Сколько «весит» серьезная утечка
Самыми «дорогими» утечками, согласно результатам исследования, стали сведения, составляющие коммерческую тайну и ноу-хау (секреты производства), а также утечки персональных данных. Практически никто из респондентов, которые ответили, что оценивали понесенный ущерб, не назвал точные цифры. На просьбу указать сумму понесенного ущерба, большая часть (37%) сообщила, что не рассчитывала убытки, а 23% ответивших указали, что организация не понесла ущерба.
Ущерб оценивали, в основном, крупные и средние предприятия и финансовые организации. В тех структурах, где ущерб был подсчитан, в 14% случаев он составил свыше 1 млн руб. К таковым, например, можно отнести ошибку топ-менеджера из-за потери съемного носителя — произошла утечка информации, составлявшей коммерческую тайну, которая обошлась организации в «более 1 млн рублей».
К ущербу такого же масштаба приводили:
- ошибка сотрудника, который скопировал секреты производства на съемный носитель;
- умышленные действия подрядчика организации, в результате которых произошла утечка персональных данных, а также банковской и служебной тайны;
- умышленные действия сотрудника, в результате которых через корпоративную электронную почту произошла утечка коммерческой, служебной тайны и персональных данных.
К ущербу от 100 до 500 тыс. руб. в половине случаев также привели утечки персональных данных, зачастую одновременно с утечками коммерческой тайны.
Как отмечают аналитики, утечки информации ограниченного доступа несут для пострадавшей организации угрозу причинения различных видов ущерба — от материального до репутационного. В современной практике ИБ проблема оценки ущерба от утечек информации заключается в отсутствии проверенных и экономически обоснованных методик, которые позволили бы объективно и комплексно оценить ущерб и структуру понесенных затрат и подготовить оценку рисков ущерба и финансово-экономическое обоснование для создания и эксплуатации системы защиты от утечек информации. Но можно уверенно утверждать, что затраты на обнаружение и ликвидацию последствий утечки по вине внутреннего нарушителя обходятся дороже, чем комплекс реагирования на утечки в результате хакерских атак.
Что за границей?
Согласно последним данным из отчета «Cost of a Data Breach Report 2023», средний ущерб после утечки составил 4,5 млн долл., что на 15% больше, чем три года назад. При этом ущерб от утечки по вине внутреннего нарушителя выше — сумма потерь в таком случае составила 4,9 млн долл. В совместном отчете компаний Proofpoint и Ponemon Institute отмечается, что для пострадавшей организации на Западе средняя стоимость кражи учетных данных в результате действий внутреннего нарушителя составила 4,6 млн долл., а утечка из-за халатности работника (неумышленная) — 6,6 млн долл.
При этом ущерб от инцидентов ИБ может затрагивать не только отдельные организации, но и целые города. Так, недавно городской совет Далласа выделил из бюджета города 8,6 млн долл. на оплату услуг ИБ-компаний, участвовавших в восстановлении информационной инфраструктуры города после кибератаки. Используя программу-вымогатель, злоумышленники украли персональные данные 26 тыс. человек.
В то же время структура затрат, статьи финансового учета, размеры оплаты услуг и штрафов в США, Канаде, странах Евросоюза значительно отличаются от российских. Поэтому приводимые в зарубежных отчетах данные практически не соотносятся с российскими реалиями. В связи с этим InfoWatch разработала и зарегистрировала собственную методику сбора достоверной информации для оценки ущерба от утечки данных, которая частично использована в данном исследовании.
Что утекает и кто виноват?
Первую тройку «утекших» данных составили следующие категории: персональные данные (39%), коммерческая тайна (24%), служебная тайна (18%).
В подавляющем большинстве случаев (70%) утечка данных является следствием умышленных действий. Эти показатели соотносятся с выводами последних аналитических отчетов InfoWatch по утечкам в России, согласно которым последние годы отмечается рост доли утечек данных в результате умышленных нарушений. В 79% случаев утечек произошли по вине внутреннего нарушителя. В большинстве случаев к ущербу привела утечка данных через корпоративную электронную почту.
Почти половина утечек (46%) произошли через подключение корпоративной сети или ЦОД к сети Интернет, а также через корпоративную электронную почту. Далее по частоте инцидентов идут потеря и кража съемных носителей (14%). В 9% случаев утечка информации произошла через бумажные носители, информация также «утекала» вследствие нелегитимного использования мобильных устройств и через облачные сервисы.
Как выяснили специалисты InfoWatch, почти у половины организаций (47%) вообще отсутствует методика оценки ущерба от утечки информации. Наличие в организации такой методики и, одновременно, отсутствие у них за последние три года утечек позволяет предположить, что подобные организации имеют более высокий уровень зрелости информационной безопасности.
Трудно оценить иначе, как парадоксальный, факт, что подавляющее большинство организаций (71% опрошенных) не застрахованы от ущерба в случае утечки информации. Именно в большинстве из них за последние три года произошли утечки данных. Застрахованными оказались организации только из трех секторов — образование, банки и финансовые услуги, топливно-энергетический комплекс.
