Потери от утечек данных. Утечки информации: экономические эффекты

Теперь в руках исследователя есть все исходные данные для оценки потерь (возможного ущерба).

Желательно, чтобы эта оценка была количественной. В качестве возможных вариантов оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач.

Оценивая тяжесть ущерба, необходимо иметь в виду:

непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущер­ба, восстановление информации и функционирования АС по ее обработке;

косвенные потери , связанные со снижением банковского доверия, потерей клиентуры,подрывом репутации,ослабление позиций на рынке.

Естественно, что информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претен­зии пользователей, потерю интересов, а иногда и финансовые санк­ции.

Для оценки потерь необходимо описать сценарий действий трех сторон – нарушителя по использованию добытой информации, службы информационной безопасности по предотвращению последствий и восстановлению нормального функционирования системы и третьей стороны.

Ценность физических ресурсов определяется ценой их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

Недоступность ресурса в течение определенного периода времени;

Разрушение ресурса – потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

Нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

Модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

Ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Ущерб репутации организации;

Нарушение действующего законодательства;

Ущерб, связанный с разглашением персональных данных отдельных лиц;

Финансовые потери от разглашения информации;

Потери, связанные с невозможностью выполнения обязательств;

Дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые параметры, дается оценка ущерба по дискретной шкале, например со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Например, анализ, проведенный экспертом совместно с руководством организации, показал, что для данной информационной технологии будут приниматься во внимание следующие критерии:

Ущерб для здоровья персонала;

Ущерб репутации организации;

Финансовые потери, связанные с восстановлением ресурсов;

Дезорганизация деятельности в связи с недоступностью данных.

Затем разрабатываются шкалы для выбранной системы критериев. Они могут выглядеть следующим образом:

Ущерб репутации организации:

2 - негативная реакция отдельных чиновников, общественных деятелей;

4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6 - негативная реакция отдельных депутатов Думы, Совета Федерации;

8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;

10 - негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);

4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);

б - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);

10 - гибель людей;

Финансовые потери, связанные с восстановлением ресурсов:

2 - менее $1000;

6 - от $1000 до $10 000;

8 - от $10 000 до $100 000;

10 - свыше $100 000.

Дезорганизация деятельности в связи с недоступностью данных:

2 - отсутствие доступа к информации до 15 минут;

4 - отсутствие доступа к информации до 1 часа;

6 - отсутствие доступа к информации до 3 часов;

8 - отсутствие доступа к информации от 12 часов;

10 - отсутствие доступа к информации более суток.

Выбор существенных параметров и разработка шкал индивидуальны в каждом конкретном случае для каждой организации.

Активность инсайдеров набирает обороты. Каждый следующий месяц приносит еще больше утечек, чем предыдущий. Растет и ущерб от инцидентов внутренней безопасности. Апрель не стал исключением. Более двух десятков утечек зарегистрировано за месяц. Число пострадавших приближается к 3,5 млн. Огромный ущерб (свыше 500 млн долларов) понесла вследствие утечки компания ACS. Еще больше потеряла NCsoft из-за инсайдерской выходки уволенных программистов. Ее убытки составили 1 млрд.

В последние годы хорошо просматривалась тенденция к постепенному увеличению убытков вследствие утечек. Наблюдение касается и среднего ущерба на один инцидент, и максимальных размеров отдельных утечек. Поэтому утечки с ущербом в несколько десятков миллионов долларов уже не шокируют. Тем не менее, астрономические величины потерь в сотни миллионов и даже миллиарды не могут не задевать. Ведь от действий инсайдеров не застрахована ни одна организация. И если информация не защищена от утечек с помощью современных комплексных систем, убытки могут привести к банкротству компании.

В апреле произошло сразу две утечки с приставкой "мега". Во-первых, это очередной инцидент в компании ACS (Affiliated Computer Services), а во-вторых, утечка программного кода новой игры Lineage III от разработчика NCsoft. Примечательно, что обе компании уже компрометировали себя, поскольку не способны уберечь информацию от утечек. ACS в прошлые годы отличилась несколькими утечками. В 2004 году компания даже потеряла выгодный контракт с правительством США. Тем не менее, сотрудничество продолжалось, и теперь ACS снова подвела федеральные власти.

Что касается NCsoft, софтверная компания также на протяжении некоторого времени испытывала проблемы с внутренним менеджментом. Утечки данных происходили осенью 2006 года. Чтобы улучшить ситуацию, владельцы уволили руководителя проекта, но это лишь обострило проблемы. Вслед за начальником команды компанию покинуло большое число разработчиков. Семеро программистов перед увольнением скопировали код новой игры. А вскоре вышли на связь с конкурирующей японской фирмой и продали исходники. По оценкам NCsoft, убыток составит свыше миллиарда долларов, что сопоставимо с продажами двух предыдущих версий игры.

Топ-10 инцидентов внутренней безопасности, апрель, 2007

№	Инцидент	Дата занесения в базу	Число пострадавших	Ущерб
1	Программисты-инсайдеры из NCsoft продали конкурентам программный код онлайновой игры Lineage III	25 апреля	Нет данных	1 млрд долл.
2	Компания Affiliated Computer Services пересылала незащищенный диск с приватными данными жителей штата Джорджия. До адресата диск не дошел	9 апреля	2,9 млн человек	510 млн долл.
3	У субподрядчика корпорации Neiman Marcus Group Inc. украли ноутбук с номерами социального страхования работников компании	27 апреля	160 тыс человек	29 млн долл.
4	Bank of America потерял ноутбук с персональными данными работников	20 апреля	40 тыс человек	13 млн долл.
5	В мусорном отстойнике колледжа на юго-западе Атланты обнаружены свыше 30 коробок с регистрационными формами избирателей.	16 апреля	75 тыс человек	10 млн долл.
6	На правительственном сайте в течение 10 лет размещались номера социального страхования большого количества фермеров	16 апреля	63 тыс человек	8,8 млн долл.
7	Компания Caterpillar потеряла лэптоп с персональными данными работников	26 апреля	35 тыс человек	6,1 млн долл.
8	Университет Калифорнии в Сан-Франциско допустил утечку из базы данных приватных сведений студентов	3 апреля	46 тыс человек	5,5 млн долл.
9	Инсайдеры из чикагского Управления средними школами украли два ноутбука с данными о преподавателях	11 апреля	40 тыс человек	5,3 млн долл.
10	Из базы данных университета Огайо просочились персональные данные бывших и нынешних работниках ВУЗа	19 апреля	14 тыс человек	2 млн долл.

Источник: InfoWatch, 2007

Среди апрельских инцидентов можно выделить несколько закономерностей. К традиционно большому числу мобильных утечек добавилось множество веб-утечек. Нередко сайты имеют уязвимости, которые позволяют получить доступ к данным. Но гораздо чаще информация просто находится в свободном пользовании. По ошибке веб-мастера выкладывают всевозможные сведения. В некоторых случаях приватные данные размещают временно, но потом забывают убрать. Впрочем, понятие "временно" для интернета не совсем актуально. Современные поисковые машины быстро индексируют содержимое доступных страниц и сохраняют данные в кэше. После этого информация будет доступна пользователям глобальной сети, даже если оригинальную страницу уже убрали с сервера.

Кроме того, в апреле зафиксировано три инцидента, когда утечка происходила во время транспортировки носителей. Многие компании совершенно неверно относятся к пересылке носителей с данными. Информация при этом оказывается особенно уязвимой, поэтому следует в обязательном порядке шифровать чувствительные файлы.

Еще одна распространенная ошибка – неправильная утилизация документов с конфиденциальной информацией. Проблема относится и к электронным носителям, и к бумагам. Недавно целый ряд британских банков получил строгие взыскания от регуляторов, а общество Nationwide Building Society заплатило штраф в 900 тыс фунтов стерлингов. Теперь привычку выбрасывать персональные данные клиентов переняли американские компании.

Как подсчитывать убытки

Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. Тем не менее, существует общая методика, с помощью которой можно оценить примерные убытки. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались скомпрометированы. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях, одни почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Количество жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела.

Рассмотрим для ясности пример с кражей персональных данных из Bank of America. На пропавшем ноутбуке находились персональные данные примерно 40 тыс сотрудников сети банков. Обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". По данным Ponemon Institute, прямые издержки составляют в среднем 54 долл. на каждого пострадавшего. Это траты на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. В нашем случае общие прямые издержки получатся 2,16 млн. долл. Средние косвенные издержки составляют по 30 долл. на одну украденную запись. Тогда общие косвенные убытки будут равны 1,2 млн.

В данной ситуации можно предположить, что Bank of America избежит издержек упущенной выгоды. Ведь утеряны данные не клиентов, а собственных служащих. Разумеется, часть работников могла уволиться из филиалов. Чтобы не допустить этого, руководство Bank of America уже пообещало, что все люди, чьи данные находились на украденном лэптопе, получат бесплатный мониторинг счетов в течение 2 лет. Цены на подобную услугу достаточно стабильны в различных агентствах и составляют порядка 120 долларов в год на одного человека. Это еще 9,6 млн долл. Прибавим сюда уже посчитанные 3,36 млн косвенных и прямых издержек. Получим итоговое значение 12,96 млн долл.

Разумеется, посчитанные таким способом цифры не точно совпадают с реальными убытками в каждом случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.

Алексей Доля

Основатель и генеральный директор компании GlobalTrust Александр Астахов говорит о риск-ориентированном подходе для оценки экономической целесообразности и эффективности применения средств защиты информации. В качестве примера автор использует DLP-систему «КИБ СерчИнформ».

Введение

В наше время DLP-системы получают все более широкое распространение, несмотря на их дороговизну с одной стороны и отсутствие четких представлений об их экономической эффективности с другой. О внутренних угрозах и губительных последствиях утечек информации нам уже почти все рассказали маркетинговые службы разработчиков этих систем. Пора поговорить об экономике вопроса. DLP-система - мощный инструмент защиты информации, применение которого сопряжено, однако, с рядом «побочных эффектов», таких как ухудшение морального климата в коллективе, а также непростые отношения с законодательством, защищающим право граждан на личную жизнь. Вложение средств в информационную безопасность должны быть экономически оправданы. Отбойный молоток - тоже очень эффективный инструмент, но им не забивают гвозди. Являются ли DLP-системы экономически оправданными? При каких условиях? Для каких организаций? Как оценить их экономическую эффективность? Какой возврат инвестиций они способны обеспечить? Современные методики анализа рисков, базирующиеся на международных стандартах, предоставляют достаточно возможностей для нахождения ответов на эти вопросы. Рассмотрим, как это может применяться на практике.

Статистика утечек информации

Продвижение DLP-систем осуществляется их разработчиками при помощи отчетов об инцидентах. Цель этих отчетов заключается, конечно, не в предоставлении наиболее полных и достоверных данных для оценки окупаемости DLP-систем, а демонстрация того, что проблема утечек информации существует, носит достаточно общий характер и имеет тенденцию к увеличению. Достоверных данных об утечках, особенно по России не существует. Информация берется в основном из открытых источников. Поэтому в данную статистику попадают только резонансные дела, просочившиеся в прессу. Компании статистику своих инцидентов либо вообще не ведут, либо не предоставляют. Многие инциденты умышленно не афишируются. Тем не менее, нам надо на что-то опираться. К тому же отчеты об утечках не настолько недостоверны, как может показаться. Ведь все утечки по своим последствиям можно разделить на три группы:

1. Утечки, наносящие ущерб репутации (все они попадают в СМИ и в официальные отчеты, иначе какой тогда может быть ущерб репутации)
2. Утечки, наносящие прямой финансовый ущерб (как правило, не очень большой и достаточно просто оцениваемый)
3. Утечки, приводящие к утрате конкурентных преимуществ, например, утечки коммерческой тайны (такие утечки разбираются в судах и должна быть судебная статистика по таким делам)

Другими словами, утечки, по которым нет официальной статистики, не столь существенны для нашего анализа. Общемировая статистика утечек за 2015 год (по данным Zecurion Analytics) выглядит следующим образом:

• Общий зарегистрированный ущерб - 29 млрд долларов (868 утечек)
• Средняя стоимость утечки - ~33 млн долларов
• Россия на 4-м месте (после США, Великобритании и Канады) - 49 публичных инцидентов (~1 617 млн долларов)
• Финансовые данные физлиц - один из самых востребованных киберпреступниками типов информации — 19,1% инцидентов
• Чаще всего утекает информация из госучреждений, предприятий розничной торговли и банков

Наиболее «громкие» утечки 2015 года из российских компаний включали в себя следующее:

• Mail.ru и Яндекс в один день анонсировали запуск двухфакторной аутентификации для доступа к аккаунтам, что дает все основания предполагать утечку информации к конкурентам.
• Яндекс . Инсайдеру удалось успешно скопировать на флешку и вынести исходники и алгоритмы работы поисковика.
• Ижевский автозавод . Инсайдеры сделали «секретные» снимки нового серийного автомобиля «Лада Веста» и продали их интернет-блогеру.
• Банк «Санкт-Петербург» . По данным представителей банка в руки злоумышленников попали имена, номера счетов, номера карт и ИНН нескольких тысяч клиентов. Перевыпуск карт и репутационный ущерб. Банк заявил об отсутствии ущерба.
• Topface . На одном из форумов для киберпреступников обнаружили базу пользователей российского сервиса знакомств Topface (только адреса и никнеймы).
• На портале госзакупок обнаружили паспортные данные членов Совета Федерации.

Более подробную информацию о данных утечках можно найти в СМИ, а также в упомянутом выше отчете Zecurion Analytics. Там есть случаи, которые могли привести к утрате конкурентных преимуществ в результате нарушения коммерческой тайны и случаи, которые могли привести к прямому финансовому ущербу (судебные издержки и компенсации), а также к репутационному ущербу. Могли привести, но не привели. По мнению аналитиков, готовивших отчет, во всех этих случаях «ущерб не очевиден». Несмотря на «неочевидность» ущерба, рассмотренные данные, как правило, и служат обоснованием для приобретения DLP-системы. Они показывают заказчикам то, что должны показывать:

• Проблема существует по всему миру и Россия на одном из первых мест.
• Проблема выражается кругленькой суммой в 30 миллиардов долларов (и это только вершина айсберга).
• Проблема касается каждого и растет из года в год.

Видимо этих соображений для многих руководителей оказывается вполне достаточно для того, чтобы обосновать целесообразность приобретения DLP-системы. Однако остаются еще вопросы:

1. Какую из существующих DLP-систем выбрать, в какой комплектации и сколько можно на нее потратить?
2. Какой процент утечек данная DLP-система позволит предотвратить?

Для ответа на эти вопросы необходимо представлять себе архитектуру DLP-системы, процессы ее функционирования и существующие ограничения.

Архитектура DLP-системы

Чтобы понять какие угрозы реально способна предотвращать DLP-система, а какие нет, рассмотрим ее архитектуру на примере КИБ SearchInform в несколько упрощенном виде. Архитектура DLP-системы многомодульная. Она осуществляет перехват и анализ информации на двух уровнях : на сетевом и на хостовом. Сетевые модули располагаются на сетевом шлюзе на платформе NetworkSniffer и отвечают за сетевой перехват. Они включают в себя: MailSniffer, IMSniffer, HTTPSniffer, FTPSniffer, CloudSniffer, ADSniffer и прочее, в зависимости от того, какие сетевые протоколы требуется контролировать. Хостовые модули устанавливаются на рабочих станциях пользователей на платформе EndpointSniffer и осуществляют перехват информации в «конечных точках». Они включают в себя: MailSniffer, IMSniffer, HTTPSniffer, MicrophoneSniffer, MobileSniffer, MonitorSniffer, KeyloggerSniffer, FileSniffer, FTPSniffer, PrintSniffer, DeviceSniffer, SkypeSniffer, ProgramSniffer, CloudSniffer и прочие компоненты, в зависимости от того, какие протоколы, приложение, порты или устройства надо контролировать в конечных точках. Помимо модулей, отвечающих за перехват информации, в состав DLP-системы входят серверные компоненты, обеспечивающие централизованное управление информацией и всеми компонентами системы. Без этих компонентов система не может функционировать. В их числе:

• DataCenter - центр управления «КИБ». Контролирует работоспособность модулей, а также управляет всеми созданными индексами и базами данных.
• SearchServer - модуль, отвечающий за индексацию перехваченной информации.
• AlertCenter - «мозговой центр» всей системы. Опрашивает все модули и, при наличии в перехваченной информации заданных ключевых слов, фраз или фрагментов текста, атрибутов документов, немедленно оповещает об этом офицеров безопасности.
• ReportCenter - инструмент отчётности. Позволяет собирать статистику по активности пользователей и инцидентам, связанным с нарушениями политики безопасности, и представлять ее в виде отчетов.

Примечание В состав КИБ SearchInform входит еще ряд компонентов, которые мы не рассматриваем здесь с целью упрощения. Подробнее обо всех модулях и платформах можно прочитать . В большинстве случаев имеет смысл приобретать максимальную комплектацию DLP-системы. Исключение могут составлять случаи, когда клиенту нужен только 1-2 модуля, например, чтобы контролировать только подключаемые устройства или только принтеры. Но в этом случае будет дешевле поискать узкоспециализированное решение.

Ограничения DLP-систем

Рассмотренная архитектура DLP-системы заключает в себе следующие возможности по противодействию утечкам:

• Выявлять, блокировать, расследовать утечки информации из корпоративной сети, осуществляемые сотрудниками организации при помощи штатных средств по тем каналам, для которых имеются соответствующие снифферы и которые охвачены правилами политики безопасности DLP-системы.
• Осуществлять мониторинг действий пользователей корпоративной сети и контролировать производительность труда.

DLP-система не позволяет противодействовать утечкам информации, происходящим в результате кражи или утраты оборудования и носителей информации, внешних взломов сетей и прочих действий, не охваченных политикой безопасности. Такие утечки составляют значительный процент в статистических отчетах. Таким образом, применение DLP-системы позволит бороться лишь с некоторой частью угроз, связанных с утечками информации. Да и в отношении этих угроз она сможет эффективно функционировать только в сочетании с прочими организационными, юридическими и техническими мерами защиты, обеспечивающими аутентификацию и управление паролями, защиту периметра сети и конечных точек, контроль использования и хранения носителей информации, управление инцидентами и т. д. и т. п. Без всего этого, эффективность DLP-системы может быть сведена к нулю, даже для тех угроз, которые находятся в границах ее политики безопасности. Все эти факторы нам надо будет учесть при дальнейшем анализе, если нас интересует реальная экономическая эффективность и окупаемость DLP-системы.

Коэффициент возврата инвестиций

Конечной целью нашего анализа является оценка возврата инвестиций для DLP-системы. Коэффициент возврата инвестиций (ROI) - основной экономический показать эффективности ИБ. Он определяется как отношение величины сокращения ожидаемых среднегодовых потерь (величины уменьшения риска) к стоимости реализации контрмер:

[Коэффициент возврата инвестиций (ROI)] = ([Уменьшение среднегодовых потерь (ALE)] - [Стоимость защитных мер (TCO)]) / [Стоимость защитных мер (TCO)]

ROI показывает во сколько раз величина потенциального ущерба превышает расходы на его предотвращение. Возможные значения ROI:

• ROI = 0, сколько вложили, столько и сэкономили (ничего не выиграли и не потеряли)
• ROI < 0, стоимость DLP превышает потенциальный ущерб (зря потратили деньги и время)
• 0 < ROI < 1, с учетом большой неопределенности измерений, какая либо польза не очевидна
• ROI = 1, мы получаем 100% экономию на вложенные средства
• ROI > 10, ожидаемое сокращение потерь на порядок превышает затраты

Примечание Хоть мы и говорим об инвестициях в ИБ, не надо путать это с обычными инвестициями, которые значительно лучше просчитываются и для которых ROI = 1 - это отличный результат (100% годовая прибыль). Инвестиции в безопасность являются скорее страхованием, а страховая премия может составлять меньше 1% от стоимости застрахованного имущества. Это соответствует значениям ROI > 100. Примерно таким же должен быть ROI для DLP-системы. Если ROI < 10 - это слишком большая страховая премия. Хотели бы вы застраховать свою машину или квартиру, например, за 20% процентов ее стоимости в год? Основная экономическая целью ИБ - обеспечения оптимального уровня возврата инвестиций в безопасность, т.е. максимизация ROI, как это показано на графике. Для этого надо не только оценивать риски, но также регистрировать, анализировать и считать прямые и косвенные потери в результате инцидентов.
На схеме закрашены проблемные области с отрицательным возвратом инвестиций: область недофинансирования и область избыточного финансирования. В первом случае деньги на безопасность не выделяются, либо выделяются по остаточному принципу. Для этого случае характерны проблемы с вирусами, отсутствие планов непрерывности бизнеса и легкомысленное отношение персонала к вопросам безопасности. Во втором случае, осуществляется избыточное финансирование безопасности, но большая часть средств расходуется впустую. Для этого случая характерно процветание бюрократии, избыточная формализация, приобретение дорогостоящего оборудования без принятия необходимых организационных мер. Простая формула ROI = ALE / TCO может дать ответы на все экономические вопросы ИБ. ROI > 10 - хорошо, ROI < 10 - плохо, ROI < 0 - отвратительно. В этой формуле стоимость владения (TCO) достаточно легко и точно считается, в то время как риск (ALE) является функцией нескольких нелинейных величин, носящих неопределенный характер, таких как частота инцидентов, величина уязвимости и ценность актива.

Стоимость владения

Будем двигаться от простого к сложному, поэтому начнем с оценки стоимости владения (TCO). Она для DLP-системы оценивается по следующей формуле: Инвестиции в DLP = Единовременные затраты (обследование, проектирование, закупка ПО и оборудования, внедрение, обучение, консалтинг, разработка ОРД, приемочные испытания) + Постоянные затраты (техническая поддержка, продление подписок, администрирование и эксплуатация) Например, полная комплектация DLP-системы КИБ SearchInform (включая 1 год тех. поддержки, внедрение и обучение специалистов) зависит от количества хостов области контроля и для 1000 машин составляет 1000 машин примерно 14 млн. рублей. Стоимость оборудования и системного ПО составит соответственно ~760 000 руб. (стоимость сервера для 1000 агентов) и ~100 000 руб. (стоимость системного ПО: Windows 2008R2, Microsoft SQL Server 2008R2 Standard). В итоге получаем ~860 000 руб. для 1000 агентов. При покупке КИБ SearchInform первый год техподдержки входит в стоимость лицензии. В дальнейшем каждый год оплата составляет 30% от стоимости лицензий. Таким образом, для 1000 машин стоимость техподдержки составит ~4 200 000 руб. в год, начиная со второго года эксплуатации системы. В техподдержку будет входить:

• обновление софта (выпуск новых версий, расширение функционала, оптимизация работы, исправление багов и т.д.);
• обслуживание по инженерной части (к примеру, если клиент по какой-то причине не может или не знает, как разбить индексы, настроить автоматический запуск компонент, прописать альтернативные адреса серверов и т.д.);
• первичное обучение по части аналитики (создание и настройка политик, составление отчётов и т.д.) и дальнейшая поддержка со стороны отдела внедрения разработчика.

Работы по внедрению DLP-системы обычно включают в себя следующее:

• Заполнение анкеты (для определения состава оборудования, ПО и планирования работ)
• Подготовка к тестовому внедрению
• Тестовое внедрение (может включать сравнительные испытания, нагрузочное тестирование и т.п.)
• Развертывание (установка) DLP-системы
• Первичное обучение
• Настройка политик безопасности
• Анализ перехваченной информации и формирование отчётов

Стоимость этих работ, в данном случае, включена в указанную выше стоимость лицензии. В общем случае для DLP-систем она может в среднем составлять порядка 10-20% от стоимости продукта. Помимо всего прочего, функционирование DLP-системы должно поддерживаться комплексом организационных и юридических мер, документирование которых осуществляется в ходе разработки комплекта организационно-распорядительных документов. Соответствующие мероприятия могут оцениваться, например, следующим образом:
Теперь посчитаем стоимость владения для DLP-системы на 5-летнем периоде для 1000 машин.
Таким образом TCO DLP-системы КИБ SearchInform составляет 45 350 тыс. руб. на 1000 машин на 5-летнем периоде или 9 070 тыс. рублей в год.

Формула риска

Теперь переходим к оценке риска утечки информации, который количественно определяется величиной вероятного среднегодового ущерба (ALE) и рассчитывается по формуле:

Величина риска = Вероятность угрозы х Величина Уязвимости х Размер ущерба

В этой формуле:

• Вероятность угрозы - среднее количество инцидентов ИБ в год
• Величина уязвимости - % успешных инцидентов от общего количества инцидентов
• Размер ущерба - совокупная стоимость скомпрометированных информационных активов, выражающаяся соответствующими потерями организации от успешных инцидентов

В нашем случае будут рассматриваться только те угрозы, связанные с утечкой информации, защита от которых обеспечивается DLP-системой, а в качестве информационных активов - информация, критичная с точки зрения конфиденциальности. К такой информации могут относится: персональные данные, финансовая информация и различные виды тайн, определяемые законодательством.

Методика управления рисками BSI/ISO/GTS

Для оценки перечисленных выше факторов риска необходимо будет пройти все этапы, предусмотренные методикой оценки рисков ИБ, которая изначально описана в 3-й части британского стандарта BS 7799-3, заложена в основу международных стандартов серии ISO 27000, и адаптирована GlobalTrust для практического применения.
Основной документ, который формируется по результатам применения данной методики, - профиль рисков ИБ, который описывает все факторы риска для конкретного объекта защиты и определяет все необходимые числовые показатели для количественной оценки рисков и возврата инвестиций в ИБ.
Оценка риска начинается с инвентаризации активов и оценки их ценности для бизнеса. Ценность актива выражается размером потенциального ущерба, который может быть нанесен в результате его компрометации. Оценка ущерба осуществляется в ходе анализа последствий инцидентов. Для инцидентов, связанных с утечкой информации, возможны три вида последствий:

1. Утрата конкурентных преимуществ, недополученная прибыль (например, в результате утечки ноу-хау или клиентской базы).
2. Ущерб репутации (например, в результате утечки персональных данных клиентов, банковской тайны или внутренней финансовой отчетности).
3. Прямой финансовый ущерб: судебные издержки, штрафы со стороны регуляторов, компенсации пострадавшим, затраты на ликвидацию последствий инцидента (например, в результате утечки данных третьих лиц, клиентов, партнеров или контрагентов).

Соответствующие сценарии возможных последствий утечек рассматриваются для каждой группы критичных информационных активов организации, при этом оценивается наихудший и наиболее вероятный сценарии развития событий. Полученные результаты сопоставляются с усредненными оценками, полученными различными исследователями.

Оценка последствий утечек информации

Среднестатистическая стоимость утечек может варьироваться от 1,5 (согласно Forrester Research) до 4,8 млн долларов (согласно Ponemon Institute) или быть сопоставимой со среднемесячным оборотом организации. В качестве примера воспользуемся расчетами Forrester Research. Для того, чтобы оценить последствия компрометации базы данных (например, ИСПДн), надо дать оценку прямых затрат организации в расчете на одну запись базы данных. Рассматриваются четыре статьи затрат:

1. Организационные затраты на выявление, реагирование, расследование и оповещение об инциденте
2. Потеря производительности работников организации в результате инцидента
3. Компенсационные выплаты пострадавшим клиентам
4. Потеря конкурентоспособности

Оценки данных расходов сведены в таблицу Прямые затраты от утечки на одну запись Так, например, если произошла утечка клиентской базы, насчитывающей 100 000 записей, то, согласно этим расчетам, прямой ущерб составит 21,8 млн долларов. Далее оцениваются последствия репутационного ущерба для компании с годовым оборотом в 1 млрд долларов. Он может выражаться в потере 10% существующей клиентской базы и 20% новых клиентов, что суммарно составляет 120 млн долларов, 12% выручки или более 60% валовой прибыли. Оценочное влияние утечки на выручку Влияние репутационного ущерба на прибыль организации показано в следующей таблице. Прямые затраты и репутационные потери суммируются. Получаем цифры по недополученной прибыли на 5-летнем периоде. Оценочное влияние утечки на выручку на периоде 5 лет (в долларах)

Годовая выручка (предполагается 8% рост)	1,000,000,000	1,080,000,000	1,166,400,000	1,259,712,000	1,360,488,960
Годовая чистая прибыль (предполагается маржинальность 20%)	200,000,000	216,000,000	233,280,000	251,942,400	272,097,792
Годовая стоимость ликвидации последствий утечки	12,220,000	8,450,000	5,770,000	4,680,000	4,680,000
Потери бизнеса	120,000,000	129,600,000	139,968,000	151,165,440	163,258,675
Суммарные потери от утечки	132,220,000	138,050,000	145,738,000	155,845,440	167,938,675
Результирующая годовая чистая прибыль	67,780,000	77,950,000	87,542,000	96,096,960	104,159,117
Уменьшение прибыльности по причине утечки	66%	64%	62%	62%	62%

На следующей диаграмме для наглядности изображена прогнозируемая прибыль организации до и после инцидента. Оценочное влияние на рентабельность
Сравнение рентабельности

• Годовая чистая прибыль (предполагается 20% маржи)
• Годовая чистая прибыль (с учетом потерь от утечки)

Теперь потенциальный ущерб от утечки можно сравнить со стоимостью DLP-системы. В качестве стоимости DLP-системы берется стоимость подписки на Websense Data Protect (один из лидеров мирового рынка DLP-систем) на 100 000 пользователей. (в долларах)

Суммарные потери от утечки	132,220,000	138,050,000	145,738,000	155,845,440	167,938,675
Суммарная стоимость DLP-системы	385,000	193,750	192,813	191,922	191,076
Стоимость DLP-системы в процентах от общего размера ущерба	0.29%	0.14%	0.13%	0.12%	0.11%

Из таблицы видно, что в среднем это соотношение составляет 0,15%. Эта цифра соответствует размерам страховой премии, в случае, если мы рассматриваем расходы на ИБ как страхование от соответствующих рисков.

Оценка вероятности утечек информации

Таким образом, мы получили оценку потенциального ущерба от инцидентов ИБ и оценку стоимости владения для DLP-системы на пятилетнем периоде. Для определения величины риска (ALE) и соответствующего значения коэффициента возврата инвестиций (ROI) осталось оценить вероятность инцидентов (угроз). Эта вероятность, помимо всего прочего, будет зависеть от настроек политик безопасности DLP-системы, определяющих модель угроз, от которых она обеспечивает защиту. Модель угроз для DLP-системы (политики SearchInform AlertСenter) Для приблизительной оценки частоты реализации этих угроз может использоваться анализ журнала событий DLP-системы, в котором фиксируются все подозрительные события, потенциально нарушающие политику безопасности. Частота реализации угроз (события ИБ SearchInform AlertСenter)

Логины и пароли (Информация о людях)	4816
Переписка по некорпоративной почте (Использование личной почты)	4150
Сайты фильмы-онлайн (Нерациональное использование времени и ресурсов)	2642
Личная почта (Использование личной почты)	1258
Cообщения о банковских картах (Информация о людях)	618
Посещение сайтов по трудоустройству (Нелояльные сотрудники)	389
Cайты знакомств (Нерациональное использование времени и ресурсов)	347
Опасно (Подозрительная тематика)	215
Поиск резюме (Нелояльные сотрудники)	193
Использование принтера в нерабочих целях (Нерациональное использование времени и ресурсов)	176
Махинации (Подозрительная тематика)	111
Откатная тематика 2 (Подозрительная тематика)	108
Сообщения в соцсетях (Нерациональное использование времени и ресурсов)	94
Кредитная карта (Информация о людях)	47
Список месяцев (Контроль документов)	44
Игры онлайн (Нерациональное использование времени и ресурсов)	37
Откатная тематика (Подозрительная тематика)	36

Однако, DLP-система выявляет не инциденты, связанные с утечками, а события ИБ (десятки и сотни тысяч в месяц), которые могут потенциально быть инцидентами. Нет возможности заблокировать все обнаруженные события, а значит нет возможности и предотвратить возможные утечки. Поэтому нужна еще и статистика: сколько было реальных инцидентов и сколько из них было предотвращено. Сопоставляя это с общей и отраслевой статистикой, можно было бы достаточно точно оценивать вероятность (частоту реализации) инцидентов (угроз) безопасности. Для иллюстрации воспользуемся одним из отчетов об утечках информации, согласно которому в 2012 году, например, в банках был зарегистрирован 21 инцидент. Распределение утечек по источникам за 2012 год (263 инцидента по данным SearchInform)
Это подтверждается и картиной распределения утечек по типам информации, согласно которой примерно 20 инцидентов были связаны с утечкой банковской тайны. Распределение утечек по типам информации (SearchInform)
Если эту цифру разделить на 1000 банков (по которым собиралась статистика), то получится 0,02 или 2% - вероятность инцидента в течение года. Т. е. прогнозируемая частота реализации угрозы - 1 раз в 50 лет. Если посмотреть на распределение утечек по способам получения информации, то мы видим, что далеко не все утечки предотвращаются DLP системой, а только приблизительно 70% инцидентов (левая половина графика). Это надо учитывать в модели угроз. Банковских инцидентов, которые можно предотвратить при помощи DLP, будет не 21, а примерно 15. Распределение утечек по способам получения информации за 2012 год (SearchInform)

Оценка среднегодовых потерь от утечек информации

Теперь по формуле риска можно рассчитать прогнозируемую величину среднегодовых потерь от утечки информации:

Среднегодовые потери (ALE) = [Частота реализации угрозы] х [Величина уязвимости] х [Размер ущерба]

Рассчитаем ALE до и после внедрения DLP-системы. В качестве среднего размера ущерба возьмем «среднее по больнице» согласно доступной нам статистике инцидентов за 2015 год - 33 млн долларов. Величина уязвимости показывает эффективность DLP. Для иллюстрации предположим, что сам факт использования DLP на порядок уменьшает количество инцидентов. А их тех, которые происходят, на порядок снижается количество успешных. Поэтому после частота угрозы и величина уязвимости у нас соответствующим образом уменьшаются. Исходя из этих предположений посчитаем эффект от внедрения DLP-системы (уменьшение среднегодовых потерь). В этой таблице:

• Частота реализации угрозы = количество инцидентов в год / количество организаций
• Размер ущерба (ценность всех защищаемых DLP-системой активов) = среднестатистическая стоимость аналогичной утечки

Оценка возврата инвестиций для DLP-системы

Имея стоимость владения (TCO) DLP-системой на пятилетнем периоде и значение вероятных среднегодовых потерь (ALE) до и после внедрения DLP-системы, рассчитаем коэффициент возврата инвестиций (ROI) по формуле:

[Коэффициент возврата инвестиций (ROI)] = ([Уменьшение среднегодовых потерь] - [Стоимость защитных мер]) / [Стоимость защитных мер]

Уменьшение среднегодовых потерь (ALE)	201 630
Стоимость защитных мер (TCO)	45 350
Возврат инвестиций (ALE - TCO)	156 280
Коэффициент возврата инвестиций (ROI)	3.5

В результате данных расчетов получаем ROI = 3.5. Это означает, что возврат инвестиций в DLP-систему, в нашем примере, в 3.5 раза превышает ее стоимость.

Выводы

В данной статье мы продемонстрировали возможности применения методики управления рисками (BSI/ISO/GTS) для оценки возврата инвестиций и экономической эффективности DLP-систем. Таким же образом может оцениваться экономическая эффективность любых средств защиты информации, комплекса средства и все системы обеспечения информационной безопасности в целом. При этом должны учитываться:

1. Внутренняя и отраслевая статистика использования DLP-систем (результаты учета и анализа инцидентов).
2. Данные учета и классификации информационных активов.
3. Риски конфиденциальности носят спекулятивный характер. Одинаковые утечки могут иметь различные трудно-прогнозируемые последствия. Поэтому одной статистики для оценки ценности активов недостаточно, необходим анализ и прогнозирование с учетом особенностей конкретной ситуации.

Кроме того, следует принимать во внимание, что ALE и ROI носят вероятностный характер, т.е. значение риска (ALE) более точно выражается распределением вероятностей диапазона последствий инцидентов, а коэффициента возврата инвестиций (ROI) также выражается распределением вероятностей своих значений, например:

ROI = 3.5 с вероятностью 80%,

ROI = 2 с вероятностью 4%,

ROI = 5 с вероятностью 7% и т.п.

Также необходимо учитывать погрешность используемых методов оценки риска и соответствующую степень неопределенности результатов оценки. Диапазон вероятных значений ROI не должен быть слишком широк. Например, ROI = (-2;50) - слишком большая неопределенность метода оценки, а ROI = (2;5) - вполне приемлемая неопределенность.

Библиография

1. The ROI of Data Loss Prevention (DLP), A Websense Whitepaper
2. Утечки конфиденциальной информации в России и в мире. Итоги 2015 года, ZECURION Analytics
3. ROI DLP. Можно ли посчитать? Петр Сковордник, SearchInform
4. ИБ инциденты СНГ 2012. А. Бодрик, А. Токаренко, SearchInform
5. Искусство управления информационными рисками. Астахов А.М, ГлобалТраст, Изд. ДМК Пресс, 2009 г. (http://анализ-риска.рф/)

Опубликовано в журнале «Директор по безопасности», Выпуск 2 (Февраль) 2017 года.

Интервью получено у почти 400 компаний в мире.

Количественный и качественный рост инцидентов, связанных с кибербезопасностью, продолжается. В 2015 году зарегистрировано на 64% больше инцидентов в сфере безопасности, чем в 2014 г. По мере возрастания сложности этих угроз, они все дороже обходятся компаниям.

Исследование показало, что компании теряют $158 на каждой скомпрометированной записи данных. Еще дороже стоят утечки в жестко регулируемых отраслях, достигая, например, в здравоохранении $355 на одну запись данных – на $100 больше, чем в 2013 году.

Согласно результатам исследования, самым важным фактором снижения убытков от утечки данных стало привлечение команды специалистов, отвечающих за инциденты. Это сэкономило компаниям в среднем почти $400 тыс. (или $16 в расчете на одну запись данных).

Стоимость мер реагирования (расследование причин, создание горячих линий для клиентов, найм юристов, издание предписаний регулирующих органов) составляет 59% от суммы ущерба от утечки данных. Часть этих затрат может объясняться тем, что 70% руководителей компаний , курирующих вопросы безопасности, сообщили об отсутствии планов реагирования на инциденты.

Исследование выявило прямую зависимость между количеством времени для обнаружения и пресечения утечки данных и стоимостью ликвидации ее последствий. В то время, как утечки, выявленные менее чем за 100 дней, обходятся компании в среднем $3,23 млн, стоимость утечек, обнаруженных позднее 100-дневной отметки, составляет в среднем на $1 млн больше ($4,38 млн).

Zecurion: В России зафиксирован 41 инцидент, в среднем по $820 тыс. убытка

Согласно исследованиям компании Zecurion , по итогам 2014 года в России зафиксирован 41 внутренний инцидент. По количеству публичных инцидентов, собранных в рамках исследования, Россия удерживает второе место после лидера - США.

По мнению аналитиков, опубликованные сведения об утечках - вершина айсберга. Реальное число таких инцидентов в России и мире на несколько порядков больше. В попытках - понять истинный масштаб проблемы защиты информации от утечек, последствия инцидентов и узнать, какими усилиями организации пытаются минимизировать инсайдерскую угрозу, компания Zecurion опросила собственных заказчиков, использующих DLP -решения.

Итог опроса, 2015

Выяснилось: большинство компаний фиксирует от 11 до 20 серьёзных инцидентов в год. Среди популярных каналов утечек - электронная почта (с попытками передать информацию по этому каналу сталкиваются 53% компаний), USB-флэшки (45%) и интернет-сервисы (32%).

Отметили аналитики отличия в оценке ущерба от утечек в России: если в мировой статистике каждый инцидент стоит более $25 млн, то в России это значение достигает $820 тыс., а максимальные потери российской компании составили около $30 млн. Основные финансовые потери приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных областях) и из-за получения конкурентами других преимуществ.

Размер утечек в России, 2015

В 2011 году по сравнению с 2011 годом существенно изменился отраслевой профиль утечек. Чаще всего информация утекала из образовательных заведений (20,1%), госсектора (16,9%), предприятий торговли (12,4%) и медучреждений (12,3%). Годом ранее больше всего данных «теряли» медицинские организации (20,4% в 2011 году).

Наиболее распространённый канал утечек в 2012 году - это веб-сервисы (20,5%). Существенно возросла доля утечек через ноутбуки и планшеты (16,5% в 2012 году против 10,1% в 2011). В свою очередь процент утечек через электронную почту упал до минимального значения за последние несколько лет, с 17,8% в 2010 году до 5,8% в 2012 году. Последняя тенденция обусловлена широким распространением технических средств для фильтрации и архивирования почты. Кроме того, сами пользователи сегодня более ответственно подходят к передаче корпоративной информации через электронную почту.

Ponemon: Средняя цена утечки данных в США - $5,4 млн, в Германии - $4,8 млн

Корпорация Symantec и институт Ponemon Institute опубликовали в июне 2013 года результаты совместного исследования 2013 Cost of Data Breach Study: Global Analysis (на основе материалов за 2012 год). Данные указывали на то, что системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации и подняли средний мировой показатель убытка от кражи 1 учетной записи до 136 долларов . В список ключевых факторов вошли непонимание сотрудниками, что является конфиденциальной информацией, недостаточность системного контроля (средств управления системой), а также несоблюдение государственных и отраслевых нормативов. В таких строго регулируемых отраслях, как здравоохранение, экономика и фармацевтика, убытки от утечки информации оказались в среднем на 70% выше.

Средняя по миру убыточность скомпрометированной записи возросла, при этом цена одного инцидента утечки в США снизилась до $5,4 млн. Такое снижение связано с распространенностью должности руководителя отдела IT-безопасности (Chief Information Security Officer, CISO), отвечающего за безопасность на уровне всей компании, а также с формированием планов реагирования на инциденты и усилением программ безопасности в целом.

Восьмой ежегодный глобальный отчет основан на данных об утечках информации у 277 компаний в 9 странах мира: США, Франции, Германии, Италии, Индии, Японии, Австралии и Бразилии. Отчеты по каждой из стран, а также общий отчет можно найти по ссылке. Все рассмотренные случаи утечек случились в 2012 календарном году. Для того чтобы избежать искажений, в исследовании не учитывались огромные утечки с кражей более 100 тыс. учетных записей.

Компании могут оценить свой собственный риск утечки при помощи нашего калькулятора риска утечки информации, который учитывает размер организации, отрасль, месторасположение, а также применяемые методы защиты и дает оценку как в масштабе учетной записи, так и всей организации.

Основные выводы исследования:

• Средняя цена утечки информации сильно различается в разных странах . Многие их этих различий связаны с типами угроз, с которыми организации приходится иметь дело, а также со спецификой законодательства по защите информации в конкретной стране. В некоторых странах, таких как Германия, Австралия и США, законодательство в области защиты потребителей более развито, что обеспечивает большую конфиденциальность данных и общую кибербезопасность. США и Германия пока отличались самой высокой стоимостью утечки: в среднем $188 и $199 за каждую скомпрометированную учетную запись и $5,4 млн и $4,8 млн соответственно за каждый инцидент утечки;

• Ошибки людей и систем – главные причины утечек . Человеческий фактор и системные ошибки являются причиной 64% утечек по всему миру, при этом, как показало проведенное ранее исследование, 62% сотрудников компаний считали приемлемым перемещение корпоративных данных за пределы компании и большинство сотрудников никогда не удаляли данные, способствуя, таким образом, утечкам. Все это дает представление о том, какую роль в утечках информации играли сами сотрудники компаний и какие убытки эти компании впоследствии несут. В наибольшей степени влиянию человеческого фактора подвержены бразильские компании. А компании в Индии чаще всего становятся жертвами утечек, связанных с системными сбоями и нарушениями бизнес-процессов. Системные сбои включали в себя сбои приложений, случайные выгрузки данных, логические ошибки при передаче данных, ошибки идентификации (неправомерный доступ), ошибки восстановления данных и др.;

• Хакерские атаки обходятся дороже всего . Консолидированные исследования показывали, что преднамеренные атаки являются причиной 37% всех утечек информации в мире, при этом во всех исследованных странах эти утечки оказываются самыми дорогостоящими. Компаниям из США и Германии хакерские атаки обходятся дороже всего – $277 и $214 за каждую скомпрометированную учетную запись. В то время как в Бразилии и Индии эта цифра составляет лишь $71 и $46 соответственно. Помимо того, немецкие компании, вместе с компаниями в Австралии и Японии, больше всего подвержены риску стать жертвами хакерской атаки;

• Некоторые организационные факторы приводят к снижению расходов . Компаниями в США и Великобритании удалось добиться наибольшего снижения расходов при утечках за счет сильной стратегии в отношении информационной безопасности, наличия плана реагирования на инциденты и назначения руководителя отдела IT-безопасности. США и Франция также снизили расходы за счет привлечения сторонних консультантов по расследованию утечек.

2011

Ponemon: Средний убыток - $5,5 млн

В марте 2012 года Symantec и Ponemon Institute объявили результаты очередного ежегодного отчета 2011 Cost of Data Breach Study: United States, который позволяет оценить наносимый компаниям ущерб от утечек информации. В 2011 году впервые за последние семь лет средняя стоимость утечки данных сократилась. Согласно данным, опубликованным Symantec и Ponemon Institute, в 2011 году этот показатель составил 5,5 млн долл., что на 24% ниже, чем в 2010 году. При этом наиболее катастрофичные инциденты, способные исказить общую картину, были исключены из исследования.

С точки зрения стоимости наиболее значимой категорией убытков остались «потери бизнеса». Сюда включалось, например, повышение оттока клиентов и потеря репутации. Однако сам показатель потерь такого рода снизился на 34%. Как оказалось, клиенты стали сдержаннее реагировать на инциденты, зачастую прощая нерадивые компании. Разумеется, их поведение сильно зависит от отрасли, в которой оперирует пострадавшая организация и вида скомпрометированных данных. Наиболее болезненными инциденты являются для компаний финансового сектора и здравоохранения.

Злонамеренные атаки обходятся на 25% дороже остальных видов угроз.

39% респондентов считают, что чаще всего причиной утечек корпоративной информации невольно становятся сами сотрудники организаций, точнее, их халатное отношение к выполнению должностных обязанностей. Ситуация еще больше усугубляется с распространением планшетов, смартфонов и облачной модели вычислений, – считает Френсис деСуза (Francis deSouza) , президент подразделения Symantec Enterprise Products and Services. Причина роста обеспокоенности понятна, ведь теперь сотрудники имеют доступ к информации в любое время из любого места.

Самым эффективным средством снижения стоимости утечек данных авторы исследования считают наличие в штатном расписании должности директора по ИБ (информационной безопасности). Консолидация ответственности за происходящее в масштабах всей компании на одном человеке дает возможность сократить потери на 35% или на $80 в пересчете на утраченную запись. Привлечение к расследованию инцидентов сторонних консультантов снижает удельные потери еще на $41. Кроме того, важное значение имеют разработка и внедрение политик и процедур, которые в полной мере учитывают современные реалии, в частности, растущую консьюмеризацию ИТ.

К сожалению, пока сохраняется негативная тенденция: в зависимости от характера утраченных данных и способа передачи в третьи руки по сравнению с 2010 годом удельная стоимость утечек выросла на $22-37. В седьмом по счету исследовании Cost of Data Breach Study приняли участие 49 американских компаний – представителей 14 различных отраслей экономики.

Убытки российских компаний от утечек данных превысили $1 млрд

Аналитический центр компании Zecurion представляет результаты ежегодного исследования об утечках конфиденциальной информации. Всего в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в $20 млрд, из которых более $1 млрд пришлось на российские компании.

Наибольшее число инцидентов (45,2% всех случаев) произошло вследствие ошибок или халатности персонала, низкой осведомленности сотрудников компаний в вопросах информационной безопасности. Высокая доля преднамеренности характерна для утечек медицинских данных - это объясняется их востребованностью среди мошенников: цена одной такой записи на черном рынке в 50 раз превышает стоимость номера социального страхования, по данным ANSI. Однако число утечек медицинских данных осталось примерно на уровне прошлого года (19,1%).

Доля утечек финансовых данных физических лиц значительно возросла по сравнению с прошлым годом и составила в 2011 году 18,2%. Прочие персональные данные по-прежнему лидируют среди типов скомпрометированной информации, однако их доля продолжает сокращаться (56% против 63,6% в 2010 году). Гораздо реже утекают коммерческая и государственная тайна, интеллектуальная собственность. Тем не менее, каждый подобный инцидент, как правило, несет внушительные финансовые потери и имеет серьезные репутационные последствия.

Чаще всего информация утекает из медицинских организаций (20,4%), госучреждений (16,7%), образовательных заведений (15,2%), предприятий розничной торговли (13,8%). При этом самыми распространенными каналами утечек являются ноутбуки и мобильные накопители (суммарно 19,4%), веб-сервисы (18,2%), компьютеры (16,1%), а также неэлектронные носители (13,8%). Последние остаются популярным каналом утечки вследствие некорректной утилизации: бумаги с конфиденциальными данными просто выбрасывают в общедоступные мусорные баки. Между тем, внедрение процедур безопасной утилизации позволит значительно снизить риски утечки информации.

В России зарегистрирован 41 публичный инцидент, большинство из которых получили широкую огласку в СМИ. Среди наиболее громких - утечка СМС-сообщений сотового оператора «МегаФон », база данных 1,6 млн абонентов МТС , публикация персональных данных на сайте Пенсионного фонда России, а также массовая компрометация данных о клиентах со стороны российских интернет-магазинов.

2010: Ponemon: Средний ущерб от инцидента в США - $7,2 млн

Согласно результатам шестого ежегодного исследования института Ponemon Institute - U.S. Cost of a Data Breach Study (Исследование стоимости хищений информации в

Несмотря на то, что тема утечек информации широко освещается в современных СМИ, далеко не все компании осознают реальный ущерб от подобных инцидентов. Проблема в том, что большая часть потерь в результате утечки приходится на так называемый "косвенный" ущерб, который редко поддается прямой численной оценке.

В большинстве случаев компаниям не удается подсчитать ущерб от одного инцидента. Однако, собрав данные по некой выборке утечек, можно примерно оценить средние потери. Именно так и поступает исследовательский центр института Понемона (Ponemon Institute), публикующий ежегодные отчеты о стоимости утечек информации.

В 2007г. вышло очередное исследование - 2007 Annual Study: Cost of a Data Breach. Исследователи Ponemon проанализировали выборку из 35 утечек, случившихся в американских компаниях различных секторов экономики. Сразу же оговоримся, что все в результате всех этих инцидентов терялись персональные сведения клиентов, а не интеллектуальная собственность компаний. На практике оценить средний ущерб от потери интеллектуальной собственности не представляется возможным – он может составлять практически любую сумму, вплоть до миллионов или даже миллиардов долларов.

Из каких слагаемых складывается ущерб?

Прежде чем переходить к конкретным цифрам, остановимся на теоретических основах. Итак, из каких слагаемых складывается ущерб в результате утечки персональных сведений?

Когда компания теряет персональные сведения, в первую очередь, она должна оповестить пострадавших. В западных странах уже давно приняты законодательные акты, которые обязывают проводить оповещение в обязательном порядке. В частности, такие нормативы уже действуют в 44 американских штатах, не за горами и подписание единого федерального акта.

Как правило, оповещение пострадавших включает в себя типовой комплекс мер: рассылку писем с информацией об инциденте, организацию бесплатной телефонной линии и специального портала для пострадавших, а также (опционально) оплату услуги кредитного мониторинга сроком на один-два года.

Стоимость всех этих мер в расчете на одну скомпрометированную запись не велика, однако если количество пострадавших измеряется миллионами, то и прямые расходы на оповещение становятся неприлично большими. В частности, Университет Юты, потерявший ленту с персональными сведениями 2,2 млн человек, потратил полмиллиона долларов только на почтовую рассылку. Добавим, что стоимость годовой подписки на кредитный мониторинг значительно выше – в расчете на одну приватную запись она составляет 150-180 долл. в год.

"Второй немаловажной составляющей ущерба являются внутренние мероприятия, которые проводятся внутри компании, - рассказывает руководитель аналитического центра компании Perimetrix Владимир Ульянов . - Любую утечку необходимо расследовать, найти и наказать виновных, а также оповестить об инциденте правоохранительные органы и регуляторов. В дальнейшем компании неизбежно придется инвестировать средства в развитие информационной безопасности, иначе случившийся инцидент может повториться уже в ближайшем будущем".

Однако все перечисленные потери меркнут перед самой объемной строкой косвенных расходов – так называемым, репутационным ущербом. Дело в том, что в результате публичных утечек страдает имидж и репутация компании, а это, в свою очередь, приводит к оттоку старых и к сложностям с привлечением новых клиентов. А для любой уважающей себя компании клиентская база является самым важным и наиболее ценным активом. По данным Ponemon Institute, средняя доля репутационных потерь в общих расходах на ликвидацию утечек составляет 56%.

Численная оценка ущерба также может быть рассчитана

В рамках исследования, специалисты Ponemon Institute проводили подробные интервью с представителями компаний, которые допускали утечки информации. Это означает, что все представленные в отчете данные являются реальной, а не гипотетической или косвенной оценкой потерь. С другой стороны, выборку из 35 респондентов можно признать вполне репрезентативной для такого рода исследований.

По сравнению с прошлым годом, средний ущерб от утечки информации в расчете на одну потерянную запись вырос на 7%, достигнув отметки в 197 долл. Несмотря на то, что темпы роста в течение года находятся в пределах статистической погрешности, тенденция налицо. По сравнению с 2005 г., убытки выросли почти на 42%. По мнению аналитиков Perimetrix, на фоне финансового кризиса в США, снижения курса доллара и роста инфляции, тенденция к росту продолжится и в нынешнем году, причем ее темпы, скорее всего, также вырастут.

Средний ущерб от одной утечки в расчете на одну потерянную запись

Отметим, что среднее значение ущерба обратно пропорционально количеству скомпрометированных записей. Например, удельные потери розничных компаний от утечек составляют всего 145 долл. При этом необходимо учитывать, что именно розничные компании допускают наиболее масштабные инциденты, в результате которых страдают миллионы человек.

"Чем большее количество приватных записей было скомпрометировано – тем меньше средний ущерб в расчете на одну приватную запись, - считает менеджер проектов по информационной безопасности компании "УСП Компьюлинк" Александр Юрков, – Вместе с тем, существует некое минимальное значение ущерба, которым сопровождается практически любая утечка. Репутационные потери никогда не бывают нулевыми, даже если пострадали всего лишь несколько десятков записей".

Обозначенный ущерб в 197 долларов аналитики Ponemon разбили на четыре составляющих, три из которых показали тенденцию к падению и только одна – к росту. Причины такого развития событий очевидны – с одной стороны, компании набирают определенный опыт и тратят на ликвидацию последствий утечек меньшее количество ресурсов.

С другой стороны, обычные люди более внимательно относятся к утечкам и стремятся избегать встреч с допускающими их компаниями. Как следствие, увеличивается ненормальный отток клиентов после инцидентов, а значит, растут и репутационные издержки.

Структура потерь от одной утечки данных (в расчете на одну учетную запись)

Источник: Ponemon Institute, 2007

Между прочим, рост репутационных издержек во многом объясняется и растущей медиа-активностью в этом направлении. По данным различных опросов, современные люди опасаются расплачиваться банковскими картами в супермаркетах и интернет-магазинах именно из-за проблемы утечек. В будущем эта тенденция будет только усиливаться, до тех пор, пока в индустрии борьбы с утечками не произойдет коренного перелома.

По данным Ponemon Institute, следствием утечки персональных сведений клиентов является их "аномальный отток", среднее значение которого составляет 2,67%. В масштабах крупной корпорации это просто огромный показатель, восстановление которого требует масштабных инвестиции в НИОКР, рекламу и маркетинг. Отметим, что в некоторых случаях "аномальный отток" был значительно выше и достигал отметки в 6-8%.

Еще одним интересным трендом, который активно проявился в прошлом году, стал рост количества инцидентов, случившихся по вине "третьих" компаний, партнеров или аутсорсеров. Такие инциденты происходят в том случае, если компания делится персональными сведениями своих клиентов с другими организациями, которые в дальнейшем эти сведения теряют.

Утечки в результате деятельности "третьих" компаний (партнеров или аутсорсеров)

Источник: Ponemon Institute, 2007

"Бороться с утечками из партнерских организаций достаточно трудно – в подавляющем большинстве случаев компания не может проконтролировать их деятельность, - считает Александр Юрков, – Поэтому, передавая конфиденциальную информацию на хранение третьей фирмы, необходимо заключать соглашение о неразглашении, в котором должна быть прописана ответственность сторон в случае тех или иных инцидентов".

Средний ущерб от одной утечки в результате деятельности "третьих" компаний

Источник: Ponemon Institute, 2007

По данным Ponemon, в 2007 году подобные случаи стали происходит значительно чаще – на долю "третьих" компаний пришлось как минимум 40% утечек. Отметим, что удельный ущерб от такого рода инцидентов несколько выше, поскольку компаниям приходится тратить дополнительное время и деньги на организацию взаимодействия друг с другом. Кроме того, репутационные издержки от подобных утечек приходятся на две компании вместо одной.

Ущерб оценить можно и в условиях отечественных реалий

Полученную информацию можно переносить на российскую почву лишь с определенными допущениями. Главное отличие состоит в том, что в нашей стране до сих пор не принят закон, который обязывает компании раскрывать информацию об утечках персональных сведений. И потому, если компания теряет такую информацию, она может никому об этом не сообщать.

Вместе с тем, если информация о случившейся утечке все же попала в прессу, то результаты Ponemon (особенно относительно "аномального оттока" и репутационных издержек) оказываются вполне актуальными и в нашей стране. Конечно, конкретные числовые значения могут быть несколько другими, однако здесь важен порядок тех показателей, из которых складывается ущерб. А этот порядок явно показывает, что утечка всего лишь пяти тысяч приватных записей обойдется компании практически в миллион долларов. Другими словами, предупреждение даже одной сравнительно небольшой утечки с лихвой покрывает все затраты на внедрение системы адекватной защиты.

При этом, необходимо помнить и об утечках интеллектуальной собственности (технических разработок, бизнес-планов и т. д.), убытки от которых крайне трудно оценить численно. Однако и без оценки очевидно, что они очень велики.

Существенный пласт подобных утечек покрывается теми же системами защиты, а значит – ценность последних в рамках корпоративной инфраструктуры только возрастает. Добавим, что внедрение систем защиты от утечек позволяет, обычно, решить и ряд сопутствующих задач, самой яркой из которых является классификация корпоративной информации.

"Конечно, ущерб от утечек в США или Великобритании значительно выше, чем в России, - считает директор по маркетингу компании Perimetrix Денис Зенкин . – Однако даже сравнительно небольшой "российский" ущерб является вполне достаточным основанием для инвестиций в это направление. Как следствие, мы наблюдаем взрывной рост спроса на защитные системы, который вряд ли прекратится в течение ближайших нескольких лет".

Алексей Доля