Размер ущерба от утечек информации достаточно сложно оценить в твердых суммах. Помимо прямых убытков в структуру ущерба входят репутационные издержки, потеря клиентов и рынков сбыта, стоимость замены программного обеспечения и переобучения сотрудников. Не всегда выгода, получаемая заказчиками похищения, сравнима по стоимости с теми расходами, которые несет пострадавшая компания.

Виды угроз

Среди тех, кто может оказаться в стане похитителей чужой информации, не только публичные фигуры – хакеры или компании, специализирующиеся на взломе чужой переписки, например, Шалтай-Болтай. Да, громкий эффект от появления в открытой печати личных писем вице-премьеров или иных публичных фигур производит впечатление, нередко влечет за собой по-настоящему крупный ущерб. Гораздо опасней для бизнеса хищение данных с помощью средств конкурентной разведки, а для граждан – появление в открытом доступе баз данных, содержащих номера автомобилей, сведения об их медицинских историях или объектах недвижимости, записи телефонных переговоров. Несмотря на меры защиты персональных сведений, деятельность Роскомнадзора, внедрение новейших систем защиты, уровень рисков не становится меньше.

Ущерб для государственных организаций

Государственные структуры оказываются в той же зоне риска, что и коммерческие. Угрозу для них несут не конкуренты, а следующие группы лиц:

• организации, прямо заинтересованные в хищении государственных секретов, важной информации, ноу-хау, иной информации, которая может быть использована в коммерческих целях;
• хакеры, делающие себе имя на громких скандалах со взломом защищенных систем и утечкой данных;
• иностранные разведки и террористические организации.

Обилие рисков вынуждает государственные структуры относиться к вопросам защиты серьезнее, чем это могут позволить себе коммерческие организации. Причиненный ущерб влечет за собой не только финансовые потери для бюджета, но и прямые угрозы безопасности граждан. Иногда они не столь опасны, но публичны. Так, в январе 2017 года из защищенных ресурсов Первого канала телевидения в Сеть утекла новая серия сериала «Шерлок». Ситуация продемонстрировала критические недоработки в системе информационной безопасности крупнейшего российского телеканала, связанные с возможностью хищения контента, защищенного соглашениями о соблюдении лицензионных требований. Казалось бы, незначительное явление, но оно дает возможность представить риски, связанные с внешним проникновением в базы данных и заменой информации в важнейших передачах. Контент находился в защищенной базе, практически без доступа к ней с сетевых подключений, и, скорее всего, он был похищен в связи с действиями инсайдеров, а не абстрактных хакеров, тем не менее, сам факт хищения говорит о халатности служб, отвечающих за защиту информационного периметра.

Канал прокомментировал ситуацию, отметив, что она произошла из-за деятельности одного из сотрудников, который «нарушил строгие протоколы безопасности, допустив преступную халатность при исполнении должностных обязанностей». Ущерб в данном случае имел и репутационный характер, он подорвал доверие партнеров к каналу и его системам защиты коммерческой информации, и прямой – аудит, проверки, обновление программных продуктов. Аналогично дурную репутацию системам защиты государственных организаций дал случай непреднамеренной рассылки сотрудниками ПФР данных 17 тысяч застрахованных лиц, произошедший летом 2017 года. Ущерб выражался не только в моральном ущербе, причиненном этим лицам, но и в необходимости совершенствования систем контроля над данными, которые могут быть непреднамеренно переданы по каналам электронной почты.

Прямой ущерб для коммерческих организаций

Любопытно, что не защищены от утечек и компании, профессионально занимающиеся защитой информации. В апреле 2017 года несколько ключевых игроков рынка получили рассылку с предложением приобрести список клиентов конкурента. Недоработка в отношениях с собственным персоналом привела к возможному сокращению клиентской базы. Нельзя доверять разработчикам, которые не могут защитить собственные ресурсы. Помимо клиентской базы анонимный доброжелатель открыл всем желающим список персональных данных всех сотрудников компании-конкурента, включая их мобильные телефоны. Наиболее явным вариантом прямого ущерба могли бы стать иски сотрудников с требованием возмещения морального вреда, причиненного утечками персональных данных. Кроме исковых требований о возмещении морального вреда к категории прямого ущерба относятся:

• исковые требования контрагентов, связанные с распространением сведений, содержащих их коммерческую тайну;
• штрафы регуляторов деятельности, например, Роскомнадзора или Центрального банка;
• расходы на выкуп информации – часто хакеры, похитившие важные данные, предлагают вернуть их за плату;
• расходы на восстановление разрушенных систем информационной безопасности или на обновление программного обеспечения;
• кража криптовалют.

Так, в 2017 году наибольший прямой ущерб от преступлений в сфере информационной безопасности в размере 31 миллиона долларов понесла одна из компаний – стартапов в области блокчейна. Хакеры взломали кошелек компании Tether и получили данные обо всех трансакциях, связанных с эмиссией валюты. Вероятно, о многих аналогичных ситуациях просто не сообщается в прессе, по мнению экспертов, до 15 % электронных токенов становятся добычей хакеров. С точки зрения самых крупных сумм расходов на восстановление систем безопасности в 2017 году пострадало бюро кредитных историй Equifax. Хакерам удалось похитить информацию о личных делах 145 миллионов человек, что примерно эквивалентно половине жителей США. Расходы на восстановление системы и компенсацию вреда составили около 90 миллионов долларов. Американское законодательство строго регламентирует комплекс необходимых мер, проводимых в случае утраты важных сведений, среди них:

• уведомление пострадавших;
• создание call-центров и горячих линий, службы для общения с инвесторами;
• общение с прессой и проведение пиар-кампаний, призванных смягчить последствия;
• участие в судебном расследовании.

Средний ущерб для крупной компании в случае утраты ею персональной информации физических лиц в значимом масштабе составляет около 4 миллионов долларов. Потери включают в себя и судебные издержки, и информационное сопровождение, и неполученную прибыль из расчета на одну учетную запись.

Косвенный ущерб коммерческих организаций

Косвенный ущерб может выражаться в разных видах. Он не прямо рассчитывается из совокупности сумм убытков и расходов на восстановление нарушенных прав, а формируется за счет:

• потери клиентов, которые уходят в более защищенные банки или адвокатские конторы. Так, исследование Cost of a Data Breach, проведенное американским Ponemon Institute, говорит о том, что более 59% клиентов организаций, пострадавших от деятельности хакеров или инсайдеров, готовы сменить их на другого поставщика услуг;
• потери рынков, захваченных конкурентами, поставившими своей целью уничтожение контрагента;
• расходов на разработку нового товара или технологии, данные о которых были захвачены конкурентами, использовавшими ноу-хау;
• падения капитализации компании, снижения стоимости ее акций или облигаций;
• снижения привлекательности бренда;
• увеличения расходов на рекламу и пиар;
• рейдерских атак, основанных на полученной конфиденциальной информации, которые могут стать причиной полной потери бизнеса.

Рассчитать такой ущерб от утечки конфиденциальных данных на момент его причинения очень сложно, он может накапливаться как снежный ком на протяжении нескольких лет.

Ущерб для частных лиц

В России частные лица меньше страдают от преступлений, связанных с утечками информации, чем в США, из-за меньшей распространенности в Сети данных кредитных карт и страховых полисов. В США получение такой информации становится средством обогащения. Так, в 2017 году Скотт Менеджед, один из участников популярного телевизионного шоу, смог завладеть персональными данными более 200 человек и, используя их, получил кредиты на 2 миллиона долларов. После поимки преступник был приговорен к 17 годам тюрьмы.

Также значимым риском для американцев становится появление в открытом доступе номеров их карт медицинского страхования, с помощью которых можно получать и кредитование, и платные медицинские услуги за чужой счет. В расчете на одну карту стоимость ее на черном рынке составляет всего 1 доллар, но вреда такая потеря способна причинить намного больше. Российские граждане таким образом не страдают, наибольшим риском остается моральный ущерб от попадания в Сеть конфиденциальных данных, например, фотографий в процессе пластической операции или переговоров с не рекомендованными лицами.

Особенности ущерба для банков

Стандарты информационной безопасности в деятельности коммерческих банков предполагают, что наиболее серьезные риски утраты лежат в сфере деятельности инсайдеров. Разработанные Центральным банком нормативные документы предлагают меры и способы борьбы с возможными утечками банковской тайны. Для кредитных учреждений возможный ущерб от преступлений в сфере информационной безопасности лежит в двух плоскостях:

• утрата персональных данных, сведений о клиентах или сделках;
• прямое хищение денежных средств со счетов банков и их клиентов.

В первом случае известны ситуации, когда недобросовестные клиентские менеджеры уносили базы данных клиентов в другие кредитные учреждения, полностью лишив банк возможности получать прибыль от своей деятельности. Во втором случае информации о проникновении в системы банковских счетов практически нет, так как ее разглашение могло бы повредить репутации банковского учреждения. В Сети появляются данные о не более чем 8–10 случаях утечки конфиденциальной информации в год.

Защита от утечек

Предотвратить ситуации, схожие с произошедшей на Первом канале, можно, используя возможности современных DLP-решений, которые способны предотвратить копирование или перенаправление важной информации по внешним каналам передачи данных. Кроме того, необходимы регулярные и внезапные проверки рабочих станций и сетевых хранилищ при помощи сканирования файловых систем в целях обнаружения размещенной не в соответствии с требованиями протоколов безопасности конфиденциальной информации.

Помимо программных способов борьбы с утечками необходима системная работа с персоналом, своевременное выявление инсайдеров. Поиск брешей в защите должен производиться с учетом всех современных технологий, необходимо проведение аудита и контроль над всеми новыми технологиями, направленными на организацию утечек конфиденциальных данных.

Профессиональная защита от утечек информации предполагает мониторинг систем в ежедневном режиме и принятие организационных мер для снижения размера ущерба, например, работу с прессой. Любые риски информационного характера могут предупреждаться на разных уровнях. Пока в российском законодательстве не разработана система обязательных мер, предпринимаемых в случае утечки, размер ущерба будет меньше, чем в аналогичной ситуации у западных компаний, еще и потому, что средняя стоимость судебных издержек в стране пока меньше, чем в США.