Проект видавничого дому «МЕДІА-ПРО»
Как оценить бизнес-риски, связанные с утечкой информации? | director.com.ua

Как оценить бизнес-риски, связанные с утечкой информации?

Автор статьи: 

Алексей ДРОЗД

Заглавное изображение: 

У каждой серьезной компании наверняка найдутся «коммерческие тайны», о которых не следует знать никому, кроме ее сотрудников. Достаточно вспомнить летний скандал с «прослушкой» журналистами британской газеты News of the World телефонов потенциальных героев своих репортажей, который в итоге привел к закрытию издания

Под знаком табу

Эксперты уверяют: в шести случаях из десяти для банкротства компании достаточно утечки всего лишь 20 % ее коммерческих секретов.

Список того, что не следует демонстрировать широкой публике, изменяется в зависимости от вида деятельности фирмы, но в общих чертах состоит из следующих пунктов:
•документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договоры и т. д.);
•персональные данные клиентов и сотрудников организации;
•технологические и конструкторские разработки, ноу-хау компании и т. п.;
•внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т. д.);
•технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т. п.).

В то же время, согласно последним исследованиям систем IT-безопасности, проведенным Департаментом внутренней безопасности США, большинство утечек данных происходят по вине человека. Тесты показали, что нынешние автоматизированные средства безопасности сравнительно неплохо защищают компьютеры, однако злоумышленники все чаще используют в качестве способа вторжения в систему банальную человеческую глупость. И, конечно же, не стоит забывать об инсайдерах, промышленном шпионаже и конкурентной разведке.

Большинство руководителей сходятся во мнении, что защищать информацию надо. Как это сделать, могут подсказать начальники службы безопасности предприятия. Важным шагом в укреплении позиций компании в области ИБ становится внедрение DLP-системы (от англ. Data Leak Prevention — предотвращение утечек информации). Это программное решение призвано противостоять утечкам конфиденциальных сведений. Однако главным недостатком DLP-системы является ее стоимость: в среднем она составляет $100–500 в пересчете на одно рабочее место. Кроме того, ее внедрение предполагает ведение длительных проектов, затрагивающих многие подразделения предприятия, закупку нового оборудования, а иногда и «переделку» локальной сети фирмы. Поэтому принятие решения о начале такого проекта руководством возможно лишь при наличии серьезного аргументированного обоснования.

Учитывая, что речь идет о снижении убытков и последствий от события, которое может наступить с некоторой вероятностью, топ-менеджеры предпочитают рассматривать подобную ситуацию в контексте конкретных цифр, т. е. в рамках анализа конкретных рисков для бизнеса.

С чего начать?

В теории все просто. Для принятия решения о необходимости установки DLP-системы следует сделать три «шага»:
•оценить вероятность наступления события (Палка стреляет раз в год, а сколько раз в год в компании происходят утечки информации?);
•оценить возможный ущерб (Сколько нам это будет стоить?);
•сопоставить полученную цифру со стоимостью внедрения системы.

Мировая практика показывает: если полученная цифра возможного ущерба хотя бы равна стоимости внедрения, то внедрять программу стоит. Однако чаще стоимость утечки данных в несколько раз превышает затраты на внедрение DLP. По сведениям компании SearchInform, основанным на исследованиях Ponemon Insitute, в мире она составляет $2,7 млн. Причем этот показатель с каждым годом лишь увеличивается.

Возвращаясь к нашему небольшому списку, легко заметить, что при выполнении последнего пункта не возникнет никаких проблем. Ключевая сложность заключается в реализации первых двух «шагов». Для анализа первого нужно применять качественную оценку рисков, второй же предполагает количественную. Итак, зная, с чего начать, можно приступать к конкретным действиям.

1. Первичная оценка вероятности наступления события.

Такая оценка условно состоит из двух частей:
•анализ очевидных рисков (мировые исследования, опыт других компаний, законодательство и пр.);
•анализ ситуации непосредственно в компании (аудит ИБ, внутренняя статистика инцидентов и пр.).

В случае с очевидными рисками серьезных обоснований — как этических, так и экономических — не требуется. К подобным рискам относят требования регуляторов и законодательства, внешнюю мировую статистику, а также внутренние политики безопасности, принятые самой компанией.

Требования «законников». Если в стране, где компания развернула свою деятельность, существуют законодательные акты по защите информации и персональных данных, в них прописывается не только перечень требований к субъектам, занимающимся обработкой персональных данных, но и список соответствующих санкций за их несоблюдение.

Например, в Белоруссии отдельного закона «О защите персональных данных» не существует (есть более общий — «О защите информации»), тогда как Россия и Украина уже осознали необходимость подобных нормативных актов. Так, в Украине закон «О защите персональных данных» был принят 1 июня 2010 года и окончательно вступил в силу с 1 января 2011-го.

Внешняя статистика. Пожалуй, наименее ресурсоемким инструментом оценки рисков для бизнеса служат внешние статистические данные о величинах потенциального ущерба. Подобные отчеты предоставляют: IDC (ведущая мировая аналитическая компания), ICO (Великобритания) и др. Обычно в свободном доступе эти отчеты не публикуются. Конечно, можно самостоятельно отследить случаи и последствия утечек с помощью специализированных сайтов, но нередко представленные на них сведения не являются полными, а их анализ занимает немало времени.

Внутренние политики безопасности. Зачастую требования по внедрению какой-либо системы ИБ указываются в базовых требованиях, ведь за прошедшие годы в бизнес-сообществах уже сложилось понимание необходимости внедрения набора технических средств, обеспечивающих минимальный уровень ИБ. Это могут быть как «монументальные труды» (например, международные стандарты ISO 27000, ISO 27001 и разработанные на их основе национальные стандарты безопасности), так и различные security-«гайды», выпускаемые крупными производителями средств ИБ, а иногда и просто активно практикующими специалистами.

Грамотный бизнес-руководитель, как правило, всегда готов одобрить затраты на подобную систему, поскольку такие средства защиты используются в любой компании, заботящейся о своей безопасности (действует принцип «А чем мы хуже?»).

К сожалению, все вышеописанные методы смогут предоставить усредненную цифру оценки бизнес-рисков. Чтобы иметь на руках более весомые доводы, придется проделать определенный объем работы.

2. Оценка рисков внутри компании.

Прежде чем хвататься за ручку, калькулятор и сердце, следует определить, какие именно риски являются наиболее критичными для вашей организации. В большинстве случаев необходимо защищать следующее:
1. Финансовая и бухгалтерская документация.
2. Планы и прогнозы по развитию бизнеса.
3. Внутренние документы, представляющие ценность для конкурентов.
4. Протоколы совещаний.
5. Персональные данные сотрудников.
6. Шаблоны договоров и отчетов.
7. Описание «ноу-хау» и технологических процессов.
8. Программный код, разработанный в компании.

И это далеко не полный список. После его составления для каждого пункта указываются информационные каналы, через которые может произойти утечка. Чаще всего важные документы «уходят» через электронную почту, ICQ, Skype и посредством переносных USB-накопителей.

На этом этапе станет понятно, что именно нужно защищать и на какие каналы передачи важно обратить внимание в первую очередь, выстраивая линию защиты.

Когда собрано достаточно информации, можно приступать к глубокому качественному анализу бизнес-рисков.

Качественная оценка. Для анализа снова воспользуемся списком рисков, составленным ранее. С каждой категорией необходимо сопоставить один или несколько вариантов негативного влияния утечки данных на бизнес. То есть нужно задуматься, что именно может произойти, если будет утеряна именно «эта» информация. Негативные последствия обычно можно подразделить на такие виды:
•ухудшение имиджа компании;
•утрата технологических секретов;
•ослабление позиций в конкурентной борьбе;
•необходимость затрат на устранение последствий;
•судебные иски, поданные клиентами против компании;
•санкции контролирующих органов;
•увольнение сотрудников;
•снижение числа новых и отток существующих клиентов.

Поскольку обеспечить полноценный контроль всех информационных потоков в рамках крупного предприятия в финансовом отношении затратно, качественная оценка укажет на то, какие ресурсы и каналы передачи данных DLP-система должна контролировать в первую очередь.

Количественная оценка. Количественный анализ возможных потерь состоит из двух равнозначных долей: прямых затрат, связанных с инцидентом, и недополученной прибыли. Если по первому пункту можно составить более-менее точный прогноз, то недополученная прибыль — величина статистическая, и никаких конкретных цифр по ней дать нельзя. В связи с этим при ее анализе целесообразно использовать усредненные значения. Проще всего (и весьма эффективно) применять следующую схему, основанную на ранее составленном списке рисков с расставленными приоритетами негативных последствий:

Произошла утечка данных —> Чем нам это грозит? —> Сколько нам это будет стоить?

Для лучшего понимания модели рассмотрим в качестве примера некую компанию «К», у которой произошла потеря данных, и постараемся выяснить, чем это может обернуться для нее.

Отток клиентов вместе со снижением притока новых определенно принесет предприятию значительные финансовые убытки. Для их оценки можно взять произведение ожидаемого количества ушедших клиентов на среднюю прибыль, получаемую компанией с одного заказчика.

Чтобы предотвратить отток клиентов, компания должна проводить с ними разъяснительную работу, которая потребует: написания официального объяснения причин инцидента, подготовки должностных инструкций для внутреннего пользования с целью их предотвращения в будущем, выпуск брошюры с соответствующими пояснениями.

Кроме того, получивший огласку факт утечки, вероятно, вызовет реакцию со стороны регуляторов, которая может проявиться в форме штрафа, внеплановой проверки либо «настоятельной» рекомендации по улучшению состояния ИБ предприятия.

Заключительным «аккордом» часто становятся судебные иски и претензии со стороны клиентов. Чтобы понять, насколько серьезными могут оказаться небольшие прорехи в построенной системе защиты информации, достаточно вспомнить коллективные иски в суд, поданные на Sony после серии взломов и краж личных данных пользователей онлайн-сервисов компании. Но какими бы убедительными цифрами мы не располагали, как говорится, «пока гром не грянет, мужик не перекрестится». Это значит, что для полного анализа нам не хватает оценки вероятности наступления инцидента.

3. Как оценить вероятность?

Несмотря на то, что достоверно оценить ее степень непросто, существуют подходы, позволяющие увидеть пусть и весьма приблизительную, но все же реальную картину.

Статистика удобна как наиболее дешевый подход. При оценке вероятности можно использовать как внутреннюю статистику инцидентов, так и внешнюю, взятую из открытых источников. На этом преимущества подхода заканчиваются, так как крайне редко можно встретить какие-либо вероятности по событиям, связанным с утечками данных, а статистика внутренних инцидентов едва ли ведется в тех компаниях, которые только начинают задумываться о внедрении DLP-системы.

Второй широко применяемый метод оценки — аудит. Его могут проводить и независимые квалифицированные эксперты, и фирмы, предоставляющие услуги по внедрению решений в области ИБ.

Самый же эффективный — подход практический, т. е. тестовое внедрение DLP-системы на один–два месяца и получение реальных данных о том, как, куда и к кому «уходит» информация. Все DLP-системы умеют формировать отчеты по случаям нарушений настроенных правил и политик, поэтому анализ этих оперативных сведений можно будет провести гораздо быстрее.

Подводя итоги

Резюмируя все вышесказанное, для комплексной оценки бизнес-рисков необходимо:
•составить список возможных рисков;
•соотнести с каждым риском каналы, по которым может произойти утечка информации;
•соотнести с каждым риском возможные убытки;
•внедрить DLP-систему и получить возможность анализировать реальные отчеты по инцидентам, произошедшим за тестовый период эксплуатации.

Если стоимость работ по внедрению продукта, анализ бизнес-рисков, объем расходов на обучение персонала и написание процедур и политик безопасности хотя бы сопоставимы со стоимостью одной утечки, то внедрять DLP-систему, безусловно, стоит. Любую болезнь целесообразнее предупредить, чем лечить ее осложнения.

КОММЕНТАРИИ

Роман Идов,
аналитик компании SearchInform

Оценка бизнес-рисков, связанных с реализацией угроз информационной безопасности компании, включая утечки данных, всегда является непростой задачей, которая, тем не менее, заслуживает того, чтобы заняться ею всерьез. Благодаря подобной оценке можно осознать не только необходимость внедрения средств защиты, но и выделить главные направления, которые такая система должна «закрывать». Например, если оценка показывает, что максимальную угрозу несут в себе утечки документов с файл-серверов, то именно с этой проблемой нужно разбираться в первую очередь. Но важно помнить и о других каналах, поскольку любая защита должна быть комплексной.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж