Алексей ЛукацкийФинансовая сторона инцидента ИБ
Алексей ЛукацкийАлексей ЛукацкийЕсли следовать методологии результативной кибербезопасности, то у нас не должно возникать сложностей с обоснованием инвестиций в ИБ. Топ-менеджмент организации определяет недопустимые события и финансирует мероприятия по их недопущению. Но такой уровень зрелости у компаний бывает не всегда, и тогда приходится с калькулятором в руках доказывать руководству серьезность тех инцидентов, с которыми сталкивается организация и которые могут повлечь за собой если не катастрофические, то существенные потери. И лучший способ продемонстрировать возможный ущерб — попробовать оценить инциденты ИБ с финансовой точки зрения.
Мы решили собрать воедино все факторы, влияющие на стоимость инцидента. Они проявляются не всегда. Некоторые из них зависят от типа инцидента, а некоторые достаточно сложно оценивать, особенно если у специалистов по кибербезопасности нет доступа к бизнес-данным (в том числе потому, что к ним нет доверия со стороны бизнеса, который эти данные мог бы предоставить).
Итак, при расчете стоимости инцидента мы должны принимать во внимание приведенные ниже факторы.
Она рассчитывается как сумма всех затрат, связанных с расследованием: зарплата своих или нанятых внешних специалистов, привлечение внешних сервисов, аренда или покупка технического инструментария и т. п.
В ряде случаев, например при выполнении европейского регламента по защите прав субъектов персональных данных (GDPR), компания, по чьей вине произошла утечка данных, обязана уведомить каждого пострадавшего пользователя и иметь возможность доказать факт такого уведомления. Может понадобиться отправить каждому пострадавшему заказное письмо с уведомлением — если пострадавших много, траты на это будут довольно крупными.
Отдельные компании после инцидентов предлагают своим клиентам дополнительные услуги, например кредитный мониторинг или замену документов, реквизиты которых были замечены в утечке персональных данных, а также оплату смены телефонного номера.
Помимо предоставления услуг, возможны и прямые денежные компенсации потерь, которые понесли пострадавшие. Например, такая норма даже рассматривается в одном из законопроектов как обязательная в случае утечки персональных данных клиентов. В инцидентах, приводящих к недоступности облачных сервисов, часто используется схема бесплатного продления контракта с клиентами на время недоступности сервиса или на некоторое фиксированное время, например 1 месяц. В этом случае компания сталкивается с ситуацией, когда она тратит ресурсы на оказание услуг, но не получает за это никакого вознаграждения, работая тем самым себе в убыток.
При крупных инцидентах, затронувших большое число клиентов, компании могут временно арендовать услуги центров обработки вызовов, которые будут принимать звонки от пострадавших.
Очевидно, что если инцидент произошел, то в системе ИБ были какие-то недочеты, которые надо будет устранить. Это может потребовать финансовых затрат не только на оплату труда персонала, но и на закупку новых средств защиты информации или услуг ИБ. Кроме того, если в результате инцидента были стерты какие-то данные, удалены резервные копии, нарушена работа систем и оборудования, то восстановление также может потребовать инвестиций.
Пресс-конференции, а также взаимодействие с журналистами напрямую или с помощью специально нанятого агентства также должны быть учтены при расчете стоимости инцидента.
В российском законодательстве штрафы за инциденты (например, за нарушение правил обработки персональных данных) пока незначительны и в лучшем случае измеряются десятками или сотнями тысяч рублей. Но ситуация может измениться в случае принятия закона об оборотных штрафах за утечки персональных данных, в соответствие с которым максимальная сумма денежных средств, выплачиваемых в доход государства, может составить до 500 миллионов рублей или до 3% от годового оборота компании-жертвы.
Во многих договорах прописаны различные штрафные санкции, например за разглашение конфиденциальной информации или срыв контрактных обязательств. Оба этих события могут произойти по причине инцидента ИБ, что приведет к финансовым потерям.
Если компания «пропустила удар» и в результате инцидента важные данные оказались зашифрованы, а их резервных копий нет или они не восстанавливаются — то останется только заплатить выкуп, и выкуп этот часто будет с шестью, а то и семью нулями.
В российской судебной практике это пока редкость, но отдельные прецеденты, когда клиенты, пострадавшие от инцидентов ИБ (обычно утечек персональных данных), объединяются и подают коллективный иск в суд, уже случались. И хотя суммы выплат по таким коллективным искам пока незначительные, они могут быть в перспективе увеличены, если в законодательство будут введены оборотные штрафы за нарушение правил кибербезопасности.
Сопровождение дел в судах, будь то претензии со стороны контролирующих органов или иски со стороны пострадавших клиентов, обычно требует привлечения внешних юристов, так как штатные сотрудники юридических отделов обычно занимаются договорными вопросами и не имеют соответствующего опыта. Приглашенный же юрист, чьи услуги должны быть оплачены, сможет не только дать необходимые консультации по предмету судебного разбирательства, но и подготовить материалы в суд, обеспечить представительство в суде, проводить досудебные урегулирования и т. д.
По результатам серьезных инцидентов, повлекших существенные потери, компания может принять решение о страховании так называемых киберрисков. Это потребует учета еще и этой статьи расходов. В России в данный момент рассматривается инициатива по введению такой практики, но остается открытым вопрос, какой вариант страхования может быть принят и станет обязательным. Это может быть страхование, связанное с прямыми убытками, возникающими у компаний в результате инцидентов ИБ, включая простои, повреждение оборудования и уничтожение данных. Второй вариант — страхование ответственности для защиты от претензий в случае, если произошедший в компании инцидент привел к необходимости возмещения понесенных третьими лицами убытков. При этом лимиты страхового покрытия будут зависеть от масштабов бизнеса и оценки им возможных объемов потерь в случае реализации соответствующих недопустимых событий.
В мировой практике нередки случаи, когда страховые компании, застраховавшие киберриски своих клиентов, отказываются от выплат по предъявленным претензиям, ссылаясь на различные причины. Например, действия прогосударственных кибергруппировок могут рассматриваться как проявления войны или военного конфликта, которые указываются во многих договорах страхования как форс-мажор.
Если проводить аналогии со страхованием транспортных средств по КАСКО, то при страховании киберрисков размер страховой премии может быть увеличен в зависимости от ряда факторов, среди которых будут и прошлые инциденты, доказывающие интерес злоумышленников к страхователю, и успешное нанесение ему убытков, что может повлиять на вероятность наступления страхового случая. Как следствие, вырастут издержки страховщика, закладывающего их в страховую премию.
Инцидент может привести к снижению объема продаж — вследствие простоя систем, участвующих в производстве и продаже товаров и услуг, или из-за недовольства клиентов, которые, столкнувшись с недоступностью систем, берут тайм-аут на совершение сделок. Кроме того, возможен отказ от отдельных контрактов из-за инцидента, в результате которого стали известны компрометирующие факты о деятельности компании или ее руководства (например, расистские высказывания или насмешки над клиентами или контрагентами в утекшей переписке).
Если по причине инцидента клиенты сдвигают сроки заключения контрактов и отсрочивают оплату, это может сказаться на финансовых показателях отчетного периода и даже приводить к убыткам (даже при условии, что в следующем отчетном периоде компания все равно получит эти деньги).
Если инцидент ИБ затронул конкретных заказчиков или происходил неоднократно, что повлекло за собой недовольство с их стороны, то они могут уйти к конкурентам, а компания потеряет доходы на сумму, вычисляемую как произведение среднего чека на число ушедших в результате инцидента клиентов.
Такое явление происходит далеко не всегда и очень часто имеет краткосрочный эффект. Оценить его заранее достаточно сложно, так как реакция рынка зависит не только от серьезности инцидента, но и от реакции компании, которая с ним столкнулась.
В требованиях некоторых (как правило, ушедших из России) агентств, указываются кредитные рейтинги, отражающие уровень не только платежеспособности, но и надежности компаний. На этот рейтинг в худшую сторону может повлиять инцидент ИБ, который выявит либо потерю денежных средств (и, как следствие, снижение платежеспособности), либо невозможность оказания услуг клиентам (то есть ненадежность компании и ее неспособность выполнять обязательства). Снижение кредитного рейтинга может привести, в свою очередь, к повышению затрат на обслуживание капитала (cost to raise) и к сложностям в получении капитала на развитие компании.
Известны случаи, когда реализация недопустимых событий приводила либо к отказу от поглощения пострадавшей компании, либо к существенному снижению ее стоимости. Кроме того, инцидент может привести к росту затрат на проведение due diligence поглощаемой компании, что также негативно скажется на финансовых показателях. Все это тоже может увеличить стоимость инцидента ИБ.
В результате инцидента ИБ компания может потерять свою интеллектуальную собственность, в создание которой были вложены существенные финансовые средства. И хотя способов оценки ноу-хау существует множество, даже использование затратного метода (число работников, участвующих в создании интеллектуальной собственности, умножается на их зарплату и время, в течение которого ноу-хау создавалось) может продемонстрировать существенные потери от инцидента ИБ. Что уж говорить о том, что интеллектуальная собственность может быть украдена и попасть в руки конкурентов, — так они смогут обойти компанию-жертву и получить конкурентные преимущества, не затратив на это ни копейки.
Согласно зарубежным исследованиям, до 50% сотрудников служб ИБ увольняется в результате серьезного инцидента. И хотя в России такой статистики нет, этот фактор стоит учесть: примеры принудительного увольнения руководителей отделов ИБ присутствуют и у нас, а наём нового сотрудника — это не только время, но и деньги.
По результатам инцидентов ИБ руководство компаний, а также акционеры и собственники часто организуют независимый аудит информационной безопасности с целью выяснения всех слабых мест и слепых зон в защите компании. Эта услуга, если проводить ее качественно, также может стоить достаточно много, что должно быть учтено при расчете совокупных потерь от инцидента.