Поделиться
Инсайдеры "наказали" Kia Motors на 22 млрд
Убытки от утечек растут как на дрожжах. Каждый раз страдает все больше людей и происходит все больше инцидентов. Однако самым серьезным событием мая стал промышленный шпионаж: инсайдеры слили из Kia Motors информацию на десятки миллиардов долларов.Однако в некоторых случаях след инсайдеров очевиден и без расследования. Например, в Управлении транспортной безопасности (Transportation Security Administration) США винчестер исчез из режимного помещения с ограниченным доступом. Никого кроме инсайдеров винить невозможно. Аналогичная история произошла и в британском Royal Cornwall Hospitals NHS Trust. Из закрытого охраняемого помещения пропал компьютер.
Вызывает удивление экспертов и официальная версия того, как потерялись резервные кассеты с персональными данными работников корпорации IBM. Было объявлено, что ленты попросту выпали на дорогу из автомобиля. Но неужели важный груз перевозили в открытой машине и даже не закрепили коробки? Водитель не заметил и потерю груза. А рассыпавшиеся кассеты никто не видел. Скорее всего, это инсайдеры своровали данные и попытались запутать следы.
Нельзя не упомянуть и возмутительный инцидент с кражей персональных данных офицеров полиции Техаса. Хьюстонская компания Productivity Center Incorporated занималась обновлением базы данных Комиссии по аттестации и обучению офицеров подразделений органов правопорядка штата (Texas Commission on Law Enforcement Officers Standards and Education, TCLEOSE). Но файлы не были ни зашифрованы, ни защищены элементарным паролем. Теперь, когда ноутбук украли, преступники не имеют никаких препятствий к тому, чтобы заполучить подробные приватные сведения (в том числе и домашние адреса) об офицерах. Известно немало случаев, когда американские военные опрометчиво подходили к конфиденциальной информации, но цена утечки в последнем инциденте несоизмеримо выше. Ведь теперь не только деньги, по и жизни полицейских и их семей находятся под угрозой.
Как подсчитывать убытки
Расчет убытков необходимо производить индивидуально для каждого конкретного случая. Однако можно использовать общую методику. За основу в этом случае следует взять число пострадавших и характер потерянной информации. Далее надо оценить предварительный ущерб. К примеру, в некоторых штатах США принят закон, который требует оповестить всех граждан, чьи приватные данные были скомпрометированы вследствие утечки. Причем разослать извещения должна организация, которая допустила утечку. Средние расходы на извещение каждого потерпевшего гражданина известны из аналитических отчетов. Далее следует определить число тех граждан, которые все-таки станут жертвой мошенников из-за этой утечки. Количество жертв различается для каждой страны, сферы деятельности и масштаба утечки. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа граждан, чья информация скомпрометирована. Если какие-то из показателей не определены однозначно, можно взять усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, необходимо учесть облегчающие и отягчающие обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут заметно выше, чем для государственного образовательного учреждения. Не последнюю роль играет и мнение правоохранительных органов, расследующих инцидент, и местных экспертов относительно перспектив дела.
Рассмотрим для ясности пример с кражей персональных данных более подробно. В начале мая Управление транспортной безопасности США сообщило о краже винчестера с информацией о работниках. Инцидент затронул около 100 тыс человек. Обратимся к исследованию 2006 Annual Study - Cost of a Data Breach. Согласно данным Ponemon Institute, прямые издержки на почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр. составляют в среднем 54 долл. на каждого пострадавшего. В нашем случае общие прямые издержки получатся 5,4 млн долл. Средние косвенные издержки составляют по 30 долл. на одну украденную запись. Тогда суммарные косвенные убытки будут равны 3 млн.
В данной конкретной ситуации мы исключаем такую статью расходов как упущенная выгода. Ведь Управление является государственным органом, и плохое паблисити не угрожает потерей клиентов. А вот если бы мы рассматривали убытки какого-либо коммерческого предприятия, издержки упущенной прибыли составили бы одну из основных статей расходов.
В нашем же случае, представители Управления объявили, что всем пострадавшим оплатят мониторинг банковских счетов в течение года. Цены на подобную услугу в США достаточно стабильны и составляют примерно 120 долларов на человека. Это еще 12 млн долл. из бюджета. Прибавим сюда уже посчитанные 8,4 млн косвенных и прямых издержек. Получим итоговое значение 20,4 млн долл.
Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел.
Алексей Доля
Короткая ссылка
