Бывший сотрудник лихтенштейнского банка LGT Хайнрих Кибер недавно стал настоящей знаменитостью. В феврале нынешнего года он продал приватную базу своего бывшего работодателя немецким и британским спецслужбам, выручив за нее более 7 млн. долл. Пример Кибера наглядно показал, насколько прибыльным может оказаться банковский инсайд.

Напомним, что в «базе Кибера» содержались сведения о банковских счетах немецких предпринимателей, которые использовали банки Лихтенштейна для уклонения от налогов. Для немецких спецслужб покупка оказалась крайне выгодной — уже спустя неделю она окупилась практически в шесть раз. Однако банку LGT и всей финансовой системе Лихтенштейна Кибер нанес поистине невосполнимый ущерб.

Современная реальность такова, что банки довольно часто теряют сведения о собственных клиентах. В этой статье мы постараемся оценить средний материальный ущерб банков от инцидентов подобного рода.

В большинстве случаев, чтобы получить численную информацию о том или ином показателе, компании проводят специальные исследования. Мы же поступим проще — сведем в единое целое отдельные показатели нескольких отраслевых опросов. В качестве отправной точки возьмем традиционный отчет компании Deloitte — «Global Security Survey 2007», в рамках которого было опрошено 169 крупных финансовых компаний по всему миру.

По данным Deloitte, в финансовых компаниях происходит целый спектр внутренних инцидентов, имеющих различную степень опасности (табл. 1). Легко заметить, что 12% респондентов Deloitte теряли в 2007-м персональные сведения клиентов, а еще 10% — конфиденциальную информацию о них. Таким образом, утечки допустили как минимум 22% компаний, причем большинство из них зафиксировали более одного инцидента.

По оценкам аналитического центра компании Perimetrix, к данным Deloitte следует прибавить еще по крайней мере 10—15%, поскольку результаты Deloitte отражают количество компаний, которые знают о случившихся утечках, тогда как известна масса случаев, когда об инцидентах в компаниях узнавали только после того, как злоумышленники реально воспользовались пропавшей информацией.


Рис. 1. Количество скомпрометированных записей в результате наиболее масштабной утечки (среди компаний, допускавших утечки информации)
Рис. 1. Количество скомпрометированных записей в результате наиболее масштабной утечки (среди компаний, допускавших утечки информации)
Чтобы оценить масштабы утечек, обратимся к другому исследованию Deloitte «2007 Privacy & Data Protection Survey», в котором приводятся данные о среднем количестве скомпрометированных приватных записей (рис. 1). Данный параметр является ключевым при определении материальных потерь в результате инцидента, поскольку основные расходы на ликвидацию последствий этого инцидента зависят именно от него. Чем больше записей было скомпрометировано, тем больше людей придется оповестить и тем больший резонанс вызовет инцидент в прессе.

Исходя из этих данных, легко оценить среднее количество потерянных записей. Для этого исключаем категории «не уверен» и «нет ответа», нормируем значения остальных показателей, умножаем их на среднее число записей в категории и суммируем. Получаем, что в среднем из компаний финансовой сферы «утекает» примерно 11 000 записей (табл. 2).

В данном расчете рассматривались только те компании, которые допустили хотя бы одну утечку информации. Реальное количество скомпрометированных записей может оказаться значительно больше, поскольку Deloitte приводит информацию только по наиболее масштабной утечке. Вместе с тем одна и та же организация может допустить сразу несколько инцидентов, каждый из которых приводит к значительному числу пострадавших.

Напомним, что, по данным первого исследования Deloitte, утечки допускают 22% финансовых компаний. Умножаем эту цифру на количество скомпрометированных записей и получаем, что в среднем крупные финансовые компании теряют по 2400 записей в год. Этот показатель включает в себя все организации, независимо от того, допускали они утечки или нет.

Чтобы подсчитать материальный ущерб, обратимся к исследованию Ponemon Institute «2007 Annual Study: The Cost of data breach». Одним из главных результатов этого исследования является средняя стоимость утечки всего лишь одной приватной записи. По данным Ponemon, в финансовом секторе она составляет 238 долл. (рис. 2).


Рис. 2. Стоимость утечки одной приватной записи (в долл.)
Рис. 2. Стоимость утечки одной приватной записи (в долл.)
Каким образом получается эта сумма? Она складывается из целого списка различных факторов, каждый из которых требует материальных затрат. Действительно, при возникновении утечки требуется:

 провести расследование и понять, почему случился инцидент;
 оповестить пострадавших в письменной форме; организовать для них линию помощи;
 оплатить услуги консультантов по безопасности;
 закупить решения для минимизации риска аналогичных инцидентов;
 оплатить услуги юристов в случае судебных разбирательств;
 провести пиар-кампанию, чтобы успокоить общественное мнение;
 возможно, выплатить штрафы регуляторам.

Однако наибольшие материальные потери имеют совершенно другой, косвенный характер. И связаны они с ущербом для репутации компании и дальнейшим оттоком клиентов. На репутационные потери приходится 56% убытков финансовых компаний, или 134 долл. на запись в численном выражении.

Таким образом, общий средний ущерб крупных банков от утечек составляет примерно 573 тыс. долл. в год. Еще раз подчеркнем, что в данном числе учтены все финансовые организации, и даже те, которые утечек не допускали. Это означает, что внедрение системы защиты будет заведомо оправданно, если ее стоимость окажется ниже указанного значения.

Легко понять, что средний ущерб от одной утечки в финансовых организациях составил 2,6 млн. долл. Конечно, к данной сумме следует относиться с изрядной долей скепсиса, поскольку она была получена в результате косвенных вычислений, основанных на опросе игроков финансового рынка. Вместе с тем эта оценка дает представление о реальных масштабах потерь, которые несут банки в результате всего лишь одной угрозы информационной безопасности.
C автором статьи, экспертом по ИТ-безопасности, можно связаться по адресу: danil.anisimov@gmail.com 

Таблица 1. Распределение внутренних инцидентов по типам атак
Тип инцидента
Доля компаний, зафиксировавших инциденты в 2007 г., %
только один раз
более одного раза
Вирусы / черви, занесенные в информационную систему изнутри компании
8
13
Внутренние инциденты, связанные с беспроводными сетями
1
0
Потеря / компрометация персональных данных клиентов
4
8
Внутреннее финансовое мошенничество с использованием информационных систем
7
11
Кража или утечка интеллектуальной собственности (например, утечка списка клиентов, приведшая к сокращению клиентской базы)
3
7
Случайные внутренние инциденты
5
13
Другие внутренние инциденты
2
10
Источник: Deloitte, 2007 г.

Таблица 2. Расчет среднего количества потерянных записей
Категория
Нормированное значение, %
Потеряно записей
Более 25 тыс.
15,5
50Кх0,155=7771
От 5000 до 20 тыс.
20,1
12,5Кх0,201=2512
От 1000 до 5000
17,6
3Кх0,176=527
От 100 до 1000
14,3
550х0,143=79
Менее 100
20,6
50х0,206=10
Ни одной записи не потеряно
11,9
0
Всего: 10 899