Экспертно-аналитический центр ГК InfoWatch провел исследование «Оценка ущерба от утечек информации и затрат на ликвидацию последствий». Цель исследования — определить, насколько объективно бизнес воспринимает проблему с утечками данных и как оценивает ущерб от них. Результаты исследования показали российским компаниям реальный размер убытков, которые могут возникать в случае ИБ-инцидентов.
Цифры
Согласно результатам исследования, самыми дорогостоящим ущербом утечек данных стали убытки от сорванных сделок и затраты на ИБ-аудит: в среднем до 5 млн рублей расходов за один инцидент.
Наиболее расходные категории по итогам исследования составляют:
· сорванные сделки — до 5 млн рублей;
· проведение аудита информационной безопасности и оценка рисков — до 5 млн рублей;
· обучение персонала после утечки информации — до 5 млн рублей;
· проведение компьютерно-технической экспертизы — до 3,4 рублей;
· увеличение страховых взносов — до 3,3 млн рублей;
· оплата расследования экспертным организациям — до 1,7 млн рублей).
Самые дорогостоящие утечки:
· персональные данные —45% опрошенных;
· платежная информация — 41%;
· коммерческая тайна — 41%.
Каждый ИБ-инцидент влечет за собой комплекс возможных последствий. Это потери от приостановки деятельности, уплата выкупа злоумышленнику, кража денег, потеря клиентов, сорванные сделки. Работа непосредственно с инцидентом приводит к отдельным расходам на обнаружение и расследование, несет затраты на ликвидацию и восстановление, модернизацию ИТ-инфраструктуры и повышение квалификации персонала. Со стороны государства предусмотрены различные виды наказания, а недавно введены оборотные штрафы за утечки данных и соответствующие поправки в КоАП РФ и УК РФ.
Согласно данным ЭАЦ InfoWatch, средний ущерб от утечки информации достигает — в среднем 11,5 млн рублей. По максимальным оценкам пострадавших организаций — более 41 млн.
«Стоит отметить, что названные суммы – это оценка представителей среднего и крупного бизнеса, и она не включает в себя оценку крупнейших компаний. По данным предыдущих исследований, в первом полугодии 2024 года утекло почти 1 млрд записей (986 млн.) персональных данных, и больше половины этого объема пришлись на один инцидент, зарегистрированный Роскомнадзором. Очевидно, что материальные потери от утечек подобного масштаба существенно выше озвученных в ходе опроса сумм. Однако представители крупнейших компаний не готовы их комментировать», — рассказала главный аналитик-эксперт ЭАЦ InfoWatch Дарья Пырина
Оценка ущерба
В ЭАЦ InfoWatch отмечают, что большинство организаций по-прежнему детально не оценивают реальный ущерб от инцидентов — и это несмотря на то, что компании считают утечки данных серьезной угрозой. Согласно исследованию, 22% столкнувшихся с утечками данных компаний не подсчитала убытки, 39% организаций провели только общую оценку ущерба и не вели раздельный учет затрат. 37% компаний подошли оценили ущерб и затраты на ликвидацию последствий по конкретным статьям.
«Практика оценки ущерба от утечек информации в российских организациях остается на начальном уровне развития. Организации признают необходимость такой оценки, но использование системных подходов пока является исключением, что говорит о низком уровне осведомленности о реальных последствиях утечек и, соответственно, приводит к недостаточной готовности к будущим инцидентам. При этом большинство респондентов оценивают ущерб от утечек как существенный и ощутимый, независимо от типов украденных данных, в некоторых случаях — даже как угрозу существования организации», — говорит Дарья Пырина.
Как проводилось исследование
Исследование основано на информации из опроса представителей российских компаний, который проводила группа ЦИРКОН по заказу ГК InfoWatch, а также собственных исследований ЭАЦ и опросов Ассоциации по вопросам защиты информации (BISA). Участники исследования — преимущественно директора и заместители руководителей средних и крупных промышленных организаций, компаний из сфер строительства, торговли, образования, транспорта, ИТ и ИБ.
В опросе участникам представлена возможность выбрать, как отвечать: либо от имени организации, основываясь на опыте и реальных потерях, либо с экспертной точки зрения — полагаясь на профессиональный опыт и оценивая возможный ущерб для организаций того типа, в котором они работают. 60% от числа опрошенных ответили с экспертной позиции. В числе тех, кто ответил от имени организаций —преимущественно сотрудники, отвечающие за экономическую и комплексную безопасность, ИТ, управление рисками и финансы.