Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Отчёт по утечкам Zecurion: кашу маслом не испортишь!

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA

Аналитический центр Zecurion Analytics представил результат восьмимесячного труда – «Утечки конфиденциальной информации 2011». В стандартной, в общем-то, статистике обратила на себя внимание сумма ущерба, озвученная публично: она возросла аж до 20, 6 млрд. долларов против 3, 8 млрд., зафиксированных в прошлом году.

Насколько правдоподобна, по-вашему, оценка ущерба компаний от утечек данных, представленная в отчете Zecurion?

 

Рустэм Хайретдинов, заместитель генерального директора InfoWatch:

К сожалению, в последнее время наметилась тенденция, когда авторы аналитических исследований в угоду интересам маркетинга откровенно подтасовывают факты. В данном случае в погоне за красивой цифрой понесенного компаниями ущерба аналитики Zecurion, скажем прямо, перестарались. По их словам, сумма ущерба только по публичным инцидентам, связанным с утечкой конфиденциальной информации, составляет 20 млрд долл. или 25 млн долл. в расчете на каждый инцидент. Однако характер самого явления (утечек) таков, что абсолютное большинство (95-99%) случаев «ухода» информации из компаний никогда не становятся публичными. Это стратегически невыгодно. Получается, что предложенные 20 млрд необходимо умножить раз в 100, что дает совсем уж неправдоподобные 100 млн долл. потерь в России или около 2 трлн. по всему миру (что сопоставимо с доходной частью бюджета США и в 5 раз больше доходной части бюджета России).

Статистику утечек InfoWatch ведет с 2006 года. Потребовалось немало времени, чтобы понять – оценка совокупного ущерба в большинстве случаев просто невозможна. Есть прямые потери – выплаты пострадавшим от утечек, штрафы, наложенные регуляторами и пр. В 2011 году это 10-15 млн. долларов. И есть косвенный ущерб – репутационные потери, затраты компаний на ликвидацию последствий – примерно 500 млн. долларов. Если подойти к делу подсчета ущерба «креативно», по принципу «чем больше – тем лучше», придется считать не только прямые убытки, но и затраты компаний на восстановление испорченной утечкой репутации (пример «МегаФона»), зарплату адвокатов, представляющих интересы компании в суде и пр. и пр. В итоге можно получить какую угодно цифру, что Zecurion и продемонстрировал.

 

Александр Токаренко, председатель правления НП «ДАТУМ»:

Аватар пользователя toparenko

Как всегда вопрос к статистике: есть ли полный открытый перечень статистики? Можно ли его проверить?

К сожалению, не во всех странах есть обязанность публиковать инциденты. Да и не по всем из них есть оценка ущерба.

Если считать в оцененном ущербе, то цифры вполне могут соответствовать (вполне может измениться статистика только из-за того, что оценили ущерб те, кто ранее его недооценил). Другой вопрос в неоценненном ущербе и неоткрывшихся данных по утечкам - тогда могут измениться порядки чисел

Для примера 2 утечки:

  1. 7 тысяч электронных изображений топографических карт территорий РФ - http://incidents.su/pravosudie/1655-31-05-2012-rf-moskva-12-let-za-shpio...
  2. Согласно условиям контрактов, указанным организациям передавались права на интеллектуальную собственность РФ - навигационные морские карты, что дало им право на распространение электронных навигационных карт в формате Международной гидрографической организации. В результате незаконного использования объектов авторского права, принадлежащих РФ, государству причинен ущерб на сумму более 9,5 млн. руб - http://incidents.su/pravosudie/1906-1-08-2012-rf-esche-odno-ud-po-utechk...

И в первом и во втором случае карты. Но в одном случае мы не видим оцененный ущерб, а во втором ущерб указан. В результате по обеим утечкам оцененный ущерб 9,5 млн.руб.

А реальный ущерб во сколько оценивается? А потенциальный (когда по растровые изображения будут заложены в боеголовки ракет направленных на Россию)?

 

Николай Федотов, главный аналитик InfoWatch:

Николай Федотов

Сразу бросилась в глаза явно несообразная сумма "ущерба" из их отчёта. Двадцать миллиардов долларов – это не только для ущерба, но даже для убытков* чересчур многовато. Подробнее..

 
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Сергей Хайрук

Поскольку господин Ковалев пока еще к нам не присоединился, возьму на себя труд процитировать его точку зрения:

"Я согласен с Рустэмом, что если грубо умножить 20 миллиардов долларов на 100, то получится очень серьезная сумма, но в данном случае так делать некорректно. Во-первых, 95-99% - это лишь очень приблизительный процент "скрытых утечек". Во-вторых, всплывают обычно самые громкие, поэтому, по нашим оценкам, "скрытые утечки" в России потянут еще максимум на 1-2 миллиарда долларов, а общий ущерб составит 2-3 миллиарда долларов", - сказал Ковалев.

Читайте далее: http://www.ria.ru/economy/20120809/720111574.html#ixzz234imp9LJ

Остается только догадываться, почему утечка в "МегаФон", "стоившая" оператору 30 тыс. рублей, в чилсе самых громких. И не говорите мне про репутационные потери. Пока "мобильное рабство" не отменили, охота абонентов к перемене операторов проявляется слабо. Проще говоря, не побежит народ из Меги только потому, что те допустили слив SMS. Сказки это.

 

up
34 users have voted.
Аватар пользователя toparenko

>Остается только догадываться, почему утечка в "МегаФон", "стоившая" оператору 30 тыс. рублей, в чилсе самых громких.

Мое мнение, что самая громкая т.к. она была нужна громкой именно в это время.

up
25 users have voted.
Аватар пользователя toparenko

5 ссылок уже битые (всего лишь через год), но общую картину не сильно изменяют.

Есть и большее поличество переданных данных, есть и большие информационные поводы для шума в СМИ...

up
53 users have voted.
Аватар пользователя toparenko

>Во-вторых, всплывают обычно самые громкие

Не сказал бы.
У меня ТОП утечек несколько отличается. И громких там не так много.

up
33 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.