В силу сложившегося в России отношения к нематериальным активам и очевидных сложностей расчета окупаемости ИБ-проектов , утечки информации видятся многим как чуть ли не единственный толчок, способный вытрясти из бизнеса хоть какие-то деньги на построение системы защиты. Особенно часто приходится слышать пример, связанный с утечкой клиентской базы. Люди, его приводящие, выставляют утечку клиентской базы в свете катастрофы вселенского масштаба: "все клиенты уйдут к конкурентам, продажи резко упадут, бизнесу - конец, хотите избежать - надо срочно что-то делать, дайте денег миллион евро, это куда дешевле чем потеря бизнеса".
Некоторым особо "неверующим" демонстрируют графики котировок акций иностранных компаний с резким снижением после объявления об утечке данных, тыча пальцем в точку падения и заглядывая в глаза с вопросом "вы же так не хотите"? И бизнесмены, скрипя бумажником, нехотя отслюнявливают красноватые купюры. При этом ни у кого не возникает вопрос, почему вдруг от компании, успешно ведущей бизнес и привлекательной для клиентов не только ценовой политикой, но и спектром предлагаемых товаров и услуг, выгодными условиями сопровождения сделок, имеющей надежную репутацию хорошего бизнес-партнера, после утечки этой злосчастной базы клиенты разбегутся к конкурентам как тараканы? И даже если так, то как это проверить - использовать потолочные метрики, сравнивать с другими аналогичными (преимущественно западными) случаями или самим создать искусственную утечку и считать отток?
В тех странах, где для компаний, разместивших акции на фондовой бирже, обязанность раскрывать информацию об утечках установлена законодательно, здорово помогают котировки. Те, кто мало-мальски знаком с фондовым рынком, знают, что основным фактором, влияющим на котировки акций, является "настроение инвесторов". Хорошее настроение - котировки вверх, рыночная капитализация растет, плохое - все наоборот. И если сообщить инвесторам (тем, кто держит акции или хочет их приобрести) об утечке, то настроение у них, понятное дело, не улучшится. Но ведь их настроение может ухудшится и от многих других факторов. Да и потом - получается, что защищаемым активом в конечном итоге является не информация, а имидж и репутация, на которые влияют не только утечки информации.
В нашей стране такой обязанности нет, да и фондовый рынок у нас - не чета западному. Как же посчитать величину ущерба? Именно таким вопросом и задалась одна знакомая мне фирма. Имитировать ситуацию с утечкой они не стали, а вместо этого - включили в ежегодный опросный лист, рассылаемый контрагентам, работающим более 5 лет и "делающим" 70% от суммарного объема выручки, вопрос вроде "Какие факторы повлияли бы на пересмотр наших отношений", среди вариантов ответа, помимо бизнес-факторов, был вариант "Утечка данных об условиях и объемах сделок с вашей компанией". Лишь 1,5% респондентов отметили этот пункт вместе с остальными: вот он, вклад утечек информации в риск потери "имиджа и репутации". Пересчитав пункты на деньги, получилось, что возможные потери от утечки составят менее 0,5% от годового оборота компании, а в пересчете на чистую прибыль - цифры, внимание на которые можно просто не обращать.
При этом, 60% всех опрошенных указали, что им периодически звонят фирмы-конкуренты и предлагают аналогичный сортамент по более низкой цене, но доверия к таким "деятелям" нет никакого: во-первых потому, что упоминание текущих бизнес-партнеров в борьбе за потребителя свидетельствует об определенном уровне жульничества, а во-вторых - эта "замануха" скорее всего будет временной, поскольку компания, работающая "в рынке", не может существовать на предлагаемых условиях торговли. Именно поэтому контрагенты следуют народной мудрости "старый друг лучше новых двух" но, благодаря таким предложениям, постоянно "прессуют старичка" по ценовой политике.
Стоит ли в этой компании хранить клиентскую базу как зеницу ока? Очевидно, нет - защищать можно, но не больше, чем все остальное. Конечно, есть много других компаний, занимающихся другими видами бизнеса, для которых риски потери репутации при утечке клиентской базы куда выше, чем для среднестатистического торговца. Да и у последнего, помимо этой базы, есть куда более критичная бизнес-информация - например, сведения по работе с должниками или стратегические планы развития. Однако нужно понимать, что утечка информации и ее использование в корыстных целях - это, как говорится, "две большие разницы". Безусловно, любая утечка - это удар по имиджу и репутации компании и, вполне возможно, ущерб от частичной потери этих бизнес-качеств будет весьма ощутим. Особенно, если дело касается информации о физических лицах - пресловутых " персональных данных ". Последний пример компании SONY показал , что последствия ухудшения настроений инвесторов могут быть очень серьезными и затронуть не одну компанию, а целую отрасль (в данном случае пострадали компании, имеющие отношение к "облачным" вычислениям).
Тем не менее, в большинстве случаев сама по себе утечка не приводит к материализации страшных фантастических картин, воображаемых воспаленным мозгом ИБ-шника и подогреваемых community. Даже если вдруг такая неприятность случится и данные "утекут", при грамотно разделенных массивах информации и правильно разграниченном доступе к ним, объем утекших данных может оказаться хоть и большим, но совершенно бесполезным с точки зрения дальнейшего использования, а потому - не представляющим никакой коммерческой ценности. При таком раскладе утечка будет лишь номинальным свидетельством наличия определенных проблем в безопасности некоторых процессов, которые, безусловно, надо "подрихтовать". Для этого ИБ-шник должен помочь бизнесу определить критичную информацию, спрогнозировать последствия ее утечки и правильно обосновать необходимость разделения объемов информации и оптимизации процессов ее обработки, при этом ему нужно не только хорошо разбираться в предметной области, но (хотя бы немного) ориентироваться и в менеджменте организации, и в финансах, и в юриспруденции.
Это - в теории. В действительности же, увы, все бывает совсем наоборот. Бизнес идет по пути наименьшего сопротивления и, чтоб не париться, определяет всю (или совсем не ту) информацию как очень важную и критичную, а самоустранившийся от предыдущего этапа ИБ-шник считает вероятность ее утечки и яростно защищает все, что можно, тем, что дают. Все утечки имеют только одно объяснение - слабость системы защиты ввиду отсутствия должного финансирования. И поскольку любая утечка в России никогда не была катастрофой - в таком гипертрофированном компромиссе интересов бизнес и безопасность, как северный и южный полюс, способны долго сосуществовать в одной бизнес-системе. Как долго просуществует в таком виде сама система - ИБ-шнику, по большому счету, без разницы, кто бы что не говорил. 
Переоценка ценностей
Переоценка ценностей
В силу сложившегося в России отношения к нематериальным активам и очевидных сложностей расчета окупаемости ИБ-проектов , утечки информации видятся многим как чуть ли не единственный толчок, способный вытрясти из бизнеса хоть какие-то деньги на построение системы защиты. Особенно часто приходится слышать пример, связанный с утечкой клиентской базы. Люди, его приводящие, выставляют утечку клиентской базы в свете катастрофы вселенского масштаба: "все клиенты уйдут к конкурентам, продажи резко упадут, бизнесу - конец, хотите избежать - надо срочно что-то делать, дайте денег миллион евро, это куда дешевле чем потеря бизнеса".
Некоторым особо "неверующим" демонстрируют графики котировок акций иностранных компаний с резким снижением после объявления об утечке данных, тыча пальцем в точку падения и заглядывая в глаза с вопросом "вы же так не хотите"? И бизнесмены, скрипя бумажником, нехотя отслюнявливают красноватые купюры. При этом ни у кого не возникает вопрос, почему вдруг от компании, успешно ведущей бизнес и привлекательной для клиентов не только ценовой политикой, но и спектром предлагаемых товаров и услуг, выгодными условиями сопровождения сделок, имеющей надежную репутацию хорошего бизнес-партнера, после утечки этой злосчастной базы клиенты разбегутся к конкурентам как тараканы? И даже если так, то как это проверить - использовать потолочные метрики, сравнивать с другими аналогичными (преимущественно западными) случаями или самим создать искусственную утечку и считать отток?
В тех странах, где для компаний, разместивших акции на фондовой бирже, обязанность раскрывать информацию об утечках установлена законодательно, здорово помогают котировки. Те, кто мало-мальски знаком с фондовым рынком, знают, что основным фактором, влияющим на котировки акций, является "настроение инвесторов". Хорошее настроение - котировки вверх, рыночная капитализация растет, плохое - все наоборот. И если сообщить инвесторам (тем, кто держит акции или хочет их приобрести) об утечке, то настроение у них, понятное дело, не улучшится. Но ведь их настроение может ухудшится и от многих других факторов. Да и потом - получается, что защищаемым активом в конечном итоге является не информация, а имидж и репутация, на которые влияют не только утечки информации.
В нашей стране такой обязанности нет, да и фондовый рынок у нас - не чета западному. Как же посчитать величину ущерба? Именно таким вопросом и задалась одна знакомая мне фирма. Имитировать ситуацию с утечкой они не стали, а вместо этого - включили в ежегодный опросный лист, рассылаемый контрагентам, работающим более 5 лет и "делающим" 70% от суммарного объема выручки, вопрос вроде "Какие факторы повлияли бы на пересмотр наших отношений", среди вариантов ответа, помимо бизнес-факторов, был вариант "Утечка данных об условиях и объемах сделок с вашей компанией". Лишь 1,5% респондентов отметили этот пункт вместе с остальными: вот он, вклад утечек информации в риск потери "имиджа и репутации". Пересчитав пункты на деньги, получилось, что возможные потери от утечки составят менее 0,5% от годового оборота компании, а в пересчете на чистую прибыль - цифры, внимание на которые можно просто не обращать.
При этом, 60% всех опрошенных указали, что им периодически звонят фирмы-конкуренты и предлагают аналогичный сортамент по более низкой цене, но доверия к таким "деятелям" нет никакого: во-первых потому, что упоминание текущих бизнес-партнеров в борьбе за потребителя свидетельствует об определенном уровне жульничества, а во-вторых - эта "замануха" скорее всего будет временной, поскольку компания, работающая "в рынке", не может существовать на предлагаемых условиях торговли. Именно поэтому контрагенты следуют народной мудрости "старый друг лучше новых двух" но, благодаря таким предложениям, постоянно "прессуют старичка" по ценовой политике.
Стоит ли в этой компании хранить клиентскую базу как зеницу ока? Очевидно, нет - защищать можно, но не больше, чем все остальное. Конечно, есть много других компаний, занимающихся другими видами бизнеса, для которых риски потери репутации при утечке клиентской базы куда выше, чем для среднестатистического торговца. Да и у последнего, помимо этой базы, есть куда более критичная бизнес-информация - например, сведения по работе с должниками или стратегические планы развития. Однако нужно понимать, что утечка информации и ее использование в корыстных целях - это, как говорится, "две большие разницы". Безусловно, любая утечка - это удар по имиджу и репутации компании и, вполне возможно, ущерб от частичной потери этих бизнес-качеств будет весьма ощутим. Особенно, если дело касается информации о физических лицах - пресловутых " персональных данных ". Последний пример компании SONY показал , что последствия ухудшения настроений инвесторов могут быть очень серьезными и затронуть не одну компанию, а целую отрасль (в данном случае пострадали компании, имеющие отношение к "облачным" вычислениям).
Тем не менее, в большинстве случаев сама по себе утечка не приводит к материализации страшных фантастических картин, воображаемых воспаленным мозгом ИБ-шника и подогреваемых community. Даже если вдруг такая неприятность случится и данные "утекут", при грамотно разделенных массивах информации и правильно разграниченном доступе к ним, объем утекших данных может оказаться хоть и большим, но совершенно бесполезным с точки зрения дальнейшего использования, а потому - не представляющим никакой коммерческой ценности. При таком раскладе утечка будет лишь номинальным свидетельством наличия определенных проблем в безопасности некоторых процессов, которые, безусловно, надо "подрихтовать". Для этого ИБ-шник должен помочь бизнесу определить критичную информацию, спрогнозировать последствия ее утечки и правильно обосновать необходимость разделения объемов информации и оптимизации процессов ее обработки, при этом ему нужно не только хорошо разбираться в предметной области, но (хотя бы немного) ориентироваться и в менеджменте организации, и в финансах, и в юриспруденции.
Это - в теории. В действительности же, увы, все бывает совсем наоборот. Бизнес идет по пути наименьшего сопротивления и, чтоб не париться, определяет всю (или совсем не ту) информацию как очень важную и критичную, а самоустранившийся от предыдущего этапа ИБ-шник считает вероятность ее утечки и яростно защищает все, что можно, тем, что дают. Все утечки имеют только одно объяснение - слабость системы защиты ввиду отсутствия должного финансирования. И поскольку любая утечка в России никогда не была катастрофой - в таком гипертрофированном компромиссе интересов бизнес и безопасность, как северный и южный полюс, способны долго сосуществовать в одной бизнес-системе. Как долго просуществует в таком виде сама система - ИБ-шнику, по большому счету, без разницы, кто бы что не говорил. 
Цифровые следы - ваша слабость, и хакеры это знают.
