Збиток в 1 млрд: помста звільненого програміста
В останні роки добре проглядалася тенденція до поступового збільшення збитків внаслідок витоків. Спостереження стосується і середнього збитку на один інцидент, і максимальних розмірів окремих витоків. Тому витоку зі збитком в кілька десятків мільйонів доларів вже не шокують. Проте, астрономічні величини втрат в сотні мільйонів і навіть мільярди не можуть не зачіпати. Адже від дій інсайдерів не застрахована жодна організація. І якщо інформація не захищена від витоків за допомогою сучасних комплексних систем, збитки можуть призвести до банкрутства компанії.
Дата занесення в базу
Ще одна поширена помилка - неправильна утилізація документів з конфіденційною інформацією. Проблема відноситься і до електронних носіїв, і до паперів. Нещодавно цілий ряд британських банків отримав суворі стягнення від регуляторів, а суспільство Nationwide Building Society заплатило штраф в 900 тис фунтів стерлінгів. Тепер звичку викидати персональні дані клієнтів перейняли американські компанії.
Як підраховувати збитки
Збиток від витоків розраховується по-своєму для кожного конкретного випадку. Проте, існує загальна методика, за допомогою якої можна оцінити приблизні збитки. В основі схеми лежить загальне число постраждалих людей і характер витоку. Далі оцінюється попередні збитки. Це можна зробити, базуючись на актуальному для США законі, який вимагає повідомляти громадян, чиї персональні виявилися скомпрометовані. Повідомлення про інцидент розсилає організація, яка допустила витік. У деяких випадках, одні поштові витрати важким тягарем лягають на бюджет компаній. Середні витрати на повідомлення кожного потерпілого можна взяти з різних досліджень. Далі визначається число громадян, які стануть жертвою шахраїв через конкретної витоку. Кількість жертв різниться для кожної країни і сфери діяльності організації. Зазвичай, це значення становить від кількох десятих відсотків до декількох відсотків від загального числа людей, чия інформація скомпрометована. Якщо якісь з показників не можуть бути визначені однозначно, беруться усереднені величини на основі чисельної або емпіричної оцінки. Коли пораховано і ці збитки, враховуються додаткові обставини кожного випадку. Наприклад, для комерційної компанії збитки внаслідок втрати іміджу будуть значно вище, ніж для державного університету. Не останню роль відіграє і думка місцевих експертів щодо перспектив справи.
У даній ситуації можна припустити, що Bank of America уникне витрат упущеної вигоди. Адже загублені дані не клієнтів, а своїм співробітникам. Зрозуміло, частина працівників могла звільнитися з філій. Щоб не допустити цього, керівництво Bank of America вже пообіцяло, що всі люди, чиї дані були на вкраденому лептопі, отримають безкоштовний моніторинг рахунків протягом 2 років. Ціни на подібну послугу досить стабільні в різних агентствах і становлять близько 120 доларів в рік на одну людину. Це ще 9,6 млн дол. Додамо сюди вже пораховані 3,36 млн непрямих і прямих витрат. Отримаємо підсумкове значення 12,96 млн дол.
Зрозуміло, пораховані таким способом цифри не точно збігаються з реальними збитками в кожному випадку. Однак ці значення дають уявлення про масштаби збитку і в цілому відповідають справжньому стану справ.