Бывший сотрудник лихтенштейнского банка LGT Хайнрих Кибер недавно стал настоящей знаменитостью. В феврале нынешнего года он продал приватную базу своего бывшего работодателя немецким и британским спецслужбам, выручив за нее более 7 млн. долл. Пример Кибера наглядно показал, насколько прибыльным может оказаться банковский инсайд.
Напомним, что в «базе Кибера» содержались сведения о банковских счетах немецких предпринимателей, которые использовали банки Лихтенштейна для уклонения от налогов. Для немецких спецслужб покупка оказалась крайне выгодной — уже спустя неделю она окупилась практически в шесть раз. Однако банку LGT и всей финансовой системе Лихтенштейна Кибер нанес поистине невосполнимый ущерб.Современная реальность такова, что банки довольно часто теряют сведения о собственных клиентах. В этой статье мы постараемся оценить средний материальный ущерб банков от инцидентов подобного рода.
В большинстве случаев, чтобы получить численную информацию о том или ином показателе, компании проводят специальные исследования. Мы же поступим проще — сведем в единое целое отдельные показатели нескольких отраслевых опросов. В качестве отправной точки возьмем традиционный отчет компании Deloitte — «Global Security Survey 2007», в рамках которого было опрошено 169 крупных финансовых компаний по всему миру.
По данным Deloitte, в финансовых компаниях происходит целый спектр внутренних инцидентов, имеющих различную степень опасности (табл. 1). Легко заметить, что 12% респондентов Deloitte теряли в 2007-м персональные сведения клиентов, а еще 10% — конфиденциальную информацию о них. Таким образом, утечки допустили как минимум 22% компаний, причем большинство из них зафиксировали более одного инцидента.
По оценкам аналитического центра компании Perimetrix, к данным Deloitte следует прибавить еще по крайней мере 10—15%, поскольку результаты Deloitte отражают количество компаний, которые знают о случившихся утечках, тогда как известна масса случаев, когда об инцидентах в компаниях узнавали только после того, как злоумышленники реально воспользовались пропавшей информацией.
Рис. 1. Количество скомпрометированных записей в результате наиболее масштабной утечки (среди компаний, допускавших утечки информации) |
Исходя из этих данных, легко оценить среднее количество потерянных записей. Для этого исключаем категории «не уверен» и «нет ответа», нормируем значения остальных показателей, умножаем их на среднее число записей в категории и суммируем. Получаем, что в среднем из компаний финансовой сферы «утекает» примерно 11 000 записей (табл. 2).
В данном расчете рассматривались только те компании, которые допустили хотя бы одну утечку информации. Реальное количество скомпрометированных записей может оказаться значительно больше, поскольку Deloitte приводит информацию только по наиболее масштабной утечке. Вместе с тем одна и та же организация может допустить сразу несколько инцидентов, каждый из которых приводит к значительному числу пострадавших.
Напомним, что, по данным первого исследования Deloitte, утечки допускают 22% финансовых компаний. Умножаем эту цифру на количество скомпрометированных записей и получаем, что в среднем крупные финансовые компании теряют по 2400 записей в год. Этот показатель включает в себя все организации, независимо от того, допускали они утечки или нет.
Чтобы подсчитать материальный ущерб, обратимся к исследованию Ponemon Institute «2007 Annual Study: The Cost of data breach». Одним из главных результатов этого исследования является средняя стоимость утечки всего лишь одной приватной записи. По данным Ponemon, в финансовом секторе она составляет 238 долл. (рис. 2).
Рис. 2. Стоимость утечки одной приватной записи (в долл.) |
• провести расследование и понять, почему случился инцидент;
• оповестить пострадавших в письменной форме; организовать для них линию помощи;
• оплатить услуги консультантов по безопасности;
• закупить решения для минимизации риска аналогичных инцидентов;
• оплатить услуги юристов в случае судебных разбирательств;
• провести пиар-кампанию, чтобы успокоить общественное мнение;
• возможно, выплатить штрафы регуляторам.
Однако наибольшие материальные потери имеют совершенно другой, косвенный характер. И связаны они с ущербом для репутации компании и дальнейшим оттоком клиентов. На репутационные потери приходится 56% убытков финансовых компаний, или 134 долл. на запись в численном выражении.
Таким образом, общий средний ущерб крупных банков от утечек составляет примерно 573 тыс. долл. в год. Еще раз подчеркнем, что в данном числе учтены все финансовые организации, и даже те, которые утечек не допускали. Это означает, что внедрение системы защиты будет заведомо оправданно, если ее стоимость окажется ниже указанного значения.
Легко понять, что средний ущерб от одной утечки в финансовых организациях составил 2,6 млн. долл. Конечно, к данной сумме следует относиться с изрядной долей скепсиса, поскольку она была получена в результате косвенных вычислений, основанных на опросе игроков финансового рынка. Вместе с тем эта оценка дает представление о реальных масштабах потерь, которые несут банки в результате всего лишь одной угрозы информационной безопасности.
C автором статьи, экспертом по ИТ-безопасности, можно связаться по адресу: danil.anisimov@gmail.com
Таблица 1. Распределение внутренних инцидентов по типам атак | ||
Тип инцидента | Доля компаний, зафиксировавших инциденты в 2007 г., % | |
только один раз | более одного раза | |
Вирусы / черви, занесенные в информационную систему изнутри компании | 8 | 13 |
Внутренние инциденты, связанные с беспроводными сетями | 1 | 0 |
Потеря / компрометация персональных данных клиентов | 4 | 8 |
Внутреннее финансовое мошенничество с использованием информационных систем | 7 | 11 |
Кража или утечка интеллектуальной собственности (например, утечка списка клиентов, приведшая к сокращению клиентской базы) | 3 | 7 |
Случайные внутренние инциденты | 5 | 13 |
Другие внутренние инциденты | 2 | 10 |
Источник: Deloitte, 2007 г. |
Таблица 2. Расчет среднего количества потерянных записей | ||
Категория | Нормированное значение, % | Потеряно записей |
Более 25 тыс. | 15,5 | 50Кх0,155=7771 |
От 5000 до 20 тыс. | 20,1 | 12,5Кх0,201=2512 |
От 1000 до 5000 | 17,6 | 3Кх0,176=527 |
От 100 до 1000 | 14,3 | 550х0,143=79 |
Менее 100 | 20,6 | 50х0,206=10 |
Ни одной записи не потеряно | 11,9 | 0 |
Всего: 10 899 |