Скільки коштує виток даних. Частина 1
Вартість витоку даних – актуальне питання для будь-якого бізнесу. Адже саме з оцінки можливих фінансових ризиків розпочинається стратегічне планування. На жаль, оцінити потенційні збитки вкрай важко.
Наприклад, якщо злодії вдерлися в квартиру і винесли телевізор, комп’ютер і коштовності, для підрахунку втрати знадобиться кілька хвилин: достатньо подивитися вартість фізичних об’єктів у чеках або перевірити їхню поточну ринкову ціну.
З кібертечками все не так однозначно. Наприклад, на думку Radware та Merrill Research, вартість одного інформаційного інциденту для великого європейського бізнесу у 2019 році становила приблизно 4,6 мільйона доларів. Наявність статистики свідчить, що підрахувати приблизну вартість можна. Тільки отримана інформація буде приблизна і в процесі калькуляції необхідно врахувати безліч різноманітних факторів.
Оцінка збитків від інформаційного інциденту складається із трьох базових компонентів.
Перший з них – пряма шкода. До нього відносяться витрати, які бізнес понесе у процесі виявлення та усунення витоку. Наприклад, витрати на виявлення та розслідування інциденту, штрафи, виплати компенсацій.
Перелік «статей шкоди» безпосередньо пов’язаний з видом, розміром та нішою бізнесу, що надаються їм товарами та послугами, внутрішньою та зовнішньою організацією, наявністю та кваліфікацією певних структурних підрозділів (ІТ-департамент та служба безпеки) та, звичайно ж, типом інформаційного інциденту.
У ряді випадків навіть на першому етапі оцінки прямих витрат можна визначити вартість вкраденої інформації. Викрадений дизайнерський макет, архів сайту або переклад текстового контенту має певну ринкову ціну або вартість, виражену в людино-годинах, витрачених на реалізацію проекту.
При цьому «на око» визначити цінність деяких типів даних практично неможливо: шкода від вкраденої клієнтської бази, зібраної за довгі роки роботи або викрадені профілі клієнтів мають досить відносну ринкову вартість, і оцінка таких збитків відноситься до наступних етапів, про які йтиметься далі.
Наступна стаття витрат, що відноситься до прямої шкоди — пошук та ліквідація витоку. Для здійснення цих заходів потрібно залучення ІТ-фахівців та представників служби безпеки. Якщо в компанії сформовані відповідні департаменти, витрати дорівнюватимуть вартості робочих годин, витрачених на виконання завдання. Звичайно, наявність «in-house» «спеців» полегшує завдання, але не нівелює витрати: адже цей час можна було б витратити на розвиток бізнесу, а не на ліквідацію «дір».
Якщо ж компанії доводиться залучати «аутсорсерів», витрати збільшуються, зате підрахунок втрат спрощується: він приблизно дорівнює вартості послуг підрядників.
Зазвичай на етапі розслідування позбутися «малої крові» не виходить, і окрім роботи фахівців, компанії доводиться оплачувати додаткове обладнання та програмне забезпечення, без якого провести розслідування, відновити роботу в нормальному режимі та запобігти подібним інцидентам у майбутньому — неможливо.
Фінішний етап оцінки прямих витрат – виплата штрафів держрегуляторам або компенсація завданої шкоди клієнтам, постачальникам, партнерам.
Розібравшись із прямою шкодою, зітхнути з полегшенням не вийде: попереду бізнес чекають ще дві масштабні статті витрат, про які йтиметься в наступних матеріалах.