"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Реальная цена информационных утечек

Согласно выводам двенадцатого по счету ежегодного исследования Cost of Data Breach Study, которые проводит Ponemon Institute, средняя цена, которую заплатили британские фирмы в 2017 году за утечки служебных данных, составляет 2.48 миллиона фунтов стерлингов. Крупные инциденты безопасности с корпоративной информацией происходят в Англии почти еженедельно, попадая в заголовки газет и теленовостей. Общество постепенно уже с этим свыкается. Утечки воспринимаются как неизбежное зло, как норма повседневности, пишет Дэбби Карсайд в онлайновом журнале Chief Security Officer (Nov 20, 2017).

Что делать для минимизации рисков? Автор публикации с ответом не оригинален: разработать план мер по преодолению последствий («disaster recovery policy»), в котором подробно прописать, что и кому делать в случае утечки информации. Автор рекомендует компаниям использовать гибкую, быстро действующую систему ERP (систему планирования и управления ресурсами предприятия), способную к максимальной интеграции всех процессов и операций в компании. При серьезной утечке автоматизированная система управления имеет решающее значение для предупреждения потенциального банкротства, особенно угрожающего средним и малым предприятиям, отмечает Карсайд.

Упомянутый план мер по нейтрализации инцидента безопасности предусматривает немедленное обращение к специалисту по кибербезопасности. Если такого нет в штате компании, необходимо пригласить внешнего консультанта. Это пункт плана требует детализации.

Следующий шаг: определить, кто конкретно пострадал в результате утечки - клиенты компании, партнеры, или речь идет только о внутренней информации, не затрагивающей внешних субъектов. Здесь важно обратиться к юристам, которые определят ответственность компании по отношению к тем, кто пострадал. Необходимо знать, как такие случаи трактуются и регулируются законодательством. Во многих странах закон требует немедленно оповестить те лица и организации (клиенты, партнеры), чьи данные украдены или «утекли» по случайной ошибке. Уведомление рассылается по email, телефону, другим средствам коммуникации.

В отдельных случаях источником такой информации может стать колл-центр, куда звонят обеспокоенный клиенты, узнав из прессы о случившимся. Документ (план мер) должен четко прописать все возможные пути и способы уведомления в зависимости от характера и масштаба утечки. Если компания не располагает собственным пресс-отделом (представителем), то целесообразно обратиться в компанию, оказывающую услуги public relations. Это тем более важно, что имиджевый ущерб в конечном итоге (уход клиентов и прочее) зачастую превосходит непосредственные материальные потери. Этот пункт плана также необходимо тщательно продумать и четко прописать.

Если утечка произошла по вине самой компании (ошибка оператора, игнорирование требований кибербезопасности), сумма штрафов весьма чувствительна. Она зависит от размера самой компании, размера ущерба для клиентов и других контрагентов. Это обычно самая большая часть общей цены утечек.

В цену входят также потери от снижения доходности, затраты на восстановление нормальной работы, упущенная выгода.

При этом нельзя забывать, что немалых денег требует расследование утечек, их причин. Многим компаниям не под силу делать это собственными ресурсами, и тогда они вынуждены привлекать специалистов со стороны.

Автор статьи упоминает и о цене человеческой: сокращение производства чревато потерей работы для определенного числа работников компании.

Наиболее опасна утечка (чаще всего кража) интеллектуальной собственности, например, инновационных разработок. Такой инцидент угрожает утратой конкурентных преимуществ и реальный ущерб огромен, в некоторых случаях может привести к банкротству.

Автор статьи подчеркивает, что затраты на восстановление в 10 и 100 раз превышают расходы на предупреждение утечек, которые включают затраты на системы информационной защиты, их тестирование и проверку, а также процедуры своевременного обнаружения, информирования, восстановления.

Последние годы заметен рост числа компаний, владельцы и топ-менеджеры которых серьезно относятся к таким рискам, выделают требуемые средства на их предупреждение и минимизацию последствий, включая хорошо проработанный план действий в случае подобных инцидентов. Но это в основном касается крупных компаний с большим числом клиентов. Малый бизнес пониманием таких угроз и рисков еще не проникнулся полностью.

вернуться назад

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru