Данные под прицелом

Не секрет, что банковский сектор экономики – один из наи­более емких по количеству хранимой и обращающейся информации конфиденциального характера. Это еще одна причина того, что финансовые организации остаются объектом интереса инсайдеров: ликвидность имеющихся в банках сведений весьма высока.

Согласно отчету Info­Watch за 2012 год об утечках информации в российских компаниях, 34% утечек в коммерческих организациях (это – очень высокая доля от общего количества) приходится на финансово-кредитные учреждения. При этом все утечки в сфере банковского сектора, о которых сообщали СМИ в прошлом году, были злонамеренными, т. е. они всегда совершались с целью наживы.

Безусловно, банки осознают эту проблему, но, к сожалению, не всегда могут адекватно оценить реальный масштаб по­следствий от утечки информации, почему очень часто и откладывают решение вопроса на потом. Попробуем разобраться на конкретных примерах, что случается, когда происходит потеря данных, и как бизнесу приходится реабилитироваться после инцидента.

Клиентская база дороже золота. С точки зрения общего подхода к бизнесу, конечно, самым ценным активом любой компании являются ее клиенты. Утечка клиентских данных напрямую или косвенно всегда приводит к финансовым потерям. В то же время стоит отметить, что вероятность случайной потери такой информации чрезвычайно мала. В подавляющем большинстве случаев персональные данные клиентов намеренно «выносятся» из компании ее же сотрудниками.

Практика показывает, что все намеренные утечки можно разделить на те, что происходят в основной период работы сотрудника в компании, и те, что случаются непосредственно перед его увольнением. Что касается действующих сотрудников, копирующих информацию с целью ее дальнейшей перепродажи, то выявить таких нарушителей и предотвратить инцидент можно в процессе их работы с помощью установки системы защиты корпоративной информации и данных от внутренних угроз. Если же возникает ситуация, когда работник увольняется и уносит с собой базу данных или ее часть, то вероятны три сценария дальнейшего развития событий: в 20% случаев данные использованы не будут, в 10% – данные будут использованы для кросс-продаж (схожее, но не аналогичное направление), с вероятностью 70% данные будут использованы конкурентом для продажи аналогичных услуг.

Украденные данные нужны конкурентам для того, чтобы  предлагать клиентам более выгодные условия и переманивать их. Практика показывает, что из 1 млн будет использовано около 30% украденных записей. Страшно даже представить масштаб возможного ущерба в крупных финансовых учреждениях с огромными клиентскими базами, если утечка 1000 записей кредитных карт оценивается аналитиками в среднем в 20 млн рублей! И это только прямые финансовые потери от ухода клиентов.

Репутационные потери. По данным исследования «Putting a price tag on a lost customer», психология человека устроена таким образом, что плохие новости распространяются быстрее, чем хорошие. Так, среднестатистический клиент, ставший жертвой утечки данных, расскажет о проблеме 8–16 знакомым. У каждого человека существует круг относительно близких знакомых – около 250 человек. Допустим, доля рынка банка составляет 5%, т. е. каждый 20-й из этой группы является его целевой аудиторией. Около 2% (каждый 50-й) из этого круга больше никогда не будет иметь дело с этим финансовым учреждением. Учитывая все вышеперечисленные факторы, репутационные потери от утечки всего одной тысячи записей кредитных карт составят примерно 130 млн рублей.

Компенсация и устранение по­следствий. Одним из самых популярных у мошенников информационных объектов кражи, безусловно, остается номер кредитной карты. Даже для очень небольшой утечки в размере 1000 записей затраты на устранение последствий составят почти 1 млн рублей. Эти средства пойдут на обнаружение инцидента и уведомление пострадавших клиентов (рассылка уведомительных писем и обзвон), а также на перевыпуск кредитных карт. Отдельной строкой бюджета, в зависимости от масштабов распространения новостей об инциденте, будут стоять затраты на восстанавливающие и отвлекающие PR-акции, призванные увести внимание общественности от проблемы.

Упущенная выгода. Запуск новой услуги или продукта всегда тщательно планируется и просчитывается. Банк ожидает получить отклик от новой рекламной акции в течение определенного периода.

Представим ситуацию, что о планах по предложению нового кредита с низкой процентной ставкой или депозита с более высокой доходностью узнает конкурент. В кратчайшие сроки он выходит с аналогичным или более выгодным предложением для данной целевой аудитории. Результатом простой утечки конфиденциальной информации о планах финансового учреждения станут: упущенная прибыль, потеря клиентов и затраты в виде рекламных бюджетов, ресурсов на разработку новой услуги, планов по ее запуску и продвижению. В более сложных ситуациях также стоит принять в расчет расходы на судебные разбирательства, рассылку уведомлений, аудит и реструктуризацию систем информационной безопасности и пр.

Выводы. Анализ различных инцидентов утечки данных показывает, что ущерб от единичного случая потери существенного объема информации может составлять десятки и даже сотни миллионов рублей. В то же время стоимость внедрения и обслуживания системы защиты корпоративной информации и данных от внутренних угроз соизмерима с размером только прямых потерь от одного среднего инцидента. Следовательно, использование таких систем имеет ощутимый экономический эффект и поможет банкам серьезно сэко­номить на ликвидации последствий инцидента.