

Согласно исследованию "National Survey on Managing the Insider Threats", в ходе которого организация Ponemon Institute опросила 450 экспертов по ИТ-безопасности, 89% респондентов считают атаки инсайдеров наиболее серьезной угрозой. Но вот что касается руководителей компаний, то только половина их разделяет мнение своих подчиненных и признает значимость внутренних утечек. А между тем исследование "CSI/FBI Computer Crime Security Survey 2005" показало, что 44% компаний в течение года пострадали от инсайдерских инцидентов, утечки или искажения данных. А согласно данным, собранным в ходе исследования "Global State of Information Security 2005", по вине инсайдеров происходит около 60% инцидентов с ИТ-безопасностью. Причем средний ущерб от инсайдерских атак, по данным ФБР, составляет 355 тыс. долл.

Однако все эти цифры в большей степени относятся к позапрошлому году. Разобраться же в сегодняшней ситуации нам помогут свежие исследования, в том числе "2006 Annual Study: Cost of a Data Breach", в ходе которого были проанализированы финансовые убытки 31 компании, пострадавшей от утечки информации.

Какие отрасли страдают от утечек

Защите информации в последние годы уделяется немало внимания, и все же многие направления до сих пор остаются в некотором роде обделенными. Так, в частности, обстоит дело с внутренними угрозами. Атаки хакеров, спам, вирусы и прочие внешние напасти уже неплохо изучены, против них выставляются специально предназначенные средства. А меры предосторожности от нечистоплотности собственных сотрудников еще не отработаны.

В отчете "2006 Annual Study: Cost of a Data Breach" приводятся предельные издержки компаний, пострадавших от утечек конфиденциальных данных. Самые значительные убытки приходятся на непосредственные траты на ликвидацию последствий, и они действительно весьма велики. Однако, по мнению экспертов компании InfoWatch, специализирующейся в области средств защиты от внутренних угроз, в перспективе ущерб от вреда репутации компании может быть несоизмеримо больше.

Обратимся к табл. 1. В исследовании "2006 Annual Study: Cost of a Data Breach" приняло участие относительно немного компаний. Тем не менее результаты настораживают, отчетливо свидетельствуя о преобладании внутренних угроз над внешними: 71% против 29%. Особенно хорошо это заметно для первых двух отраслей: в сфере финансовых услуг на один внешний инцидент приходится до четырех внутренних, а в розничной и электронной торговле соотношение 7:0 "в пользу" инсайдеров.

Таблица 1. Количество исследованных утечек по отраслям

Масштаб и структура убытков

Одной из причин того, что руководители пренебрегают проблемой защиты от внутренних угроз, является недооценка ущерба. Вооружившись цифрами практического исследования, нетрудно показать ошибочность этой позиции. Суммировав все убытки 31 компании, получим 148 млн. долл., то есть в среднем 4,8 млн. на компанию. В каждом конкретном случае ущерб оказался в пределах от 226 тыс. до 22 млн. долл.

Исследуя инциденты, можно сделать вывод, что в пострадавших организациях вследствие кражи персональных данных в руки злоумышленников попали приватные записи от 2500 до 263 000 человек, или суммарно почти 815 тыс. граждан. Таким образом, средние убытки организации на каждую утекшую приватную запись составили 182 долл. Можно ли за эти деньги обеспечить надежную защиту данных? Конечно! Причем обойдется соответствующее решение даже дешевле, а служить оно будет не один год. Стоимость базовых решений для защиты от инсайдеров начинается с 25 тыс. долл., а за 300 тыс. долл. можно приобрести развитый комплекс обнаружения и блокирования утечек.

Прямые издержки составили по 53 долл. на запись (см. табл. 2). Это на 8% больше, чем было в прошлом году. Косвенные расходы из-за снижения производительности труда сотрудников вылились в 30 долл. на утерянную запись, или 800 тыс. долл. на компанию. То есть, согласно "2006 Annual Study: Cost of a Data Breach", в прошлом году по сравнению с 2005-м зарегистрирован стопроцентный рост.

Таблица 2. Прямые средние издержки на каждую потерянную запись

Обратимся теперь к упущенной выгоде, а именно к той прибыли, которую компания недополучила вследствие вреда имиджу, потери имевшихся клиентов и трудностей с привлечением новых. Согласно исследованию "2006 Annual Study: Cost of a Data Breach", средняя упущенная выгода составила 98 долл. на одну приватную запись, или 2,6 млн. долл. на компанию. Это на 31% больше показателя 2005 г. Вышеперечисленные показатели сведены в диаграмму (см. рис. 1).

Рис. 1. Общие средние издержки

на компанию, долл.

В отчете "CSI/FBI Computer Crime Security Survey 2005" средний ущерб от утечек на одну компанию оценивается в 355 тыс. долл., что плохо согласуется с данными исследования "2006 Annual Study: Cost of a Data Breach" (4,8 млн. долл.). Поэтому имеет смысл привести результаты и других подобных исследований. Так, по данным опроса "National Survey on Managing the Insider Threats", проведенного в середине 2006 г. (www.bitpipe.com/detail/RES/1163080017_11.html) среди 450 с лишним специалистов по ИТ-безопасности из американских компаний, средние потери от атак инсайдеров в расчете на одну организацию составили 3,4 млн. долл. А специалисты из Deloitte, изучившие во второй половине прошлого года состояние дел в крупнейших банках и страховых компаниях, пришли к выводу, что более 70% утечек приводят к убыткам в размере не менее 1 млн. долл.

Еще раз отметим, что приведенные здесь суммы - это лишь непосредственные траты на ликвидацию последствий утечек. На самом деле они могут быть гораздо выше.

Последствия утечек

В ходе составления отчета по "2006 Annual Study: Cost of a Data Breach" был проведен опрос и среди населения США. Выяснилось, что около 12% из 9000 респондентов получили уведомления об утере их персональной информации. Неудивительно, что люди крайне негативно отнеслись к утечке собственных данных. Без малого две трети пострадавших либо уже разорвали отношения со скомпрометировавшими себя компаниями, либо собираются это сделать в ближайшее время. Еще 27% обеспокоены кражей личных данных. Наконец, лишь 14% ответивших не выказали озабоченности в связи с инцидентами (см. рис. 2). Последняя цифра, очевидно, была бы значительно меньше, если бы все граждане сознавали вероятные последствия утечек: вряд ли возможно оставаться беспечным, когда недоброжелатели могут использовать ваши данные для махинаций, в том числе финансовых.

Рис. 2. Реакция граждан на утечки

их персональных данных

Потеря клиентской базы влечет за собой не только прямые издержки - негативное отношение со стороны пользователей будет преследовать фирму на протяжении длительного времени. Ушедшие клиенты создадут недружелюбное отношение со стороны потенциальных пользователей.

Интересные выводы напрашиваются после рассмотрения следующих двух диаграмм, построенных на основе исследования Ponemon Institute. На рис. 3 представлен расклад, на какие подразделения приходятся наибольшие траты при возмещении ущерба от утечек. А на рис. 4 показана степень ответственности за потерю конфиденциальной информации.

Рис. 3. Затраты при возмещении

 ущерба по подразделениям

Рис. 4. Разделение ответственности

за утечку информации

Оказывается, сотрудники ИT-подразделений несут наибольшую ответственность: в общей сложности они отобрали более половины ответов, из этого количества 20% приходится на менеджеров по ИТ-безопасности и 33% - на ИТ-специалистов. Это и понятно, ведь именно они наиболее осведомлены об электронных угрозах, и именно на них возложены задачи сохранения информации. Однако ИТ-службы не несут никаких затрат при возмещении ущерба. Отметим также, что нередко в краже данных повинны сотрудники сразу нескольких секторов (почти треть в опросе).

Вместе с тем нагрузка на ИT-отделы должна решительно увеличиться после случаев утери информации. До инцидента ответственные лица и руководство еще могут питать некоторые иллюзии по поводу убытков от инсайдерских атак, но подсчитав реальный ущерб, они должны незамедлительно приняться за устранение выявленных брешей. По мнению аналитического центра InfoWatch, затраты на систему защиты от утечек окупятся после первого же предотвращенного инцидента (как показывает практика использования такого рода решений в крупных российских компаниях, ежемесячно по вине служащих происходит как минимум одна серьезная утечка). Это мнение полностью подтверждают цифры исследования "2006 Annual Study: Cost of a Data Breach". На новые меры защиты после инцидентов было направлено менее 4% от суммарного убытка - всего 180 тыс. долл. на 31 компанию.

Расходы шаг за шагом

Рассмотрим более подробно структуру потерь при ликвидации последствий утечки информации. Цифры в табл. 3 являются усредненными значениями ущерба компании в результате утечки персональных данных одного человека. Можно проследить все этапы, которые проходит организация, выполняя необходимые по закону мероприятия и пытаясь восстановить свое реноме.

Таблица 3. Средние издержки на возмещение ущерба от утечек на каждую запись, долл.

Надо обратить внимание на то, сколь значительными оказываются расходы даже на элементарное уведомление клиента о потере его персональных данных. Кстати, по американскому законодательству это нужно делать обязательно.

Расходы на обнаружение инцидента и уведомление пострадавших превышают траты на последующие мероприятия. Это внушительная сумма в 47,39 долл. на учетную запись, складывающаяся преимущественно из оказанных клиентам бесплатных услуг (23,80 долл.), телефонных звонков (сумме 11,19 долл.) и услуг адвокатов (6,63 долл.). Прочие составляющие значительно меньше.

Однако все перечисленные статьи, вместе взятые, уступают потенциальным убыткам в 98,32 долл. от ущерба репутации. Большую часть здесь составляет потеря текущих пользователей (93,62 долл.).

Последняя строка таблицы - уже упоминавшиеся расходы ИT-подразделений на укрепление защиты от утечек. Весьма скромные 6,85 долл. на запись - это почти в три раза меньше затрат на телефонное уведомление клиентов.

Заключение

Инсайдерские атаки могут принимать самые разные формы. Кража интеллектуальной собственности, раскрытие корпоративной тайны, мошенничество и вымогательство, остановка деятельности организации и "кража личности" - все это как дамоклов меч висит над любой современной компанией. Причем для западных фирм наиболее неприятными могут стать связанные с этим дополнительные издержки. Для российских организаций ситуация несколько иная. По мнению аналитического центра InfoWatch, в нашей стране наибольшие убытки компании несут из-за ухудшения имиджа и потери лояльных клиентов.

Как видим, проблема утечки персональных и других конфиденциальных данных стоит чрезвычайно остро. Почти половина (44%) всех организаций страдает от внутренних краж хотя бы раз в год. Если взять период в несколько лет, то процент пострадавших будет гораздо выше. Таким образом, можно сказать, что вопрос актуален для всех компаний, имеющих конфиденциальную информацию.

На основе результатов исследования "2006 Annual Study: Cost of a Data Breach" можно спрогнозировать потенциальные убытки в случае утечки информации. Нетрудно также сравнить стоимость предлагаемых на рынке решений по защите информации и ущерб при ликвидации последствий от реализованных угроз. Предупредить инцидент многократно выгоднее, чем допустить его последствия.

На рынке уже сейчас доступны специализированные решения, способные защитить конфиденциальную информацию и предотвратить инсайдерские атаки. Предлагаемые продукты достаточно гибки, их можно подстроить под корпоративные требования и стандарты. Кроме того, централизованное управление и автоматический контроль обеспечивают высокую эффективность работы даже при гигантских объемах трафика, проходящего через почтовые и веб-серверы. Наконец, существующие решения позволяют обеспечить контроль контролера. Они не оставляют в системе суперпользователей, чьи действия никем не контролируются.

Тем не менее число предприятий, позаботившихся о средствах комплексной защиты, составляет всего около 10%, и новые сообщения об утечках приходят ежедневно. И будут приходить, пока организации не озаботятся приобретением средств защиты.

С автором, независимым экспертом по информационной безопасности, можно связаться по e-mail: ulyanov.vladimir@yahoo.com.