Практически каждый день появляются новости про кибермошенничество, его новые схемы и ущерб, про другие виды киберпреступлений и про утечки информации. Публикуется статистика киберпреступлений. А есть ли статистика потерь от утечек информации? Понятно, что результаты кибермошенничества, ряда других видом киберпреступлений являются одним из видов потерь от утечек информации. Но есть ещё ущерб для деловой репутации, сорванные сделки, претензии контрагентов и многое другое. А где статистика ущерба от утечек данных? Где методики?
Данные о киберпреступлениях, способах их совершений и последствиях публикуют правоохранительные органы, Центральный банк России, различные фонды, помогающие гражданам, а также социологические /исследовательские компании. Источники информации для статистики — уголовные дела, заявления в полицию, обращения в фонды и суды, отчётность банков, обзвоны социологических служб и другое.
Но практически вся публикуемая статистика — в отношении физических лиц.
То есть применительно к потерям физических лиц в наличии есть объективно проверяемая информация, в том числе признания граждан в том, что они дали себя обмануть, но признания анонимные и личные, не за другого человека, и без боязни, что к ним предъявят претензии за разглашение чужих секретов.
А вот сведений о потерях от утечек данных для юридических лиц, оценки ущерба от утечек информации практически нет. Из наиболее известных — исследования американского института Ponemon по заказу IBM, которые практически не проецируются на нашу действительность.
В случае с потерями от утечек данных из юридических лиц большинство опрашиваемых даже опасается признаться в наличии факта утечки информации, не говоря уж о том, чтобы поговорить о её причинах и потерях, о суммах и статьях расходов на выявление утечки и ликвидацию потерь. Встречается, что компании утечку не признают, даже получив штраф по решению суда. Причём ситуация одинакова как для анонимных опросов, когда известен только номер абонента, так и для условно-анонимных, когда известна компания, но данные абонента и название компании в базу не заносится.
В такой ситуации на первое место выходит т.н. «экспертная оценка», когда абонент, относящийся к категории опрашиваемых, которые могут быть в курсе факта утечки и расходов (потерь) согласно своего должностного статуса и обязанностей. Также из судебных решений мы можем узнать суммы штрафа и компенсации потерь тем, чьи данные утекли.
Таким образом, объективных данных — фактов о потерях от утечек данных из организаций и расходов на ликвидацию последствий утечек собирается значительно меньше, чем в случае с физическими лицами.
А ведь наличие статистических данных о потерях от утечек информации, желательно по отраслям и размерам компаний — мечта безопасника, позволившая бы ему убедительно обосновать ИБ-бюджет, оценить эффективность своей работы. Не так ли?
Тем не менее, исследования проводятся, и экспертно-аналитический центр ИнфоВотч опубликовал первый из серии отчётов об ущербе от утечек. Исходные данные собраны и проанализированы независимой группой компаний ЦИРКОН, в отчётах также используются другие материалы ИнфоВотч и BISA.
Интересно ваше мнение, пишите!