Цена инцидента на реальном примере утечки персданных из одной финансовой организации

В Австралии заявили, что идентифицировали хакера, стоявшего за взломом и утечкой персданных 9,7 миллионов клиентов страховой компании Medibank в октябре 2022 года. Предсказуемо им стал россиянин (кто бы сомневался). Александр Ермаков, так зовут «героя».

Меня же эта новость натолкнула на мысль, что можно посмотреть, во что обошелся данный инцидент компании с финансовой точки зрения. Итак, в октябре 2022 года австралийская страховая компания Medibank столкнулась с утечкой переданных своих клиентов, но, как это часто бывает, первой ее реакцией было заявить, что ничего не было и никакие клиентские данные не утекали и вообще они в шоколаде и ИБ у них на высоте. Очень быстро хакеры показали, кто тут прав и выложили доказательства утечки почти 10 миллионов клиентов страховой компании, потребовав выкуп в размере 9,7 миллионов долларов (по доллару за клиента). Австралийские власти запретили компании соглашаться на выкуп и в итоге мы имеем следующие потери:

1. Австралийский регулятор Australian Prudential and Regulation Authority (APRA) заявил, что Medibank придется зарезервировать 250 миллионов австралийских (167 миллионов американских)долларов на разгребание последствий от инцидента, то есть вынуть деньги из оборота.
2. Регулятор проведет и будет проводить дополнительные проверки Medibank для оценки извлеченных уроков, что потребует отвлечения персонала на сопровождение этих проверок.

3. Управляющий директор по страхованию Citigroup заявил, что резервирование капитала означает не только отказ от выплаты дивидендов, но и невозможность возврата капитала акционерам в обозримом будущем.

4. Курс акций компании просел на 21% (почти 2 миллиарда рыночной стоимости компании) и вернулся в предатакованное состояние спустя только 6 месяцев.

   

5. Инициировано несколько исков со стороны юридических компаний Slater & Gordon, Baker & McKenzie и Quinn Emanuel Urquhart & Sullivan, представляющих интересы клиентов Medibank. Результаты по искам пока неизвестны.

6. В годовом отчете за 2022-2023 годы компания признала прямые финансовые убытки в размере 46,4 миллиона американских долларов, а в 2024-м году затраты на разгребание последствий ожидаются в 30-35 миллионов долларов, связанных с улучшением системы ИБ, юридическими затратами и другими тратами, связанными с регуляторным расследованием. Эти 46 миллионов распределены следующим образом:

   • 22 миллиона — на административные расходы
   • 15,6 миллионов — выплаты компенсаций сотрудникам
   • 7,5 миллионов — дополнительные технологические затраты
   • 1,2 миллиона — затраты на маркетинг

     

7. CEO и топ-менеджеры страховой компании сократили свои поощрительные бонусы на 2,6 миллиона долларов до нуля.

После инцидента Австралия увеличила штраф за «крупный инцидент”, который теперь может составлять не 1,4 миллиона долларов США, а 32 миллиона, либо сумму до 30% от дохода за определенный период.

Все австралийские компании очень «рады» такому подарку от регулятора и благодарят за это Medibank!

Хакеры, которым никто не выплатил затребованный выкуп, тоже от души посмеялись над компанией, когда в канун международного дня защиты информации выложили утечку в публичный доступ, заявив: «С Днем кибербезопасности!» 🙂

Этот, далеко не единственный пример, показывает, что «обычный» инцидент ИБ может дорого обойтись компании с финансовой точки зрения. Больше не только выкупа со стороны вымогателей, но и больше стоимости системы защиты от такого рода инцидентов. Чтобы помочь в оценке финансовой стороны инцидентов ИБ я подготовил статью, в которой перечислено 24 фактора, которые стоит учитывать при расчетах. А 8 февраля я проведу вебинар на эту тему с большим числом примеров и финансовыми оценками как нашумевших, так и не очень, инцидентов ИБ.