Казахстан, как и любая другая страна, теряет довольно значительное количество денежных средств из-за утечек конфиденциальных данных, допускаемых как коммерческими, так и государственными организациями. Об этом деловому порталу Kapital.kz сообщил Роман Идов, ведущий аналитик компании SearchInform.
Роман Идов отметил, что по оценкам Ponemon Institute, средняя стоимость утечки информации по миру уже приближается к 3 млн. долларов. Конечно, для стран СНГ, в том числе, и для Казахстана, эта сумма будет несколько меньше, но это вовсе не означает, что казахстанские компании и госструктуры не несут ущерба из-за них, подчеркнул эксперт.
Он назвал основные пути нанесения ущерба:
1. Прямой ущерб, выражающийся в стоимости приобретения той информации, которая утекла. К примеру, если вы вложили 1 млн. долларов в разработку какого-либо устройства, а его чертежи и проектная документация «утекли» до того, как вы успели его запатентовать, то этот миллион и есть прямой ущерб от утечки информации.
2. Ущерб от штрафов регуляторов и судебных исков, неизбежно следующих за любой масштабной утечкой данных. В СНГ этот ущерб пока не так велик, а вот на Западе он может составлять десятки миллионов долларов, что нужно иметь в виду, если вы хотите вести бизнес с западными компаниями.
3. Ущерб от потери конкурентого преимущества. Если конкурент завладел вашей конфиденциальной информацией, то он сможет заполучить часть выгодных заказов и контрактов, захватить часть вашей рыночной доли. К сожалению, подсчитать сумму такого ущерба весьма непросто, но она может быть огромной.
4. Ущерб от испорченной репутации. Даже если конкуренты будут не при чем, многие просто могут не захотеть иметь дело с организацией, которая недостаточно внимательно относится к вопросам собственной информационной безопасности. Особенно важен данный вид ущерба для банков, медицинских центров, юридических компаний – для тех, кто имеет дело с приватной информацией клиента. Подсчитать репутационный ущерб чрезвычайно сложно, но он может быть поистине колоссальным.
Обычно небольшая утечка информации вредит допустившей её организации одним-двумя из перечисленных выше способов. Но масштабные и резонансные инциденты, связанные с утечками конфиденциальных данных, всегда несут в себе все перечисленные выше виды ущерба.
Расказал эксперт и о бизнес-рисках. Бизнес-риск – это опасность того, что организация понесет убытки в результате наступления того или иного случае, в том числе, и утечки конфиденциальной информации. В понятие риска входит как возможный ущерб, так и вероятность наступления приводящего к данному ущербу события. Поэтому расчетами рисков должны занимать профессионалы, использующие специально разработанные методики. Зачастую компании обращаются к услугам консалтинговых компаний, которые предоставляют услугу расчета бизнес-рисков и предоставления рекомендаций по их минимизации.
По словам Романа Идова, прежде всего необходимо определиться с тем, какая информация ценна, и какую, соответственно, необходимо защищать. К сожалению, как говорят эксперты, с этим у казахстанских организаций зачастую наблюдаются проблемы, из-за чего в среднем Казахстан отстает от России в сфере информационной безопасности на два года. Для исправления ситуации, отметил ведущий аналитик компании SearchInform, достаточно ознакомиться со списком наиболее часто утекающих из организаций документов:
финансовые отчеты;
различная бухгалтерская документация;
бизнес-планы;
договора и тендерная документация;
персональные данные клиентов и сотрудников организации;
технологическая документация;
служебные записки;
аудиозаписи совещаний;
логины и пароли;
сведения об используемых средствах защиты.
После того, как вы определитесь с тем, какие документы вам необходимы для нормального функционирования, нужно разработать систему доступа к ним: к чему имеют доступ только высшие руководители, к чему – менеджеры среднего звена, к чему – все сотрудники. Реализовать разграничения доступа можно с помощью паролей к папкам, базам данных и так далее.
Но для действительно эффективной борьбы с утечками информации, по мнению эксперта, организации необходима DLP-система. Это специальное программное обеспечение, которое создает «защитный контур» вокруг IТ-инфраструктуры и анализирует пересекающую его информацию на предмет наличия конфиденциальных данных. Таким способом можно выявлять сотрудников, которые передают корпоративные секреты конкурентам, и даже выявлять случаи переманивания ценных сотрудников конкурентами.