Стоимость утечки данных – актуальный вопрос для любого вида бизнеса. Ведь именно с оценки возможных финансовых рисков начинается стратегическое планирование. К сожалению, оценить потенциальные убытки не так просто.
Например, если воры вломились квартиру и вынесли телевизор, компьютер и драгоценности, для подсчета урона понадобится пара минут: достаточно посмотреть стоимость физических объектов в чеках или проверить их текущую рыночную цену.
С киберутечками все не так однозначно. Например, по мнению Radware и Merrill Research, стоимость одного информационного инцидента для крупного европейского бизнеса в 2019 году составляла примерно 4,6 миллиона долларов. Наличие статистики говорит о том, что подсчитать примерную стоимость можно. Только полученная информация будет весьма приблизительна и в процессе калькуляции необходимо учесть множество разнообразных факторов.
Оценка убытков от информационного инцидента состоит из трех базовых компонентов.
Первый из них – прямой урон. К нему относятся расходы, которые бизнес понесет в процессе обнаружения и устранения утечки. Например, затраты на обнаружение и расследование инцидента, штрафы, выплаты компенсаций.
Перечень «статей ущерба» напрямую связан с видом, размером и нишей бизнеса, предоставляемыми им товарами и услугами, внутренней и внешней организацией, наличием и квалификацией определенных структурных подразделений (ИТ-департамент и служба безопасности) и, конечно же, типом информационного инцидента.
В ряде случаев, даже на первом этапе оценки прямых затрат можно определить стоимость украденной информации. Похищенный дизайнерский макет, архив сайта или перевод текстового контента имеет определенную рыночную цену, либо стоимость, выраженную в человеко-часах, потраченных на реализацию проекта.
При этом «на глаз» определить ценность некоторых типов данных практически невозможно: урон от украденной клиентской базы, собранной за долгие годы работы или похищенные профили клиентов имеют весьма относительную рыночную стоимость, и оценка таких убытков относится к следующим этапам, речь о которых пойдет далее.
Следующая статья расходов, относящаяся к прямому урону – поиск и ликвидация утечки. Для осуществления этих мероприятий потребуется привлечение ИТ-специалистов и безопасников. Если в компании сформированы соответствующие департаменты, затраты будут равны стоимости рабочих часов, потраченных на выполнение задачи. Конечно, наличие «in-house» «спецов» упрощает задачу, но не нивелирует расходы: ведь это время можно было бы потратить на развитие бизнеса, а не на ликвидацию «дыр».
Если же компании приходится привлекать «аутсорсеров», расходы увеличиваются, зато подсчет урона упрощается: он примерно равен стоимости услуг подрядчиков.
Обычно на этапе расследования отделаться «малой кровью» не получается, и кроме работы специалистов, компании приходится оплачивать дополнительное оборудование и программное обеспечение, без которого провести расследование, возобновить работу в нормальном режиме и предотвратить подобные инциденты в будущем — невозможно.
Финишный этап оценки прямых затрат – выплата штрафов госрегуляторам или же компенсация нанесенного вреда клиентам, поставщикам, партнерам.
Разобравшись с прямым уроном, вздохнуть с облегчением не получится: впереди бизнес ждут еще две масштабные статьи расходов, о которых речь пойдет в следующих материалах.