Интернет-издание о высоких технологиях. Утечки информации: экономические эффекты

Максимальный подтвержденный размер финансового ущерба от утечки информации в российской компании составил 30 миллионов долларов. Об этом говорится в исследовании компании Zecurion.

Исследование проведено в октябре 2014 года с участием представителей более 100 российских компаний различных отраслей.

В среднем российские компании различных отраслей и размеров теряют от каждой утечки данных около 820 тысяч долларов - такой результат для тех случившихся инцидентов, ущерб от которых можно оценить в деньгах. При этом интересно, что потенциальный ущерб от одной предотвращенной утечки компании оценивают ниже - в 310 тысяч долларов.

Согласно исследованию, инциденты достаточно высокой степени серьезности фиксируются в различных российских компаниях раз в несколько недель. Этот показатель варьирует от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.

Так, эксперты Zecurion подсчитали, что более 90 процентов российских компаний сталкиваются с крупными утечками данных, которые могут привести к серьезным финансовым проблемам вплоть до банкротства. И лишь восемь процентов организаций не страдают от утечек данных, а в 30 процентах компаний крупного и среднего бизнеса фиксируют в среднем по две попытки в месяц похитить ценную информацию, потеря которой сказывается на финансовой стабильности фирмы.

Утекает из организаций самая разнообразная информация, включая проектную документацию, клиентские базы, сведения об инвестиционной деятельности компании, персональные данные сотрудников, коммерческие предложения, сведения о движениях на счетах клиентов и другое, отмечают эксперты.

Основными статьями ущерба вследствие утечек являются прямые потери, упущенная выгода, а также штрафы со стороны регуляторов. Если говорить о российской практике, наибольшие потери компаний приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных отраслях) или из-за получения конкурентами других преимуществ.

Большая часть компаний несет косвенные убытки вследствие кражи сотрудниками клиентской базы. В случаях выявления кражи и незаконного использования коммерческой информации сотрудниками девять процентов компаний увольняет виновников и лишь два процента привлекает их к уголовной или административной ответственности.

Если в действиях сотрудника отсутствует злой умысел, в большинстве случаев (61 процент) все заканчивается разъяснительными беседами. При серьезных последствиях непреднамеренных утечек 17 процентов работодателей прибегают к официальным выговорам и штрафам.

Кроме того, нередко на «сливе» информации попадаются топ-менеджеры компаний. Аналитики объясняют это тем, что, во-первых, топ-менеджеры имеют легальный доступ к конфиденциальной информации самого высокого уровня, прекрасно представляют ее ценность и возможные варианты использования вне компании. Во-вторых, часто руководители чувствуют свою безнаказанность.

К информации с ограниченным доступом относится: государственная, коммерческая, банковская, профессиональная, служебная тайны, персональные данные и интеллектуальная собственность.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации 155]:

  • - владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
  • - источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
  • - промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем случае факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации (НСД).

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т.д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения.

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарные или в подвижном варианте, оборудованные самыми современными техническими средствами.

Конкурентная борьба в условиях рыночной экономики невозможна без получения достоверной информации, а стремление получить ее в условиях закрытого доступа порождает недобросовестную конкуренцию. Экономическая сущность недобросовестной конкуренции ясна - не тратить средства на проведение разработок новой продукции, а незаконно получить информацию о ней у конкурента и таким образом получить большую прибыль. Кроме того, преследуются и другие цели: уничтожить конкурента, сорвать ему выгодные сделки, понизить престиж предприятия и др.

Чтобы добыть информацию ограниченного доступа, злоумышленники имеют необходимые кадры, технические средства и отработанные способы и приемы несанкционированного доступа.

В современной практике шпионажа способами НСД являются :

  • 1. Инициативное сотрудничество - проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных, готовых ради наживы на любые противоправные действия.
  • 2. Склонение к сотрудничеству - это, как правило, насильственное действие со стороны злоумышленников. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа.
  • 3. Выведывание, выпытывание - это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложным трудоустройством, и созданием ложных фирм, и другими действиями.
  • 4. Подслушивание - способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств.
  • 5. Наблюдение - способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов целенаправленно, в определенное время и в нужном месте специально подготовленными людьми, как правило, скрытно.
  • 6. Хищение - умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией.
  • 7. Копирование. В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в автоматизированных системах обработки данных; продукцию.
  • 8. Подделка. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и др.
  • 9. Уничтожение. Особую опасность представляет уничтожение информации в автоматизированных системах обработки данных, в которых накапливаются на технических носителях огромные объемы сведений различного характера. Уничтожаются и сведения о людях, и документы, и средства обработки информации, и продукция.
  • 10. Незаконное подключение. Под незаконным подключением понимается контактное или бесконтактное подключение к различным линиям с целью несанкционированного доступа к информации.
  • 11. Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи, переговоры, ведущиеся с подвижных средств телефонной связи, переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и др.
  • 12. Негласное ознакомление - способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность с ней ознакомиться. К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки.
  • 13. Фотографирование - способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа - документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.
  • 14. Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение.

Краткий обзор способов НСД позволяет заключить, что к определенным источникам информации применимы и определенные способы НСД.

Условия , способствующие неправомерному овладению конфиденциальной информацией, следующие :

  • - разглашение (излишняя болтливость сотрудников) - 32%;
  • - несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
  • - отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
  • - традиционный обмен производственным опытом - 12%;
  • - бесконтрольное использование информационных систем -
  • - наличие предпосылок возникновения среди сотрудников конфликтных ситуаций - 8%.

Надежность и эффективность системы безопасности объекта оценивается на основе одного критерия - степени отсутствия или наличия нанесенного ему материального ущерба и морального вреда. Содержание этого критерия раскрывается через ряд показателей:

  • 1) недопущение фактов утечки (разглашения) конфиденциальных сведений;
  • 2) предупреждение или пресечение противоправных действий со стороны персонала предприятия, его посетителей, клиентов;
  • 3) сохранность имущества и интеллектуальной собственности предприятия;
  • 4) предупреждение чрезвычайных ситуаций;
  • 5) пресечение насильственных преступлений в отношении отдельных (специально выделенных) сотрудников и групп сотрудников;
  • 6) своевременное выявление и пресечение попыток несанкционированного проникновения на охраняемые объекты.

Однако быстрое изменение проблематики рассматриваемой области приводит к вариации подходов и методов оценки ущерба. Наиболее целесообразно эту проблему рассматривать в неразрывной связи с функционированием всех подсистем в единой комплексной системе обеспечения безопасности объекта информатизации.

Стоимость ущерба, т.е. потери финансовых, материальных ценностей и (или) информационных ресурсов на объекте при отсутствии технических средств охраны (ТСО), могут составлять 100%. При наличии же ТСО ущерб растет от нуля вплоть до времени начала ликвидации угрозы, которое состоит из времени срабатывания и времени реагирования.

В процессе ликвидации угрозы, на которое также необходимо определенное время ликвидации, рост ущерба замедляется и останавливается при окончании угрозы.

Ущерб может носить как случайный, так и намеренный характер.

При расчете стоимости риска от наступления события следует учитывать такие параметры, как:

  • - стоимость возмещения прямых убытков от возможного действия (проникновения, кражи, пожара и т.д.);
  • - стоимость временных расходов на восстановление последствий;
  • - стоимость штрафов, прямых, косвенных убытков из-за невыполнения договорных обязательств;
  • - стоимость потерь из-за невозможности проведения производственных операций.

Чрезвычайно важно рассматривать методологию оценки ущерба от противоправных нарушений в связи с методологией оценки стоимости систем защиты информации. Обе методики напрямую зависят от стоимости составляющих СЗИ технических (аппаратно-программных) средств и стоимости работ по их установке.

При организации работ по обеспечению безопасности информации оценка возможного ущерба должна являться необходимым и обязательным условием.

Теперь в руках исследователя есть все исходные данные для оценки потерь (возможного ущерба).

Желательно, чтобы эта оценка была количественной. В качестве возможных вариантов оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач.

Оценивая тяжесть ущерба, необходимо иметь в виду:

    непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущер­ба, восстановление информации и функционирования АС по ее обработке;

    косвенные потери , связанные со снижением банковского доверия, потерей клиентуры,подрывом репутации,ослабление позиций на рынке.

Естественно, что информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претен­зии пользователей, потерю интересов, а иногда и финансовые санк­ции.

Для оценки потерь необходимо описать сценарий действий трех сторон – нарушителя по использованию добытой информации, службы информационной безопасности по предотвращению последствий и восстановлению нормального функционирования системы и третьей стороны.

Ценность физических ресурсов определяется ценой их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

Недоступность ресурса в течение определенного периода времени;

Разрушение ресурса – потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

Нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

Модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

Ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Ущерб репутации организации;

Нарушение действующего законодательства;

Ущерб, связанный с разглашением персональных данных отдельных лиц;

Финансовые потери от разглашения информации;

Потери, связанные с невозможностью выполнения обязательств;

Дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые параметры, дается оценка ущерба по дискретной шкале, например со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Например, анализ, проведенный экспертом совместно с руководством организации, показал, что для данной информационной технологии будут приниматься во внимание следующие критерии:

Ущерб для здоровья персонала;

Ущерб репутации организации;

Финансовые потери, связанные с восстановлением ресурсов;

Дезорганизация деятельности в связи с недоступностью данных.

Затем разрабатываются шкалы для выбранной системы критериев. Они могут выглядеть следующим образом:

Ущерб репутации организации:

2 - негативная реакция отдельных чиновников, общественных деятелей;

4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6 - негативная реакция отдельных депутатов Думы, Совета Федерации;

8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;

10 - негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);

4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);

б - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);

10 - гибель людей;

Финансовые потери, связанные с восстановлением ресурсов:

2 - менее $1000;

6 - от $1000 до $10 000;

8 - от $10 000 до $100 000;

10 - свыше $100 000.

Дезорганизация деятельности в связи с недоступностью данных:

2 - отсутствие доступа к информации до 15 минут;

4 - отсутствие доступа к информации до 1 часа;

6 - отсутствие доступа к информации до 3 часов;

8 - отсутствие доступа к информации от 12 часов;

10 - отсутствие доступа к информации более суток.

Выбор существенных параметров и разработка шкал индивидуальны в каждом конкретном случае для каждой организации.

Не секрет, что сегодня информация играет гораздо большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Чем чреваты сегодня утечки конфиденциальной информации для тех, кто их допускает?

Внедрение новых информационных технологий ставит современные компании в зависимость от информационной системы, а переход на электронные носители информации приводит к необходимости уделять пристальное внимание вопросу информационной безопасности. Любое вмешательство в работу информационной системы: кража, уничтожение или несанкционированный доступ к данным может привести к значительным убыткам компании, а иногда и к ее полной ликвидации, особенно если эти данные касаются ее коммерческих тайн или ноу-хау.

Обеспокоенность внутренними угрозами информационной безопасности обоснованна. Госструктуры и представители бизнес-сектора ставят на первое место утечку информации далеко не случайно, так как негативные последствия этого инцидента очевидны: прямые финансовые убытки, удар по репутации, потеря клиентов. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации.

Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:

  • разглашение (излишняя болтливость сотрудников) — 32%;
  • несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
  • отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
  • традиционный обмен производственным опытом — 12%;
  • бесконтрольное использование информационных систем — 10%;
  • наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива — 8%.

Наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.

В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал коммерческого банка ОАО «Уралсиб» в Воронеже, когда в конце 2009 года ряд сотрудников «Уралсиба» перешли работать в Воронежский филиал Банка «Поволжский» забрав с собой клиентскую базу предыдущего работодателя. И клиенты «Уралсиба» с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка. В «Уралсибе» и банке «Поволжский» эту информацию не комментируют.

Нельзя сказать, что проблема утечек информации появилась совсем недавно — такие вещи, как промышленный шпионаж, переманивание ценных специалистов вместе с их наработками и знаниями и другие подобные действия известны уже достаточно давно. В информационную эпоху возросла их актуальность и значимость, поскольку сегодняшние приемы обработки и хранения информации открывают поистине безграничные возможности для того, кто хочет эту информацию незаконно получить. Ведь если раньше нужно было выносить в буквальном смысле целые шкафы бумажных документов, то сегодня все это можно передать по электронной почте или записать на помещающуюся в карман небольшую флэшку. И объемы информации, которую сегодня можно запросто «слить», только увеличивают значимость угрозы утечек конфиденциальных данных.

Для того чтобы говорить предметно о возможных последствиях утечек информации, нужно, в первую очередь, посмотреть на то, какая информация может вообще «утекать» из компании. Сегодня, как показывает практика, сотрудники как случайно, так и целенаправленно передают за пределы родной организации чаще всего следующие сведения:

  • Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);
  • Персональные данные клиентов и сотрудников организации;
  • Технологические и конструкторские разработки, ноу-хау компании и т.п.;
  • Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);
  • Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.);

Как видите, интересы инсайдеров — сотрудников, незаконно распространяющих закрытую информацию, к которой они имеют доступ, —; достаточно широки. Во многом то, какая информация интересует конкретного инсайдера, зависит от того, для чего он в будущем собирается эту информацию применить. То есть, к примеру, как правило, инсайдеры, «купленные» конкурентами, больше интересуются бизнес-планами, клиентами и ноу-хау, в то время как сотрудники, желающие отомстить начальству, которое, по их мнению, несправедливо с ними обошлось, более склонны обнародовать документы, которые могут характеризовать в неприглядном свете это начальство или саму компанию (например, жалобы клиентов, записи с совещаний, написанные с ошибками письма в адрес сотрудников и пр.).

Каким именно образом страдает компания от утечек информации в финансовом аспекте, и всякая ли утечка несет за собой денежные последствия? Само собой, утечки информации, в результате которых, например, конкуренты получают доступ к новейшим разработкам компании, несут очень тяжелые последствия для нее, поскольку в результате таких утечек все средства, затраченные на R&D (Research & Development), оказываются фактически подаренными конкурентам. Утечки финансовой документации, особенно в те моменты, когда компания находится, скажем так, не в лучшей форме, также вполне предсказуемо могут нести за собой очень тяжелые последствия, вплоть до банкротства.

На первый взгляд может показаться, что некоторые утечки вполне безвредны, например, те же утечки персональных данных. Но, как показывает практика, именно они становятся наиболее частой причиной убытков компаний из-за утечек информации. Убытки компания получает вследствие судебных исков, предъявляемых пострадавшими из-за утечек физическими лицами, чьи персональные данные подверглись компрометации, а также от штрафов регулирующих органов, занимающихся защитой персональных данных на государственном уровне. В России пока что проблема штрафов не так актуальна, как в западных странах, где даже крупнейшие компании становятся героями новостей о штрафах за утечку персональных данных клиентов или сотрудников. Но уже всего через полгода ситуация в России должна радикально измениться в связи со вступлением в полную силу закона «О персональных данных».

Аналогичным образом приводят к убыткам и утечки внутренних данных, например, тех же служебных записок и презентаций. К прямым убыткам в виде штрафов или компенсаций они, конечно, не ведут, но могут серьезно навредить репутации компании, допустившей подобные утечки. А испорченная репутация автоматически означает упущенную выгоду, поскольку ряд потенциальных клиентов или партнеров могут изменить свои предпочтения в выборе между несколькими конкурирующими компаниями, и причиной подобных изменений может служить как информация, ставшая публичной в результате утечки, так и сам факт подобной утечки конфиденциальных данных.

Таким образом, можно говорить о том, что любая утечка информации несет в себе те или иные негативные экономические последствия для компании. С этим мнением согласны и представители индустрии информационной безопасности, говорящие о том, что безобидных утечек данных не бывает — любая из них несет в себе ущерб для бизнеса, если не сейчас, то в будущем. «Иногда достаточно трудно предсказать, где и когда «выстрелят» те документы, которые инсайдеры вынесли из вашего офиса сегодня, считает Лев Матвеев, генеральный директор компании SearchInform — Бывает, что проходит несколько месяцев, или даже несколько лет, прежде чем информация сделает свое черное дело, попавшись, например, на глаза журналистам или конкурентам. Именно поэтому очень важно защищать данные комплексно, а не делить их на более важные и менее важные. Информация, не предназначенная для публики, должна оставаться закрытой. А значит ее следует защитить от возможных утечек».

Каким образом можно оценить возможный ущерб от утечки конфиденциальных данных? Для начала необходимо свериться со списком возможных источников ущерба:

  • Упущенная выгода в результате испорченного имиджа;
  • Штрафы со стороны регуляторов;
  • Компенсации по судебным искам;
  • Снижение котировок акций (для акционерных компаний) в результате попадания на рынок инсайдерской информации;
  • Прямые убытки: стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т.д.

Каждая утечка информации «ставит галочку» напротив как минимум одного из перечисленных выше пунктов, наиболее серьезные же утечки способны «преподнести» компании весь этот список. Соответственно, общая сумма ущерба от каждой конкретной утечки информации складывается из «цены» каждого источника ущерба.

Конечно, не для всех перечисленных пунктов подсчитать возможную стоимость ущерба достаточно просто. Если, к примеру, штрафы со стороны регуляторов или стоимость технологических разработок подсчитать не так уж сложно, то предсказать, как поведет себя рынок ценных бумаг в ответ на обнародованные инсайдерами документы, или сколько клиентов отвернутся от компании в результате ухудшившейся репутации, практически невозможно. Поэтому в своих оценках лучше не придерживаться оптимистической позиции «все обойдется», а закладывать в «бюджет» утечки максимально возможную сумму ущерба. К сожалению, достоверных исследований, которые показывали бы среднюю стоимость утечки информации в России, пока нет, однако можно ориентироваться на данные для других стран, которые вряд ли будут существенно отличаться от данных для России.

Так, согласно исследованиям Ponemon Institute, средняя стоимость утечки информации для фирм в Великобритании в 2008 г. составила 1,7 млн фунтов, то есть почти 80 миллионов российских рублей. Еще одна цифра: в среднем убытки при потере служебного ноутбука составляют почти 50 тыс. долларов – такие данные были получены после опроса представителей 29 организаций, которые пережили 138 отдельных случаев потери ноубтуков их постоянными или временными сотрудниками, пишет Руформатор со ссылкой на PCWorld. Такая сумма получена с помощью учета семи различных факторов: цены самого ноутбука, определения потерянных данных, экспертизы и расследования обстоятельств потери, сообщения об утечке данных и действий по смягчению последствий инцидента, потери интеллектуальной собственности, потери производительности, а также других юридических и нормативных затрат.

Эксперты также подсчитали, что чем быстрее компания реагирует на утрату компьютера, тем меньшие потери она несет. Если потерю ноутбука удалось обнаружить в тот же день, то затраты могут составить в среднем лишь 8 950 долларов. Спустя неделю они могут достичь уже 115 849 долларов.

Шифрование данных приводит к существенному снижению финансовых потерь при утрате компьютера. Так, если информация на жестком диске ноутбука была зашифрована, потеря обходится в 37 443 долларов, если нет, — то в 56 165 долларов.

Наконец, финансовые потери напрямую зависят от того, какую должность в компании занимает человек, потерявший компьютер или лишившийся его в результате кражи. Наибольшей ценностью обладает ноутбук не высшего должностного лица компании, а директора или менеджера. Потеря ноутбука топ-менеджером обходится в среднем в 28 449 долларов, но если его потеряли директор или менеджер, сумма возрастает до 60 781 долларов и 61 040 долларов соответственно.

Это свидетельствует о высоком уровне риска для корпоративных сетей, потому что доступ к сайтам для взрослых, поиск работы на подозрительных ресурсах и другие виды нецелевого использования рабочих ноутбуков могут привести к серьезным утечкам информации, а иногда и к проникновению вредоносного ПО в сеть организации.

Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения средств защиты от утечек информации (например, DLP-систем — от английского Data Leak Prevention, предотвращение утечек данных). Выгода, конечно же, есть, когда стоимость возможных утечек хотя бы в 2 раза превышает стоимость внедрения подобной системы. Как показывает практика, для подавляющего большинства компаний внедрение DLP-системы действительно целесообразно.