Оценка стоимости утечки

информации

Андрей Прозоров

Ведущий эксперт по информационной безопасности

COBIT5

Получение выгод

Оптимизация рисков

Оптимизация ресурсов

DLP и цели бизнеса

• Мониторинг и контроль каналов передачи и мест хранения информации ограниченного доступа

• Выявление экономических преступлений

• Выявление предпосылок событий, способных нарушить непрерывность бизнес-процессов (напр., уход персонала, утечки информации)

• Выполнение требований регуляторов

• Снижение трудозатрат при расследовании инцидентов

• Повышение трудовой дисциплины, улучшение культуры работы с информацией ограниченного доступа

• Обычно нет*

Чаще всего DLP

ассоциируют с защитой

информации от утечки

Утечки происходят часто

• 53% сталкивались с утечкой информации - CERT

• 54% сталкивались с утечкой информации - Check Point

• 33% компаний зафиксировали утечку более 1 000 записей

за последние 2 года. У 48% такие объемы данных утекли

однократно; у 27% - дважды; 16% сталкивались с

инцидентами утечки до 5 раз; 9% зафиксировали более 5

случаев утечки - Ponemon Institute

• В 2013 году зафиксировано 8 гигантских утечек

(компрометация более 10 000 000 записей), в 2012 была

лишь одна такая утечка - Symantec

• Количество утечек в 2013 году возросло на 22% по

сравнению с 2012 годом - InfoWatch

Ущерб от утечки может быть от 0 до полного краха

компании (банкротство)

Стоимость утечки информации посчитать сложно. Необходимо учитывать огромное количество данных, причем в среднесрочной перспективе (~1 год)

• Состав данных (ПДн, КТ, PAN, логин/пароль…)

• Количество записей/масштаб • Отрасль (отраслевые

регуляторы, конкуренция) • Страна (требования по

реагированию, штрафы) • Действия компании после

утечки (реакция, комментарии) • Время обнаружения • Источник обнаружения утечки • Источник утечки и его умысле • Внимание СМИ • Зрелость процессов ИБ

(особенно «управление инцидентами»)

• Дальнейшие действия с утекшими данными (публикация, мошенничество…)

• Стоимость восстановления данных

• Стоимость восстановления (закупки) носителей взамен утерянных

• Особенности процесса реагирования

• Наличие средств мониторинга (DLP, SIEM, IDS/IPS…)

• Компенсации пострадавшим • Управленческое решение по

факту утечки информации • …

Что влияет на величину ущерба?

«Управленческое решение» по

сотрудникам • «Понять и простить» • Изменение прав доступа (расширение или ограничение) • Пересмотр правил ИБ (орг. и тех.)

• Обучение и повышение осведомленности персонала • Мотивация персонала

(Что лучше развитие корп.культуры и/или «запугивание»?)

• Лишение благ и привилегий

• Кадровые перестановки • Решение об увольнении (по собственному желанию / по соглашению сторон)

• Дисциплинарные взыскания (втч увольнение) • Решение о преследовании в судебном порядке

• «Вывоз в лес»

Ущерб от утечки информации

Затраты на реагирование и расследование

Юр.преследование со стороны 3х лиц

Репутационные потери и

упущенная выгода

Компенсации пострадавшим

Трудозатраты персонала при

проверках регуляторов

Совершенствование системы защиты

Штраф и другие санкции

регуляторов

Ущерб от мошеннических

действий

1. 2.

4.

7. 8.

5.

3.

6.

«Удобнее» всего оценивать

Затраты на реагирование и расследование

Репутационные потери и

упущенная выгода

Штраф и другие санкции

регуляторов

1. 2.

4.

7.

5.

7.

6. • Трудозатраты персонала x величину ЗП

• Консалтинг • Стоимость

специального оборудования

• Кол-во клиентов: переставших пользоваться услугами компании

• Замедление темпов роста («непришедшие новые клиенты»)

• Кол-во клиентов, которых переманили конкуренты

х на среднюю прибыль с 1 клиента в год

• Штрафы по ПДн составляют до 10 000 рублей*

• Угроза отзыва лицензий / приостановления деятельности

Реагирование и расследование

инцидентов

• Специалист ИБ

• Специалист ИБ • Руководитель ИБ • Сотрудник

компании

• Специалист ИБ • Руководитель ИБ • Сотрудник ИТ • Специалист ИТ • Руководитель

подразделения • Сотрудник

компании (*Х) • Сотрудник HR • Юрист

• Специалист ИБ • Руководитель ИБ • Сотрудник ИТ • Специалист ИТ • Руководитель

подразделения • Сотрудник

компании (*Х) • Руководитель HR • Сотрудник HR • Юрист • Руководитель PR • Сотрудник PR • Топ-менеджер

(*Х)

• Внешние консультанты

Зависимость состава рабочей группы от масштаба утечки и ценности информации

Рабочее время в месяц: 184 часа (8*23) Средняя ЗП в России: 33 280 рублей в месяц (по данным Федеральной службы государственной статистики на май 2014 г)

Средняя ЗП в России: 26 457 рублей в месяц (по данным с интернет-сервисов поиска работы на сентябрь 2014 г)

Средняя стоимость 1 часа работы (по России): ~180 рублей

~1700 руб./час ~950 руб./час ~600 руб./час ~930 руб./час ~450 руб./час ~300 руб./час

Зарплаты в Москве, hh.ru (2014)

Пример

методика InfoWatch

1 2 3

Отрасль Финансы Телеком и ИТ Ритейл

Состав данных ПДн 200 клиентов (сканы паспортов и

анкеты)

1,2 млн. логинов и паролей к эл.почте

1 000 000 анкет клиентов (не

критичные ПДн)

1.Затраты на реагирование, устранение и расследование

40 000 рублей 2,8 млн. рублей 460 000 рублей

2.Репутационные потери и упущенная выгода

2,5 млн.рублей 50 млн.рублей 30,8 млн.рублей

7.Штрафы и другие санкции регуляторов

10 000 рублей 10 000 рублей 10 000 рублей

Итого 2,5 млн.рублей 52,8 млн.рублей 31,3 млн.рублей

Обеспечение юр.значимости

Снижение рисков

Управление инциден-

тами

Направления защиты от утечек

- Снижение вероятности - Снижение ущерба

- Мониторинг и Анализ - Реагирование

- Режим КТ - Юр.преследование

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22 Андрей Прозоров