Сколько стоит утечка данных? Часть 1

Стоимость утечки данных – актуальный вопрос для любого вида бизнеса. Ведь именно с оценки возможных финансовых рисков начинается стратегическое планирование. К сожалению, оценить потенциальные убытки не так просто.

Например, если воры вломились квартиру и вынесли телевизор, компьютер и драгоценности, для подсчета урона понадобится пара минут: достаточно посмотреть стоимость физических объектов в чеках или проверить их текущую рыночную цену.

С киберутечками все не так однозначно. Например, по мнению Radware и Merrill Research, стоимость одного информационного инцидента для крупного европейского бизнеса в 2019 году составляла примерно 4,6 миллиона долларов. Наличие статистики говорит о том, что подсчитать примерную стоимость можно. Только полученная информация будет весьма приблизительна и в процессе калькуляции необходимо учесть множество разнообразных факторов.

Оценка убытков от информационного инцидента состоит из трех базовых компонентов.

Первый из них – прямой урон. К нему относятся расходы, которые бизнес понесет в процессе обнаружения и устранения утечки. Например, затраты на обнаружение и расследование инцидента, штрафы, выплаты компенсаций.

Перечень «статей ущерба» напрямую связан с видом, размером и нишей бизнеса, предоставляемыми им товарами и услугами, внутренней и внешней организацией, наличием и квалификацией определенных структурных подразделений (ИТ-департамент и служба безопасности) и, конечно же, типом информационного инцидента.

В ряде случаев, даже на первом этапе оценки прямых затрат можно определить стоимость украденной информации. Похищенный дизайнерский макет, архив сайта или перевод текстового контента имеет определенную рыночную цену, либо стоимость, выраженную в человеко-часах, потраченных на реализацию проекта.

При этом «на глаз» определить ценность некоторых типов данных практически невозможно: урон от украденной клиентской базы, собранной за долгие годы работы или похищенные профили клиентов имеют весьма относительную рыночную стоимость, и оценка таких убытков относится к следующим этапам, речь о которых пойдет далее.

Следующая статья расходов, относящаяся к прямому урону – поиск и ликвидация утечки. Для осуществления этих мероприятий потребуется привлечение ИТ-специалистов и безопасников. Если в компании сформированы соответствующие департаменты, затраты будут равны стоимости рабочих часов, потраченных на выполнение задачи. Конечно, наличие «in-house» «спецов» упрощает задачу, но не нивелирует расходы: ведь это время можно было бы потратить на развитие бизнеса, а не на ликвидацию «дыр».

Если же компании приходится привлекать «аутсорсеров», расходы увеличиваются, зато подсчет урона упрощается: он примерно равен стоимости услуг подрядчиков.

Обычно на этапе расследования отделаться «малой кровью» не получается, и кроме работы специалистов, компании приходится оплачивать дополнительное оборудование и программное обеспечение, без которого провести расследование, возобновить работу в нормальном режиме и предотвратить подобные инциденты в будущем — невозможно.

Финишный этап оценки прямых затрат – выплата штрафов госрегуляторам или же компенсация нанесенного вреда клиентам, поставщикам, партнерам.

Разобравшись с прямым уроном, вздохнуть с облегчением не получится: впереди бизнес ждут еще две масштабные статьи расходов, о которых речь пойдет в следующих материалах.

Источник: Стахановец

Facebook
Twitter
LinkedIn
WhatsApp

Больше статей

McAfee ePolicy Orchestrator

Единая консоль для управления безопасностью Централизованное представление информации Управлять одной интегрированной консолью намного проще, чем

Подробно
McAFeeMVISION Endpoint Security

Комплексная упреждающая защита конечных точек Благодаря облачной архитектуре ваши удаленные сотрудники смогут безопасно перейти на

Подробно