Скільки коштує виток даних. Частина 1

Вартість витоку даних – актуальне питання для будь-якого бізнесу. Адже саме з оцінки можливих фінансових ризиків розпочинається стратегічне планування. На жаль, оцінити потенційні збитки вкрай важко.

Наприклад, якщо злодії вдерлися в квартиру і винесли телевізор, комп’ютер і коштовності, для підрахунку втрати знадобиться кілька хвилин: достатньо подивитися вартість фізичних об’єктів у чеках або перевірити їхню поточну ринкову ціну.

З кібертечками все не так однозначно. Наприклад, на думку Radware та Merrill Research, вартість одного інформаційного інциденту для великого європейського бізнесу у 2019 році становила приблизно 4,6 мільйона доларів. Наявність статистики свідчить, що підрахувати приблизну вартість можна. Тільки отримана інформація буде приблизна і в процесі калькуляції необхідно врахувати безліч різноманітних факторів.

Оцінка збитків від інформаційного інциденту складається із трьох базових компонентів.

Перший з них – пряма шкода. До нього відносяться витрати, які бізнес понесе у процесі виявлення та усунення витоку. Наприклад, витрати на виявлення та розслідування інциденту, штрафи, виплати компенсацій.

Перелік «статей шкоди» безпосередньо пов’язаний з видом, розміром та нішою бізнесу, що надаються їм товарами та послугами, внутрішньою та зовнішньою організацією, наявністю та кваліфікацією певних структурних підрозділів (ІТ-департамент та служба безпеки) та, звичайно ж, типом інформаційного інциденту.

У ряді випадків навіть на першому етапі оцінки прямих витрат можна визначити вартість вкраденої інформації. Викрадений дизайнерський макет, архів сайту або переклад текстового контенту має певну ринкову ціну або вартість, виражену в людино-годинах, витрачених на реалізацію проекту.

При цьому «на око» визначити цінність деяких типів даних практично неможливо: шкода від вкраденої клієнтської бази, зібраної за довгі роки роботи або викрадені профілі клієнтів мають досить відносну ринкову вартість, і оцінка таких збитків відноситься до наступних етапів, про які йтиметься далі.

Наступна стаття витрат, що відноситься до прямої шкоди — пошук та ліквідація витоку. Для здійснення цих заходів потрібно залучення ІТ-фахівців та представників служби безпеки. Якщо в компанії сформовані відповідні департаменти, витрати дорівнюватимуть вартості робочих годин, витрачених на виконання завдання. Звичайно, наявність «in-house» «спеців» полегшує завдання, але не нівелює витрати: адже цей час можна було б витратити на розвиток бізнесу, а не на ліквідацію «дір».

Якщо ж компанії доводиться залучати «аутсорсерів», витрати збільшуються, зате підрахунок втрат спрощується: він приблизно дорівнює вартості послуг підрядників.

Зазвичай на етапі розслідування позбутися «малої крові» не виходить, і окрім роботи фахівців, компанії доводиться оплачувати додаткове обладнання та програмне забезпечення, без якого провести розслідування, відновити роботу в нормальному режимі та запобігти подібним інцидентам у майбутньому — неможливо.

Фінішний етап оцінки прямих витрат – виплата штрафів держрегуляторам або компенсація завданої шкоди клієнтам, постачальникам, партнерам.

Розібравшись із прямою шкодою, зітхнути з полегшенням не вийде: попереду бізнес чекають ще дві масштабні статті витрат, про які йтиметься в наступних матеріалах.

Далі буде…