Кейс 16: запобігання плинності кадрів, підготовка кадрового резерву

Скільки коштує виток даних? Частина 2

Дуже легко порахувати, скільки коштує вкрадений телевізор. Але оцінити вартість викраденого ноутбука набагато складніше, адже йдеться не тільки про техніку, що має ринкову вартість, а й про інформацію – програмне забезпечення, яке роздають зовсім не безкоштовно, та багато років праці, виражених у цінних файлах. Навіть вартість втраченої флешки не дорівнює десятку доларів, оскільки цінна не форма, а її зміст.

Оцінка збитків від витоку інформації – складне завдання для будь-якого виду бізнесу. І хоч цифри завжди будуть приблизними, кожен інформаційний інцидент має свою зразкову вартість.

Аналітики, підраховуючи шкоду, відштовхуються від трьох базових категорій. У минулій статті йшлося про першу з них — пряму шкоду.

Наступний крок – оцінка непрямих витрат. Найбільша стаття, яка включає в себе час простою підприємства; інформування співробітників, підрядників та клієнтів про інцидент; PR-зусилля щодо комунікації з громадськістю; відновлення даних (баз клієнтів, кредитних карток, облікових записів тощо); втрату продуктивності; мінімізацію збитків від злому.
Кінцева вартість збитків завжди, індивідуальна і залежить від ніші бізнесу, типу витоку та інших чинників.

Розглянемо на прикладі, як цей процес виглядає у реальному житті.

Компанія «А» зазнала фішингової атаки, в результаті якої систему заразив вірус-шифрувальник, і частина даних виявилася зашифрованою. ТОП-менеджмент направив зусилля айтішників на ліквідацію проблеми. У такій ситуації, загальний витрачений час керівництвом у сукупності з профільними фахівцями – пряма шкода.

Але в той же час менеджер Петро і дизайнер Марія не можуть виконувати свої посадові обов’язки. Хоч вони й не мають безпосереднього відношення до витоку, їхній робочий день «згоряє», адже бізнес виявився паралізованим. Це непряма шкода.

Оскільки більшість працівників підприємства взагалі не розуміють, що відбувається, їх необхідно поінформувати про причину простою. Заодно компанії потрібно сповістити клієнтів, які виявилися відрізані від необхідних товарів та послуг. Бізнесу необхідно терміново активізувати зусилля PR-відділу та направити їх на вирішення нагальних завдань. Навіть якщо відповідні департаменти є в компанії, комунікації із зовнішнім світом не є безкоштовними, вони мають конкретну вартість, виражену в робочому годиннику. І це також непряма шкода.

Чи заплатив бізнес викуп здирникам чи впорався із шифрувальником самостійно, особливого значення не має: величезні людські ресурси вже були витрачені на ліквідацію наслідків інциденту, причому йдеться не лише про профільні підрозділи, безпосередньо задіяні в заходах з ліквідації кризи, а й про всіх працівників фірми.

Повернемося до нашого менеджера та дизайнера, адже їхні проблеми ще не закінчилися. Якщо компанії не змогли повністю відновити зашифровані дані, або частина інформації виявилася знищена, Марії доведеться малювати макети заново, а Петру – за допомогою дива відновлювати клієнтську базу. А це трудовитрати, що мають конкретний фінансовий вираз. Порахувати збитки можна за допомогою простої формули.

Втрачені дні = годинник простою/8 годинний робочий день.

Фінансові збитки = Втрачені дні/247 робочих днів * (Середня зарплата).

Остання стаття витрат, що стосується непрямої шкоди – втрата прибутку. Протягом кризи клієнти не лише не зможуть купувати товари чи послуги, але, у ряді випадків, разом із бізнесом виявляться постраждалою стороною. А отже, не будуть приносити свої гроші в компанію і можуть вимагати компенсацію завданих збитків.

Скільки коштує виток даних. Частина 1

Вартість витоку даних – актуальне питання для будь-якого бізнесу. Адже саме з оцінки можливих фінансових ризиків розпочинається стратегічне планування. На жаль, оцінити потенційні збитки вкрай важко.

Наприклад, якщо злодії вдерлися в квартиру і винесли телевізор, комп’ютер і коштовності, для підрахунку втрати знадобиться кілька хвилин: достатньо подивитися вартість фізичних об’єктів у чеках або перевірити їхню поточну ринкову ціну.

З кібертечками все не так однозначно. Наприклад, на думку Radware та Merrill Research, вартість одного інформаційного інциденту для великого європейського бізнесу у 2019 році становила приблизно 4,6 мільйона доларів. Наявність статистики свідчить, що підрахувати приблизну вартість можна. Тільки отримана інформація буде приблизна і в процесі калькуляції необхідно врахувати безліч різноманітних факторів.

Оцінка збитків від інформаційного інциденту складається із трьох базових компонентів.

Перший з них – пряма шкода. До нього відносяться витрати, які бізнес понесе у процесі виявлення та усунення витоку. Наприклад, витрати на виявлення та розслідування інциденту, штрафи, виплати компенсацій.

Перелік «статей шкоди» безпосередньо пов’язаний з видом, розміром та нішою бізнесу, що надаються їм товарами та послугами, внутрішньою та зовнішньою організацією, наявністю та кваліфікацією певних структурних підрозділів (ІТ-департамент та служба безпеки) та, звичайно ж, типом інформаційного інциденту.

У ряді випадків навіть на першому етапі оцінки прямих витрат можна визначити вартість вкраденої інформації. Викрадений дизайнерський макет, архів сайту або переклад текстового контенту має певну ринкову ціну або вартість, виражену в людино-годинах, витрачених на реалізацію проекту.

При цьому «на око» визначити цінність деяких типів даних практично неможливо: шкода від вкраденої клієнтської бази, зібраної за довгі роки роботи або викрадені профілі клієнтів мають досить відносну ринкову вартість, і оцінка таких збитків відноситься до наступних етапів, про які йтиметься далі.

Наступна стаття витрат, що відноситься до прямої шкоди — пошук та ліквідація витоку. Для здійснення цих заходів потрібно залучення ІТ-фахівців та представників служби безпеки. Якщо в компанії сформовані відповідні департаменти, витрати дорівнюватимуть вартості робочих годин, витрачених на виконання завдання. Звичайно, наявність «in-house» «спеців» полегшує завдання, але не нівелює витрати: адже цей час можна було б витратити на розвиток бізнесу, а не на ліквідацію «дір».

Якщо ж компанії доводиться залучати «аутсорсерів», витрати збільшуються, зате підрахунок втрат спрощується: він приблизно дорівнює вартості послуг підрядників.

Зазвичай на етапі розслідування позбутися «малої крові» не виходить, і окрім роботи фахівців, компанії доводиться оплачувати додаткове обладнання та програмне забезпечення, без якого провести розслідування, відновити роботу в нормальному режимі та запобігти подібним інцидентам у майбутньому — неможливо.

Фінішний етап оцінки прямих витрат – виплата штрафів держрегуляторам або компенсація завданої шкоди клієнтам, постачальникам, партнерам.

Розібравшись із прямою шкодою, зітхнути з полегшенням не вийде: попереду бізнес чекають ще дві масштабні статті витрат, про які йтиметься в наступних матеріалах.

Далі буде…

Стратегія мінімізації ризиків: частина 2

З кожним роком інциденти з витоку даних перестають бути чимось екстраординарним, стаючи рутинною частиною життєдіяльності підприємств. Великий бізнес атакують професійні хакери та жадібні конкуренти. Малий – потрапляє під роздачу від їх менш кваліфікованих колег: наприклад, згідно зі статистикою Symantec, на 323 листа, що були отримані, як мінімум один містить шкідливий файл. Очевидно, що у сучасних реаліях уже ніхто не може почуватися у повній безпеці. Однак це не означає, що треба здатися і змиритися з неминучим, адже навіть єдиний інформаційний інцидент може закінчитися фатально для фірми.

Грамотне стратегічне планування допомагає мінімізувати ризики та знизити витрати, необхідні апгрейду систем захисту.

У минулій статті йшлося про найуразливіші точки, які необхідно убезпечити в першу чергу. Настав час докладніше зупинитися на стратегії захисту та мінімізації наслідків інциденту.

План дій

Найстрашніше, що може статися в компанії, що зіткнулася з витоком — тотальний хаос. Співробітники не знають, що робити, а кожен відділ намагається впоратися із проблемою самотужки.

Найочевидніша зв’язка, яка має вміти працювати в команді – служба безпеки та ІТ-відділ. Грамотний розподіл завдань та зон відповідальності допоможе швидко провести розслідування та знайти причину витоку. Але це не означає, що решта департаментів має залишатися осторонь.

Вже на етапі розслідування керівнику варто залучити до процесу юристів, які зроблять неоціненний внесок у спілкування з держорганами: багатьом видам бізнесу не уникнути такого неприємного моменту, оскільки в Європі активно впроваджуються штрафи та відповідальність за недобросовісний захист цінних даних.

І, звичайно, не обійтися без допомоги PR-департаменту. Чим більше компанія, тим довше ЗМІ будуть смакувати інцидент та його наслідки. А кожна публікація в пресі стане цвяхом у труну репутації корпорації. Грамотне спілкування з журналістами, своєчасна публікація прес-релізів, відкритість та дії на випередження допоможуть знизити негатив і, як наслідок, зменшити фінансову шкоду.

Швидкість реакції

Кінцева вартість інциденту багато в чому залежить від часу, необхідного для виявлення витоку. Наприклад, за даними IBM, на виявлення інциденту йде понад 207 днів, протягом яких зловмисники безперечно копаються в даних компанії-жертви. Середній цикл «життя» інциденту від моменту злому до ліквідації дірки в периметрі безпеки становить 280 днів і більше. Кожен втрачений день – це втрачені дані, вкрадені клієнти та зіпсована репутація.

Зменшити життєвий цикл «дірки» у периметрі безпеки дозволить комплексний моніторинг трафіку даних. Фахівці з безпеки стверджують: будь-яка активність, яка відрізняється від «норми», властивої конкретному виду бізнесу, – явний маркер шкідливої активності. Навіть акуратне переміщення даних «невеликими порціями» завжди вибиватиметься зі стандартної рутинної активності.

Головне – сформулювати таке поняття, як «норма», яке завжди буде індивідуальним та унікальним для конкретної компанії, а потім знайти відхилення.

Такий аналіз зміцнює позиції бізнесу одразу у двох напрямках. Перше – мінімізація зовнішньої загрози. Якщо периметр захисту вже пробитий, система зможе виявити підозрілу активність та сигналізувати про інцидент, тим самим скоротивши час перебування «шкідника» всередині системи та мінімізувавши збитки.

Друге – протидія внутрішній загрозі. Як би це не було сумно, але головну шкоду компанії завдають її співробітники, цілеспрямовано або з волі випадку, стаючи інсайдерами. Якщо раптом працівник вирішив перейти на «темний бік» і почав збирати конфіденційні дані для продажу конкурентам або для особистого портфоліо, його рутинна активність відразу зміниться. А керівник матиме можливість швидко знайти інсайдера.

Сучасна система безпеки – це комплекс заходів. Тільки синергія інструментів захисту, що включають потужний аналітичний апарат, здатний предиктивно виявляти загрози, можливості контролю переміщення даних, і, звичайно ж, опції моніторингу «людського фактору» дозволять мінімізувати ризики.

Звичайно, використання таких інструментів передбачає певні зусилля та інвестиції. Проте не слід забувати: за даними IBM, середня вартість витоку даних станом на 2020 рік становить 3,86 мільйона доларів.