Сколько стоит информационная безопасность и сколько можно потерять игнорируя ее?
Дата публикации - 26.02.2020 г.
Автор -Андрей Бармута
руководитель департамента разработки
Сайт - falcongaze.com
Ключевые слова: Falcongaze, угрозы ИБ, расходы, анализ бизнес-процессов, утечка данных, риски, репутация, системы безопасности.
Стоимость и угрозы информационной безопасности нельзя рассчитать общим для всех методом, такого калькулятора нет. Можно сравнить прайсы разных продуктов и умножить на количество сотрудников, но эта цифра слабо предскажет реальные расходы для конкретного бизнеса.
Штат не единственный фактор, аспектов, на самом деле, много. Могут играть роль требования, накладываемые сферой деятельности, могут существовать внутренние предпочтения, из-за которых нужно будет кастомизировать систему, что выльется в дополнительные расходы. К тому же системы изначально отличаются друг от друга не только ценой, но и возможностями. К примеру, наш продукт SecureTower содержит инструменты для контроля рабочего времени сотрудников и анализа бизнес-процессов. Это сокращает расходы на отдельные решения для этих задач.
Посчитать потенциальный урон от угроз еще сложнее. Здесь нужно оценивать, с какой информацией имеет дело компания, учитывать законодательство, которому она подчиняется, какую может понести ответственность в случае утечки данных.
Говоря об угрозах, важно учитывать масштаб компаний. Для крупных утечки информации и хакерские атаки оборачиваются расходами в десятки и даже сотни миллионов долларов. Недавний пример. Американская компания Equifax занимается оценкой кредитных рисков. Это одна из трех крупнейших компаний в этой сфере. В 2017 году были украдены данные о более чем 145 миллионах клиентов этой компании. Equifax в итоге обязалась выплатить около 700 миллионов долларов в виде штрафов и компенсаций пострадавшим сторонам. Даже при ее обороте в несколько миллиардов это очень чувствительная сумма.
И это была не какая-то хитроумная атака с использованием новейших методов обхода систем безопасности. Equifax еще в конце 2016 года была предупреждена о наличии бреши в информационной системе, относительно легко уязвимой. Мы не знаем точно, почему они сразу же не приняли меры, но возможно имел место банальный человеческий фактор, который обернулся уроном в 700 миллионов.
К тому же не был упомянут репутационный урон, который может сказываться годами. Не было учтено обрушение котировок ценных бумаг компании на бирже (примерно со $140 до $90). Не упомянуты недополученная прибыль и усиление позиций конкурентов. Также подобные истории сильно бьют по топ менеджменту, который часто отправляется в отставку, как было и с Equifax.
Если для крупных компаний хакерские атаки, инсайдерские сливы и случайные утечки бывают очень болезненными, то для средних и малых предприятий они бывают смертельными.
В базах той же Equifax содержится около 800 миллионов записей. Это слишком ценная компания для своих клиентов и партнеров. То есть даже в случае масштабной утечки хоть и будет какой-то отток клиентов, но критической массы он не достигнет.
А вот если компания обслуживает несколько сотен клиентов, из которых только с десяток ключевых, то слив базы с информацией о них с большой вероятностью будет означать уход практически всех клиентов к конкурентам. И опасностей может быть много, вплоть до сознательного саботажа сотрудников или торговли инсайдерской информацией.
Отдельно стоит упомянуть об особой ответственности руководителей компаний, попадающих под действие закона «О безопасности критической информационной инфраструктуры». Тут уже речь идет не только о финансовых рисках.
Подводя черту, можно сказать следующее. Если компания работает с конфиденциальной информацией, с какими-то персональными данными, хранит информацию, от которой зависит ее безопасность, то величина потенциального ущерба от инсайдерской деятельности и репутационного урона несопоставима с расходами на средства, обеспечивающие безопасность.
К тому же существует неочевидная выгода, которую компания получает от внедрения системы безопасности. Инструменты анализа рабочего времени и бизнес-процессов могут показать неэффективные звенья в организации. Их оптимизация помогает снизить издержки и увеличить продуктивность. Трудно предсказать, что именно обнаружит конкретная компания и какой финансовый эффект получит от оптимизации. Можем только сказать из опыта, что практически каждый наш клиент находит направления оптимизации в результате внедрения системы.
Falcongaze — компания разрабатывает комплексную DLP-систему SecureTower , предназначенную для защиты корпоративных данных и анализа деятельности сотрудников на рабочих местах.