Убытки от сорванных сделок и затраты на аудит информационной безопасности стали самыми дорогостоящими последствиями утечек данных в российских компаниях. По каждому из указанных направлений расходы составляют в среднем до пяти млн руб. за один инцидент. Суммарный ущерб от одного инцидента пострадавшие компании оценили в сумму более 41 млн руб. Такие данные приводит экспертно-аналитический центр (ЭАЦ) ГК InfoWatch в своем исследовании «Оценка ущерба от утечек информации и затрат на ликвидацию последствий». Исследование базируется на опросе представителей российских компаний, который проводила группа «Циркон» по заказу ГК InfoWatch. В опросе принимали участие сотрудники средних и крупных промышленных предприятий, компаний из сферы строительства, торговли, ИТ/ИБ, образования, транспорта и других отраслей. Об этом CNews сообщили представители InfoWatch.
Дорогостоящие последствия
Большинство представителей бизнеса, принявших участие в опросе, сообщили, что ущерб вследствие утечек данных стал существенным и ощутимым для их компаний. Среди самых дорогостоящих респонденты назвали утечки персональных данных (их отметили 45% опрошенных), платежной информации (41%) и данных, составляющих коммерческую тайну (41%). Вопрос позволял выбрать несколько вариантов ответа.
При оценке материальных последствий утечек данных представителям компаний было предложено оценить затраты по каждому виду убытков: расходы на обнаружение и расследование инцидента, ущерб непосредственно от инцидента (потери от приостановки деятельности компании, уплата выкупа злоумышленнику, кража денег, потеря клиентов, сорванные сделки и другие), а также затраты на ликвидацию и восстановлению после инцидента и ответственность за утечку (штрафы и другие выплаты).
По полученным количественным оценкам от организаций, столкнувшихся с утечками данных, самыми дорогими категориями расходов стали: сорванные сделки (до пяти млн руб.); проведение аудита информационной безопасности и оценка рисков (до пяти млн руб.); обучение персонала после утечки информации (до пяти млн руб.); проведение компьютерно-технической экспертизы (до 3,4 млн руб.); увеличение страховых взносов (до 3,3 млн руб.); оплата расследования экспертным организациям (до 1,7 млн руб.).
Если суммировать полученные в результате исследования данные от пострадавших организаций, то средний ущерб от утечки информации достигает в среднем 11,5 млн рублей, а по максимальным оценкам пострадавших организаций — более 41 млн руб., отмечают в ЭАЦ InfoWatch.
«Стоит отметить, что названные суммы – это оценка представителей среднего и крупного бизнеса, и она не включает в себя оценку крупнейших компаний, – сказала главный аналитик-эксперт ЭАЦ InfoWatch Дарья Пырина. – По данным предыдущих исследований, в первом полугодии 2024 г. в утекло почти один млрд записей (986 млн.) персональных данных, и больше половины этого объема пришлись на один инцидент, зарегистрированный Роскомнадзором. Очевидно, что материальные потери от утечек подобного масштаба существенно выше озвученных в ходе опроса сумм. Однако представители крупнейших компаний не готовы их комментировать».
Оценить нельзя посчитать
Аналитики ЭАЦ InfoWatch обращают внимание на важный факт – несмотря на то, что компании считают утечки данных серьезной угрозой, большинство организаций по-прежнему детально не оценивают реальный ущерб от инцидентов. Согласно данным опроса, каждая пятая компания из тех, которые сталкивались с утечками данных, не подсчитывала убытки (22%), еще 39% пострадавших организаций провели только общую оценку ущерба и не вели раздельный учет затрат. 37% компаний подошли к вопросу более системно, оценив ущерб и затраты на ликвидацию последствий по конкретным статьям.
«Практика оценки ущерба от утечек информации в российских организациях остается на начальном уровне развития. Организации признают необходимость такой оценки, но использование системных подходов пока является исключением, что говорит о низком уровне осведомленности о реальных последствиях утечек и, соответственно, приводит к недостаточной готовности к будущим инцидентам. При этом большинство респондентов оценивают ущерб от утечек как существенный и ощутимый, независимо от типов украденных данных, в некоторых случаях — даже как угрозу существования организации», – сказала Дарья Пырина.
При этом по данным исследования об оценке ущерба от утечек, проведенного компанией InfoWatch и Ассоциацией по защите деловой информации (BISA) в 2023 г., ущерб в случае утечки информации оценивали более половины (51%) пострадавших организаций. В актуальном исследовании этот показатель выше, что может свидетельствовать о том, что практика оценки ущерба от утечки информации, даже в общем виде, постепенно распространяется в российских организациях, отмечают авторы исследования.
Аналитический отчет «Оценка ущерба от утечек информации и затрат на ликвидацию последствий» стал третьим в серии отчетов по результатам исследования на тему оценки ущерба от утечек информации в российских компаниях. Отчет подготовлен на базе исследования группы «Циркон», проведенного по заказу ГК InfoWatch, а также собственных исследований ЭАЦ и опросов Ассоциации по вопросам защиты информации (BISA). Главная цель проекта – определить, насколько объективно бизнес воспринимает проблему с утечками данных и как оценивает ущерб от них. Первый отчет рассматривал осознание проблемы утечек информации и осведомленности сотрудников о них. Второй отчет «Причины утечек информации, представления о рисках и направлениях угроз» был посвящен исследованию оценок источников компрометации данных.
Поделиться