Проделки инсайдеров: что замалчивают компанииВ сентябре в очередной раз "отличилась" компания Pfizer, допустившая уже третью утечку за последние три месяца. Она же оказалась и самой масштабной – в результате халатности сотрудника Pfizer пострадали 34 тыс человек. Этот сотрудник скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году, не согласовав своих действий с руководством. Что происходило с данными на ноутбуке до сих пор точно неизвестно. В Америке продолжают ловить инсайдеров и кардеров, многие из которых являются выходцами из стран бывшего Советского Союза. В начале месяца американские блюстители порядка поймали некоего Грегори Копылоффа (или Григория Копылова?), который воровал приватную информацию через P2P-сеть. А в конце месяца другой выходец из России Роман Карелов признался в использовании конфиденциальных данных для оформления дорогостоящих покупок в Интернет-магазинах. Общая сумма ущерба, которую нанес Карелов находится в интервале от 200 до 400 тыс долларов. Как подсчитывать убытки? Ущерб от утечек определяется по-своему в каждом конкретном случае. Тем не менее, существует общая методика, с помощью которой можно посчитать ориентировочные убытки. В основе схемы лежит общее число пострадавших людей либо скомпрометированных документов, и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные оказались раскрыты. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях одни только почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние расходы на извещение каждого потерпевшего можно взять из различных исследований. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Число жертв различается для каждой страны и сферы деятельности организации. Обычно, это значение составляет от нескольких десятых процентов до нескольких процентов от общего числа людей, чья информация скомпрометирована. Если какие-то из показателей не могут быть определены однозначно, берутся усредненные величины на основе численной или эмпирической оценки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета. Не последнюю роль играет и мнение местных экспертов относительно перспектив дела. Рассмотрим для ясности пример с утечкой из компании GAP. Напомним, что ноутбук этой компании с приватными данными был украден неизвестными злоумышленниками, и в результате кражи пострадали 800 тыс граждан США, Пуэрто-Рико и Канады, пытавшихся устроиться на работу GAP. После обнаружения утечки, GAP предприняла комплекс мер для ее ликвидации. Во-первых, был создан специальный сайт, призванный помочь пострадавшим гражданам. Во-вторых, всем жертвам инцидента предлагается услуга Triple Advantage от компании ConsumerInfo.com, которая включает в себя кредитный мониторинг, а также страхование риска компрометации данных в течение одного года. В-третьих, пострадавшим уже высылаются уведомления и предоставляется бесплатная телефонная линия для консультаций. Согласно данным сайта ConsumerInfo.Com, стоимость одного месяца кредитного мониторинга составляет 11,95 долл., года – 143,4 долл. Таким образом, общие расходы GAP на бесплатное предоставление подобных услуг составят примерно 114 млн долл. Для подсчета остальных прямых издержек обратимся к исследованию "2006 Annual Study - Cost of a Data Breach". Согласно расчетам Ponemon Institute, средние расходы на выявление и исследование инцидента, а также уведомление пострадавших составляют 11,27 и 25,19 долл. на одну учетную запись. Таким образом, в масштабах утечки получается сумма в 29 млн долл. Далее следует учесть ущерб от потери привлекательности бренда и дальнейшие мероприятия по ликвидации утечки. По данным Ponemon Institute, средние издержки от снижения привлекательности бренда и дальнейших мероприятий по ликвидации составляют 98,32 и 47,29 долл. на каждого пострадавшего соответственно. Для конкретной утечки – 116 млн долл. Итого имеем 29 млн долл. - предварительные расходы, 114 млн долл. – расходы на кредитный мониторинг, 116 млн долл. – дальнейшие мероприятия по ликвидации и репутационные потери. В результате, получается сумма примерно в 260 млн долл. Конечно, приведенные цифры не обязательно совпадают с реальными убытками в каждом конкретном случае. Однако эти значения дают представление о масштабах ущерба и в целом соответствуют настоящему положению дел. источник: |