Ущерб от утечки информации | Утечка информации – ущерб причиняемый бизнесу в России - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяАналитика в области ИБУтечки информацииСлучаи утечки информацииУщерб от утечки информации
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Ущерб от утечки информации

Аналитические возможности
DLP-системы
СёрчИнформ КИБ
Аналитика в области ИБ
Исследования
Утечки информации
Случаи утечки информации
Технические каналы утечки информации
Технические каналы утечки информации ГОСТ
Выявление каналов утечки информации
Утечка информации по каналам ПЭМИН
Классификация каналов утечки информации
Последствия утечки информации
Случаи утечки информации в медицине
Ущерб от утечки информации
Виброакустический канал утечки информации
Каналы утечки информации на предприятии
Каналы утечки информации в компьютерных системах
Каналы утечки информации за счет паразитных связей
Каналы утечки персональных данных
Радиоканалы утечки информации
Способы блокирования каналов утечки информации
Акустический канал утечки информации
Материально-вещественные каналы утечки информации
Оптические каналы утечки информации
Параметрические каналы утечки информации
Скрытые логические каналы утечки информации
Электромагнитные каналы утечки информации
Анализ технических каналов утечки информации
Виды технических каналов утечки информации
Мероприятия по выявлению технических каналов утечки информации
Предотвращение утечки информации по техническим каналам
Способы и средства защиты информации от утечки по техническим каналам
Угрозы реализации технических каналов утечки информации
Аналитическая работа по выявлению каналов утечки информации фирмы
Средства выявления каналов утечки информации
Разработка мероприятий по защите информации от утечки по каналам ПЭМИН
Угрозы утечки информации по каналам ПЭМИН
Причины утечки информации
Источники утечки информации
Утечка данных
Утечка данных кредитных карт
Утечка информации в облачные хранилища
Утечка информации через мобильные телефоны
Утечка конфиденциальной информации
Печать и утечка информации
Современные технологии защиты от утечки конфиденциальной информации
Утечка банковской информации
Утечка информации из компании
Утечка информации конкуренту
Утечка личной информации в сеть Интернет
Утечки персональных данных
Как защитить персональные данные от утечки
Как узнать, кто в компании сливает информацию конкурентам
Утечка коммерческой информации
Причины утечки информации на предприятии
Основные каналы утечки информации
Способы предотвращения утечки информации
Расследование утечки информации
Как избежать утечки информации
Противодействие утечкам информации
Виды угроз утечки информации

Размер ущерба от утечек информации достаточно сложно оценить в твердых суммах. Помимо прямых убытков в структуру ущерба входят репутационные издержки, потеря клиентов и рынков сбыта, стоимость замены программного обеспечения и переобучения сотрудников. Не всегда выгода, получаемая заказчиками похищения, сравнима по стоимости с теми расходами, которые несет пострадавшая компания.

Виды угроз

Среди тех, кто может оказаться в стане похитителей чужой информации, не только публичные фигуры – хакеры или компании, специализирующиеся на взломе чужой переписки, например, Шалтай-Болтай. Да, громкий эффект от появления в открытой печати личных писем вице-премьеров или иных публичных фигур производит впечатление, нередко влечет за собой по-настоящему крупный ущерб. Гораздо опасней для бизнеса хищение данных с помощью средств конкурентной разведки, а для граждан – появление в открытом доступе баз данных, содержащих номера автомобилей, сведения об их медицинских историях или объектах недвижимости, записи телефонных переговоров. Несмотря на меры защиты персональных сведений, деятельность Роскомнадзора, внедрение новейших систем защиты, уровень рисков не становится меньше.

Ущерб для государственных организаций

Государственные структуры оказываются в той же зоне риска, что и коммерческие. Угрозу для них несут не конкуренты, а следующие группы лиц:

  • организации, прямо заинтересованные в хищении государственных секретов, важной информации, ноу-хау, иной информации, которая может быть использована в коммерческих целях;
  • хакеры, делающие себе имя на громких скандалах со взломом защищенных систем и утечкой данных;
  • иностранные разведки и террористические организации.

Обилие рисков вынуждает государственные структуры относиться к вопросам защиты серьезнее, чем это могут позволить себе коммерческие организации. Причиненный ущерб влечет за собой не только финансовые потери для бюджета, но и прямые угрозы безопасности граждан. Иногда они не столь опасны, но публичны. Так, в январе 2017 года из защищенных ресурсов Первого канала телевидения в Сеть утекла новая серия сериала «Шерлок». Ситуация продемонстрировала критические недоработки в системе информационной безопасности крупнейшего российского телеканала, связанные с возможностью хищения контента, защищенного соглашениями о соблюдении лицензионных требований. Казалось бы, незначительное явление, но оно дает возможность представить риски, связанные с внешним проникновением в базы данных и заменой информации в важнейших передачах. Контент находился в защищенной базе, практически без доступа к ней с сетевых подключений, и, скорее всего, он был похищен в связи с действиями инсайдеров, а не абстрактных хакеров, тем не менее, сам факт хищения говорит о халатности служб, отвечающих за защиту информационного периметра.

Канал прокомментировал ситуацию, отметив, что она произошла из-за деятельности одного из сотрудников, который «нарушил строгие протоколы безопасности, допустив преступную халатность при исполнении должностных обязанностей». Ущерб в данном случае имел и репутационный характер, он подорвал доверие партнеров к каналу и его системам защиты коммерческой информации, и прямой – аудит, проверки, обновление программных продуктов. Аналогично дурную репутацию системам защиты государственных организаций дал случай непреднамеренной рассылки сотрудниками ПФР данных 17 тысяч застрахованных лиц, произошедший летом 2017 года. Ущерб выражался не только в моральном ущербе, причиненном этим лицам, но и в необходимости совершенствования систем контроля над данными, которые могут быть непреднамеренно переданы по каналам электронной почты.

Прямой ущерб для коммерческих организаций

Любопытно, что не защищены от утечек и компании, профессионально занимающиеся защитой информации. В апреле 2017 года несколько ключевых игроков рынка получили рассылку с предложением приобрести список клиентов конкурента. Недоработка в отношениях с собственным персоналом привела к возможному сокращению клиентской базы. Нельзя доверять разработчикам, которые не могут защитить собственные ресурсы. Помимо клиентской базы анонимный доброжелатель открыл всем желающим список персональных данных всех сотрудников компании-конкурента, включая их мобильные телефоны. Наиболее явным вариантом прямого ущерба могли бы стать иски сотрудников с требованием возмещения морального вреда, причиненного утечками персональных данных. Кроме исковых требований о возмещении морального вреда к категории прямого ущерба относятся:

  • исковые требования контрагентов, связанные с распространением сведений, содержащих их коммерческую тайну;
  • штрафы регуляторов деятельности, например, Роскомнадзора или Центрального банка;
  • расходы на выкуп информации – часто хакеры, похитившие важные данные, предлагают вернуть их за плату;
  • расходы на восстановление разрушенных систем информационной безопасности или на обновление программного обеспечения;
  • кража криптовалют.

Так, в 2017 году наибольший прямой ущерб от преступлений в сфере информационной безопасности в размере 31 миллиона долларов понесла одна из компаний – стартапов в области блокчейна. Хакеры взломали кошелек компании Tether и получили данные обо всех трансакциях, связанных с эмиссией валюты. Вероятно, о многих аналогичных ситуациях просто не сообщается в прессе, по мнению экспертов, до 15 % электронных токенов становятся добычей хакеров. С точки зрения самых крупных сумм расходов на восстановление систем безопасности в 2017 году пострадало бюро кредитных историй Equifax. Хакерам удалось похитить информацию о личных делах 145 миллионов человек, что примерно эквивалентно половине жителей США. Расходы на восстановление системы и компенсацию вреда составили около 90 миллионов долларов. Американское законодательство строго регламентирует комплекс необходимых мер, проводимых в случае утраты важных сведений, среди них:

  • уведомление пострадавших;
  • создание call-центров и горячих линий, службы для общения с инвесторами;
  • общение с прессой и проведение пиар-кампаний, призванных смягчить последствия;
  • участие в судебном расследовании.

Средний ущерб для крупной компании в случае утраты ею персональной информации физических лиц в значимом масштабе составляет около 4 миллионов долларов. Потери включают в себя и судебные издержки, и информационное сопровождение, и неполученную прибыль из расчета на одну учетную запись.

Косвенный ущерб коммерческих организаций

Косвенный ущерб может выражаться в разных видах. Он не прямо рассчитывается из совокупности сумм убытков и расходов на восстановление нарушенных прав, а формируется за счет:

  • потери клиентов, которые уходят в более защищенные банки или адвокатские конторы. Так, исследование Cost of a Data Breach, проведенное американским Ponemon Institute, говорит о том, что более 59% клиентов организаций, пострадавших от деятельности хакеров или инсайдеров, готовы сменить их на другого поставщика услуг;
  • потери рынков, захваченных конкурентами, поставившими своей целью уничтожение контрагента;
  • расходов на разработку нового товара или технологии, данные о которых были захвачены конкурентами, использовавшими ноу-хау;
  • падения капитализации компании, снижения стоимости ее акций или облигаций;
  • снижения привлекательности бренда;
  • увеличения расходов на рекламу и пиар;
  • рейдерских атак, основанных на полученной конфиденциальной информации, которые могут стать причиной полной потери бизнеса.

Рассчитать такой ущерб от утечки конфиденциальных данных на момент его причинения очень сложно, он может накапливаться как снежный ком на протяжении нескольких лет.

Ущерб для частных лиц

В России частные лица меньше страдают от преступлений, связанных с утечками информации, чем в США, из-за меньшей распространенности в Сети данных кредитных карт и страховых полисов. В США получение такой информации становится средством обогащения. Так, в 2017 году Скотт Менеджед, один из участников популярного телевизионного шоу, смог завладеть персональными данными более 200 человек и, используя их, получил кредиты на 2 миллиона долларов. После поимки преступник был приговорен к 17 годам тюрьмы.

Также значимым риском для американцев становится появление в открытом доступе номеров их карт медицинского страхования, с помощью которых можно получать и кредитование, и платные медицинские услуги за чужой счет. В расчете на одну карту стоимость ее на черном рынке составляет всего 1 доллар, но вреда такая потеря способна причинить намного больше. Российские граждане таким образом не страдают, наибольшим риском остается моральный ущерб от попадания в Сеть конфиденциальных данных, например, фотографий в процессе пластической операции или переговоров с не рекомендованными лицами.

Особенности ущерба для банков

Стандарты информационной безопасности в деятельности коммерческих банков предполагают, что наиболее серьезные риски утраты лежат в сфере деятельности инсайдеров. Разработанные Центральным банком нормативные документы предлагают меры и способы борьбы с возможными утечками банковской тайны. Для кредитных учреждений возможный ущерб от преступлений в сфере информационной безопасности лежит в двух плоскостях:

  • утрата персональных данных, сведений о клиентах или сделках;
  • прямое хищение денежных средств со счетов банков и их клиентов.

В первом случае известны ситуации, когда недобросовестные клиентские менеджеры уносили базы данных клиентов в другие кредитные учреждения, полностью лишив банк возможности получать прибыль от своей деятельности. Во втором случае информации о проникновении в системы банковских счетов практически нет, так как ее разглашение могло бы повредить репутации банковского учреждения. В Сети появляются данные о не более чем 8–10 случаях утечки конфиденциальной информации в год.

Защита от утечек

Предотвратить ситуации, схожие с произошедшей на Первом канале, можно, используя возможности современных DLP-решений, которые способны предотвратить копирование или перенаправление важной информации по внешним каналам передачи данных. Кроме того, необходимы регулярные и внезапные проверки рабочих станций и сетевых хранилищ при помощи сканирования файловых систем в целях обнаружения размещенной не в соответствии с требованиями протоколов безопасности конфиденциальной информации.

Помимо программных способов борьбы с утечками необходима системная работа с персоналом, своевременное выявление инсайдеров. Поиск брешей в защите должен производиться с учетом всех современных технологий, необходимо проведение аудита и контроль над всеми новыми технологиями, направленными на организацию утечек конфиденциальных данных.

Профессиональная защита от утечек информации предполагает мониторинг систем в ежедневном режиме и принятие организационных мер для снижения размера ущерба, например, работу с прессой. Любые риски информационного характера могут предупреждаться на разных уровнях. Пока в российском законодательстве не разработана система обязательных мер, предпринимаемых в случае утечки, размер ущерба будет меньше, чем в аналогичной ситуации у западных компаний, еще и потому, что средняя стоимость судебных издержек в стране пока меньше, чем в США.

 

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.