По статистике, собранной Zecurion, первые утечки информации фиксируются в организациях уже во время опытного внедрения DLP-систем на ограниченном количестве рабочих станций. Заказчики говорят о том, что инциденты достаточно высокой степени серьезности фиксируются раз в несколько недель. Этот показатель варьируется от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.
Масштаб подобных инцидентов сильно различается. Потенциальный ущерб в 500 тыс. руб. может быть незначительным для компании с оборотом в сотни миллионов долларов, но критичным для бизнеса небольшой фирмы. Формальный признак серьезного инцидента — тот, о котором докладывают начальству.
Во что выливаются утечки
Несмотря на то, что посчитать вероятный (да и фактический) ущерб от утечки информации зачастую довольно проблематично, делать это необходимо хотя бы для обоснования проектов по защите информации. Последствия утечек — вопрос исключительно острый. Как правило, чем больше ущерб от утечек, тем актуальнее оказывается задача защиты информации для компании и легче аргументировать заявленный бюджет.
Примерно в половине случаев компании затрудняются оценить стоимость утечек информации, что указывает на недостаток работы в части классификации информации и оценки информационных рисков. Вторая половина опрошенных специалистов смогла привести цифры реального ущерба и оценить возможные издержки по предотвращенным инцидентам. Максимальный размер ущерба, который реально понесла компания от утечки конфиденциальных данных, составил 30 млн долл.: в этом случае источник утечки был выявлен среди топ-менеджеров компании. В среднем финансовый ущерб от каждой утечки в опрошенных организациях составил 820 тыс. долл.
Основные статьи ущерба — прямые потери, упущенная выгода, а также штрафы со стороны регуляторов. Если говорить о российской практике, то наибольшие потери компаний приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных отраслях) или из-за получения конкурентами других преимуществ.
Последствия инцидентов и санкции
В том, что компании стремятся избегать публичности в случаях утечки информации, нет ничего удивительного – репутационные риски могут быть достаточно чувствительными. Но как показывают результаты опроса, подавляющее большинство организаций не информирует об инцидентах даже собственных сотрудников. Между тем, из инцидентов важно делать правильные выводы и доводить их до персонала с тем, чтобы утечки не случались в будущем.
Если в компании ловят злонамеренного инсайдера, полезно будет информировать сотрудников об этом факте хотя бы для того, чтобы повысить бдительность. Целесообразно также рассказать о дисциплинарных мерах, которые были применены к инсайдеру с тем, чтобы уменьшить желание других сотрудников сливать информацию.