Очень легко посчитать, сколько стоит украденный телевизор. Но вот оценить стоимость похищенного ноутбука гораздо сложнее, ведь речь идет не только о технике, имеющей рыночную стоимость, но и об информации – программном обеспечении, которое раздают вовсе не бесплатно, и многих годах труда, выраженных в ценных файлах. Даже стоимость потерянной флешки не равна десятку долларов, поскольку ценна не форма, а ее содержание.
Оценка урона от утечки информации – сложная задача для любого вида бизнеса. И хоть цифры всегда будут приблизительными, каждый информационный инцидент имеет свою примерную «стоимость».
Аналитики, подсчитывая урон, отталкиваются от трех базовых категорий. В прошлой статье речь шла о первой из них — прямом уроне.
Следующих шаг – оценка косвенных расходов. Самая обширная статья, которая включает в себя время простоя предприятия; информирование сотрудников, подрядчиков и клиентов об инциденте; PR-усилия по коммуникации с общественностью; восстановление данных (баз клиентов, кредитных карт, учетных записей и так далее); потерю производительности; минимизацию ущерба от взлома.
Конечная стоимость ущерба всегда, индивидуальна и зависит от ниши бизнеса, типа утечки и ряда других факторов.
Рассмотрим на примере, как этот процесс выглядит в реальной жизни.
Компания «А» подверглась фишинговой атаке, в результате которой систему заразил вирус-шифровальщик, и часть данных оказалась зашифрована. ТОП-менеджмент направил усилия айтишников на ликвидацию проблемы. В такой ситуации, общее затраченное время руководством в совокупности с профильными специалистами – прямой урон.
Но, в это же время, менеджер Петя и дизайнер Маша не могут выполнять свои должностные обязанности. Хоть они и не имеют непосредственного отношения к утечке, их рабочий день «сгорает», ведь бизнес оказался парализован. Это косвенный урон.
Поскольку большинство работников предприятия вообще не понимают, что происходит, их необходимо проинформировать о причине простоя. Заодно компании нужно оповестить клиентов, которые оказались отрезаны от необходимых им товаров и услуг. Бизнесу необходимо срочно активизировать усилия PR-отдела и направить их на решение насущных задач. Даже если соответствующие департаменты есть в компании, коммуникации с внешним миром не бесплатны, они имеют конкретную стоимость, выраженную в рабочих часах. И это также косвенный урон.
Заплатил ли бизнес выкуп вымогателям или справился с шифровальщиком самостоятельно, особого значения не имеет: огромные человеческие ресурсы уже были потрачены на ликвидацию последствий инцидента, причем речь идет не только о профильных подразделениях, непосредственно задействованных в мероприятиях по ликвидации кризиса, но обо всех работниках фирмы.
Вернемся к нашему менеджеру и дизайнеру, ведь их проблемы еще не закончились. Если в компании не смогли полностью восстановить зашифрованные данные, либо часть информации оказалась уничтожена, Маше придется рисовать макеты заново, а Пете – с помощью чуда восстанавливать клиентскую базу. А это трудозатраты, имеющие конкретное финансовое выражение. Посчитать убытки можно с помощью простой формулы.
Потерянные дни = часы простоя/8 часовой рабочий день.
Финансовый ущерб = Потерянные дни/247 рабочих дней * (Средняя зарплата).
Последняя статья расходов, относящаяся к косвенному урону – потеря прибыли. В течение кризиса клиенты не только не смогут покупать товары или услуги, но, в ряде случаев, вместе с бизнесом окажутся пострадавшей стороной. А, значит, не будут приносить свои деньги в компанию и могут потребовать компенсацию нанесенного ущерба.
Источник: Стахановец
