Максимальный подтвержденный размер финансового ущерба от утечки информации в российской компании составляет 30 млн долл. При этом прогнозируемый компаниями ущерб (в среднем 310 тыс. долл.) на практике оказывается заметно ниже реального, составляющего 820 тыс. долл.
По статистике, собранной Zecurion, первые утечки информации фиксируются в организациях уже во время опытного внедрения DLP-систем на ограниченном количестве рабочих станций. Заказчики говорят о том, что инциденты достаточно высокой степени серьезности фиксируются раз в несколько недель. Этот показатель варьируется от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.
Масштаб подобных инцидентов сильно различается. Потенциальный ущерб в 500 тыс. руб. может быть незначительным для компании с оборотом в сотни миллионов долларов, но критичным для бизнеса небольшой фирмы. Формальный признак серьезного инцидента — тот, о котором докладывают начальству.
Во что выливаются утечки
Несмотря на то, что посчитать вероятный (да и фактический) ущерб от утечки информации зачастую довольно проблематично, делать это необходимо хотя бы для обоснования проектов по защите информации. Последствия утечек — вопрос исключительно острый. Как правило, чем больше ущерб от утечек, тем актуальнее оказывается задача защиты информации для компании и легче аргументировать заявленный бюджет.
Примерно в половине случаев компании затрудняются оценить стоимость утечек информации, что указывает на недостаток работы в части классификации информации и оценки информационных рисков. Вторая половина опрошенных специалистов смогла привести цифры реального ущерба и оценить возможные издержки по предотвращенным инцидентам. Максимальный размер ущерба, который реально понесла компания от утечки конфиденциальных данных, составил 30 млн долл.: в этом случае источник утечки был выявлен среди топ-менеджеров компании. В среднем финансовый ущерб от каждой утечки в опрошенных организациях составил 820 тыс. долл.
Основные статьи ущерба — прямые потери, упущенная выгода, а также штрафы со стороны регуляторов. Если говорить о российской практике, то наибольшие потери компаний приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных отраслях) или из-за получения конкурентами других преимуществ.
Последствия инцидентов и санкции
В том, что компании стремятся избегать публичности в случаях утечки информации, нет ничего удивительного – репутационные риски могут быть достаточно чувствительными. Но как показывают результаты опроса, подавляющее большинство организаций не информирует об инцидентах даже собственных сотрудников. Между тем, из инцидентов важно делать правильные выводы и доводить их до персонала с тем, чтобы утечки не случались в будущем.
Если в компании ловят злонамеренного инсайдера, полезно будет информировать сотрудников об этом факте хотя бы для того, чтобы повысить бдительность. Целесообразно также рассказать о дисциплинарных мерах, которые были применены к инсайдеру с тем, чтобы уменьшить желание других сотрудников сливать информацию.