cost

Сколько стоит утечка данных? Часть 1

Стоимость утечки данных – актуальный вопрос для любого вида бизнеса. Ведь именно с оценки возможных финансовых рисков начинается стратегическое планирование. К сожалению, оценить потенциальные убытки не так просто.

Например, если воры вломились квартиру и вынесли телевизор, компьютер и драгоценности, для подсчета урона понадобится пара минут: достаточно посмотреть стоимость физических объектов в чеках или проверить их текущую рыночную цену.

С киберутечками все не так однозначно. Например, по мнению Radware и Merrill Research, стоимость одного информационного инцидента для крупного европейского бизнеса в 2019 году составляла примерно 4,6 миллиона долларов. Наличие статистики говорит о том, что подсчитать примерную стоимость можно. Только полученная информация будет весьма приблизительна и в процессе калькуляции необходимо учесть множество разнообразных факторов.

Оценка убытков от информационного инцидента состоит из трех базовых компонентов.

Первый из них – прямой урон. К нему относятся расходы, которые бизнес понесет в процессе обнаружения и устранения утечки. Например, затраты на обнаружение и расследование инцидента, штрафы, выплаты компенсаций.

Перечень «статей ущерба» напрямую связан с видом, размером и нишей бизнеса, предоставляемыми им товарами и услугами, внутренней и внешней организацией, наличием и квалификацией определенных структурных подразделений (ИТ-департамент и служба безопасности) и, конечно же, типом информационного инцидента.

В ряде случаев, даже на первом этапе оценки прямых затрат можно определить стоимость украденной информации. Похищенный дизайнерский макет, архив сайта или перевод текстового контента имеет определенную рыночную цену, либо стоимость, выраженную в человеко-часах, потраченных на реализацию проекта.

При этом «на глаз» определить ценность некоторых типов данных практически невозможно: урон от украденной клиентской базы, собранной за долгие годы работы или похищенные профили клиентов имеют весьма относительную рыночную стоимость, и оценка таких убытков относится к следующим этапам, речь о которых пойдет далее.

Следующая статья расходов, относящаяся к прямому урону – поиск и ликвидация утечки. Для осуществления этих мероприятий потребуется привлечение ИТ-специалистов и безопасников. Если в компании сформированы соответствующие департаменты, затраты будут равны стоимости рабочих часов, потраченных на выполнение задачи. Конечно, наличие «in-house» «спецов» упрощает задачу, но не нивелирует расходы: ведь это время можно было бы потратить на развитие бизнеса, а не на ликвидацию «дыр».

Если же компании приходится привлекать «аутсорсеров», расходы увеличиваются, зато подсчет урона упрощается: он примерно равен стоимости услуг подрядчиков.

Обычно на этапе расследования отделаться «малой кровью» не получается, и кроме работы специалистов, компании приходится оплачивать дополнительное оборудование и программное обеспечение, без которого провести расследование, возобновить работу в нормальном режиме и предотвратить подобные инциденты в будущем — невозможно.

Финишный этап оценки прямых затрат – выплата штрафов госрегуляторам или же компенсация нанесенного вреда клиентам, поставщикам, партнерам.

Разобравшись с прямым уроном, вздохнуть с облегчением не получится: впереди бизнес ждут еще две масштабные статьи расходов, о которых речь пойдет в следующих материалах.

Продолжение следует…

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Поделитесь своими комментариями!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>