Оценка «стоимости» утечки данных всегда начинается с анализа прямых и косвенных затрат.
К прямому урону относятся все силы и средства, которые понадобились бизнесу для ликвидации информационного инцидента. К косвенному — ущерб, затронувший смежные подразделения, клиентов, поставщиков и партнеров. Методикам подсчета прямого и косвенного урона были посвящены предыдущие статьи.
В этом материале речь пойдет о наиболее сложной в оценке статьи расходов – упущенных возможностях. К ним относится потеря потенциальных клиентов, которые боятся вести бизнес с пострадавшей от утечки данных компанией, а также ликвидация репутационного ущерба.
По данным исследований, проведенных Ponemon Institute, в ряде отраслей, таких как здравоохранение, фармацевтика, финансовые услуги после утечки данных уровень оттока клиентов может достигать 6% и более.
Не менее важно и отношение клиентов к бренду. Например, после информационного инцидента, произошедшего в 2015, негативное отношение к американской компании-разработчику ПО Sprinklr, увеличилось на 35%.
На восстановление «доброго имени» и репутации могут уйти годы. А, значит, бизнесу придется усиливать такие направления, как маркетинг и PR. Затраты на эти мероприятия могут включать: переориентацию специалистов на новые задачи; расширение собственных департаментов; привлечение специалистов — «аутсорсеров». Стоит еще раз подчеркнуть: возросший объем работы будет преследовать компанию-жертву не один день. Необходимость вливания дополнительных инвестиций в маркетинг и внешние коммуникации может затянуться на несколько лет, пока публика не забудет о произошедшем скандале.
Конечно, подобные риски больше актуальны для крупного бизнеса. Но даже совсем маленьким фирмам придется существенно нарастить присутствие на ряде информационных площадок, чтобы хоть как-то утихомирить разгневанных клиентов, снизить негатив и, наконец, начать привлекать новых потребителей.
Еще один важный нюанс, о котором не стоит забывать: опростоволосившаяся фирма в течение длительного промежутка времени просто не сможет продавать товары или услуги по старой стоимости: часть потенциальных потребителей не захочет иметь ничего общего с ненадежным бизнесом. В такой ситуации практически единственный способ удержать клиентов – демпинг. Переломить сомнения и страх может только жадность и желание сэкономить. При этом размер скидки, необходимый для привлечения и удержания клиентов, равен недополученной компанией прибыли.
В качестве эпилога, стоит отметить еще несколько важных факторов, напрямую влияющих на стоимость утечки данных.
1. При первой утечке данных можно отделаться относительно «малой кровью». А вот повторный информационный инцидент, произошедший в течение 24 месяцев после первого, приведет к значительным финансовым убыткам, оттоку клиентов, репутационным уронам и штрафам со стороны госрегуляторов.
2. Качество защиты наиболее чувствительной информации напрямую влияет на стоимость урона. Если огромный массив конфиденциальных данных находится в открытом доступе, а за их перемещением никто не следит – есть высокий шанс не пережить утечку.
3. Отсутствие отдела маркетинга и PR, неумение общаться со СМИ и потенциальными клиентами может закончиться очень чувствительным репутационным уроном. Даже если сам информационный инцидент был относительно незначительным.
4. Важную роль играет тип украденной или оказавшейся в свободном доступе информации. Финансовые и личные данные, а также медицинские карточки «стоят» максимально дорого. К тому же утечки такой информации имеют наиболее сильный общественный резонанс.
5. Не стоит забывать о месте регистрации бизнеса. От страны к стране различаются не только штрафы за утечку данных, но и юридическая ответственность за их сохранность.
6. Не пренебрегайте современными системами защиты. Чем совершеннее периметр безопасности – тем ниже риски. В современных реалиях ключевую роль играет не только возможность противодействия внешним атакам, но и способность компании контролировать внутренний фактор риска – работников. Ведь именно их действия ведут к регулярным утечкам данных по неосторожности.