04 января 2011

Цена утечки информации

 Согласно исследованиям Ponemon Institute, 
средняя стоимость утечки информации для фирм 
в Великобритании в 2008 г. составила 1,7 млн фунтов.
Из статьи в ИТ-глянце
Прочитав в своё время статью, информация из которой вынесена в эпиграф к данному посту, крепко задумался - а сколько же стоит утечка информации на нашей с вами исторической родине, то есть в ex-USSR (берем не только Россию, но и смежные страны)? Гугл с Яндексом подсказали, что серьезных исследований на данную тему никто не проводил, не встречал я аргументированных цифр и в каких-либо отраслевых изданиях. Поэтому давайте вместе поразмышляем на тему того, какую сумму могло бы показать проведенное на данную тематику исследование.
Давайте для начала подумаем, из чего именно складывается стоимость утечки? Она складывается из различных аспектов ущерба, наносимого утечкой той организации, которая её допустила. А ущерб этот может быть следующих видов:
  • Репутационный: снижение цены бренда, курса акций и т.п. вследствие самого факта утечки плюс информации, содержавшейся в обнародованных документах;
  • Прямой: стоимость украденных инсайдерами ноу-хау, нереализованных из-за утечки бизнес-планов и т.д.;
  • Косвенный: выплата компенсаций и издержек по судебным искам третьих сторон, пострадавших в результате утечек, плюс различные штрафы регулирующих органов.
Вот собственно каждый из этих трех пунктов для среднестатистической утечки и нужно оценить. Проблема только в том, что утечки все очень и очень разные. Одно дело, когда инсайдеры уносят к конкурентам чертежи, скажем, нового двигателя, разработка которого стоила десятки миллионов долларов, и совсем другое, когда на странице школы на narod.ru вывешивают персональные данные двух десятков родителей, не сдавших деньги на подарок директору. Поскольку второй случай явно распространеннее, средняя цена утечки, конечна, далека от десятков миллионов долларов, но за счет того, что сверхдорогие утечки тоже случаются, средняя цена также далека и от нуля.
Думаю, что пока в России не станут общепринятой практикой судебные иски за разглашение персональных данных, пока не станут всерьез работать с нарушителями регуляторы (читай, Роскомнадзор), цена средней  утечки будет далека от той суммы, которую озвучил для Британии Ponemon Institute. Но мы ведь даже 10 предотвращенных утечек по 10000 долларов уже оправдывают функционирование DLP-системы.
Р. Идов,
эксперт по информационной безопасности

Комментариев нет:

Отправить комментарий