Бывший сотрудник лихтенштейнского банка LGT Хайнрих Кибер недавно стал настоящей знаменитостью. В феврале нынешнего года он продал приватную базу своего бывшего работодателя немецким и британским спецслужбам, выручив за нее более 7 млн. долл. Пример Кибера наглядно показал, насколько прибыльным может оказаться банковский инсайд. Напомним, что в “базе Кибера” содержались сведения о банковских счетах немецких предпринимателей, которые использовали банки Лихтенштейна для уклонения от налогов. Для немецких спецслужб покупка оказалась крайне выгодной — уже спустя неделю она окупилась практически в шесть раз. Однако банку LGT и всей финансовой системе Лихтенштейна Кибер нанес поистине невосполнимый ущерб.

Современная реальность такова, что банки довольно часто теряют сведения о собственных клиентах. В этой статье мы постараемся оценить средний материальный ущерб банков от инцидентов подобного рода.

В большинстве случаев, чтобы получить численную информацию о том или ином показателе, компании проводят специальные исследования. Мы же поступим проще — сведем в единое целое отдельные показатели нескольких отраслевых опросов. В качестве отправной точки возьмем традиционный отчет компании Deloitte — “Global Security Survey 2007”, в рамках которого было опрошено 169 крупных финансовых компаний по всему миру.

По данным Deloitte, в финансовых компаниях происходит целый спектр внутренних инцидентов, имеющих различную степень опасности (табл. 1). Легко заметить, что 12% респондентов Deloitte теряли в 2007-м персональные сведения клиентов, а еще 10% — конфиденциальную информацию о них. Таким образом, утечки допустили как минимум 22% компаний, причем большинство из них зафиксировали более одного инцидента.

По оценкам аналитического центра компании Perimetrix, к данным Deloitte следует прибавить еще по крайней мере 10—15%, поскольку результаты Deloitte отражают количество компаний, которые знают о случившихся утечках, тогда как известна масса случаев, когда об инцидентах в компаниях узнавали только после того, как злоумышленники реально воспользовались пропавшей информацией.

Чтобы оценить масштабы утечек, обратимся к другому исследованию Deloitte “2007 Privacy & Data Protection Survey”, в котором приводятся данные о среднем количестве скомпрометированных приватных записей (рис. 1). Данный параметр является ключевым при определении материальных потерь в результате инцидента, поскольку основные расходы на ликвидацию последствий этого инцидента зависят именно от него. Чем больше записей было скомпрометировано, тем больше людей придется оповестить и тем больший резонанс вызовет инцидент в прессе.

Исходя из этих данных, легко оценить среднее количество потерянных записей. Для этого исключаем категории “не уверен” и “нет ответа”, нормируем значения остальных показателей, умножаем их на среднее число записей в категории и суммируем. Получаем, что в среднем из компаний финансовой сферы “утекает” примерно 11 000 записей (табл. 2).

В данном расчете рассматривались только те компании, которые допустили хотя бы одну утечку информации. Реальное количество скомпрометированных записей может оказаться значительно больше, поскольку Deloitte приводит информацию только по наиболее масштабной утечке. Вместе с тем одна и та же организация может допустить сразу несколько инцидентов, каждый из которых приводит к значительному числу пострадавших.

Напомним, что, по данным первого исследования Deloitte, утечки допускает 22% финансовых компаний. Умножаем эту цифру на количество скомпрометированных записей и получаем, что в среднем крупные финансовые компании теряют по 2400 записей в год. Этот показатель включает в себя все организации, независимо от того, допускали они утечки или нет.

Чтобы подсчитать материальный ущерб, обратимся к исследованию Ponemon Institute “2007 Annual Study: The Cost of data breach”. Одним из главных результатов этого исследования является средняя стоимость утечки всего лишь одной приватной записи. По данным Ponemon, в финансовом секторе она составляет 238 долл. (рис. 2).

Каким образом получается эта сумма? Она складывается из целого списка различных факторов, каждый из которых требует материальных затрат. Действительно, при возникновении утечки требуется: ·

  • провести расследование и понять, почему случился инцидент; ·
  • оповестить пострадавших в письменной форме. Организовать для них линию помощи; ·
  • оплатить услуги консультантов по безопасности; ·
  • закупить решения для минимизации риска аналогичных инцидентов; ·
  • оплатить услуги юристов в случае судебных разбирательств; ·
  • провести пиар-компанию, чтобы успокоить общественное мнение; ·
  • возможно, выплатить штрафы регуляторам.

Однако наибольшие материальные потери имеют совершенно другой, косвенный характер. И связаны они с ущербом для репутации компании и дальнейшим оттоком клиентов. На репутационные потери приходится 56% убытков финансовых компаний, или 134 долл. на запись в численном выражении.

Таким образом, общий средний ущерб крупных банков от утечек составляет примерно 573 тыс. долл. в год. Еще раз подчеркнем, что в данном числе учтены все финансовые организации, и даже те, которые утечек не допускали. Это означает, что внедрение системы защиты будет заведомо оправданно, если ее стоимость окажется ниже указанного значения.

Легко понять, что средний ущерб от одной утечки в финансовых организациях составил 2,6 млн. долл. Конечно, к данной сумме следует относиться с изрядной долей скепсиса, поскольку она была получена в результате косвенных вычислений, основанных на опросе игроков финансового рынка. Вместе с тем эта оценка дает представление о реальных масштабах потерь, которые несут банки в результате всего лишь одной угрозы информационной безопасности.

C автором статьи, экспертом по ИТ-безопасности, можно связаться по адресу: danil.anisimov@gmail.com.

Примеры типичных утечек в финансовой сфере

26 марта 2008 г.* Транспортная компания Archive Systems потеряла во время транспортировки резервную ленту банка New York Mellon. Носитель содержал персональные сведения 4,5 млн. человек. Экспертная оценка ущерба: 100 млн. долл.

8 мая 2008 г. Из офиса HSBC, одного из крупнейших банков в Гонконге, был украден сервер (по другой версии сервер был потерян) с персональными данными 160 тыс. клиентов. На нем содержались сведения об именах и номерах счетов клиентов, а также другая приватная информация. Экспертная оценка ущерба: 4 млн. долл.

6 мая 2008 г. В Тюменский областной в суд направлено уголовное дело группировки мошенников, специализировавшихся на хищении денежных средств по кредитным картам банка “Русский стандарт”. По данным прокуратуры, для совершения хищений мошенники внедряли своих людей как в филиалы банка, так и в подразделения почтовой связи в Тюмени, Омске и Кургане. За восемь месяцев жертвами мошенников стало более 450 человек, а общий ущерб составил 11 млн. руб. Экспертная оценка ущерба: 1 млн. долл.

12 декабря 2006 г. Сразу 10 российских банков допустили утечки. Среди них — “Русский стандарт”, ХКФ-банк, Росбанк, Финансбанк, Импэксбанк и др. Так, любой желающий мог всего за 2000 руб. приобрести базу “Отказы по кредитам и стоп-листы банков России” с 3 млн. записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. В базе содержалась информация об имени заемщика, телефоне, домашнем адресе, месте работы и причине попадания в базу — просрочка по кредиту, отказ в выдаче кредита и другие компрометирующие обстоятельства (например, наличие судимости). Дополнительно указан банк — источник этих сведений. О точных убытках банков не известно. Однако эксперты считают, что банки значительно испортили свою репутацию на рынке потребительского кредитования и в общении с корпоративными клиентами и партнерами. Экспертная оценка ущерба для каждого банка: 500 тыс. долл.

6 сентября 2006 г. Российский банк “Первое ОВК”, поглощенный Росбанком, допустил утечку базы персональных данных, содержащей информацию о 3000 неблагонадежных заемщиках банка, получавших кредиты в 2002—2003 гг. База содержала номера домашних или мобильных телефонов заемщиков, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем была указана причина и дата занесения в черный список. База продавалась в Интернете и на рынках Москвы за 900 руб. Корреспонденты газеты “Коммерсант” связались с людьми из этой базы и выяснили, что они действительно получали кредиты в указанное время в банке “Первое ОВК”. О точных убытках этого банка (на момент появления базы в продаже — уже Росбанка) не известно. Однако эксперты считают, что банку как минимум пришлось провести внутреннее расследование. Кроме того, нельзя исключать возникшие трудности в общении с корпоративными клиентами и партнерами, которые хотя и не пострадали, но могли начать проявлять обеспокоенность относительно сохранности своей информации в банке. Экспертная оценка ущерба: 500 тыс. долл.

* Здесь и далее указаны даты, когда об инциденте стало известно общественности.

Таблица 1. Распределение внутренних инцидентов по типам атак

Источник: Deloitte, 2007 г.

Тип инцидента

Доля компаний, зафиксировавших инциденты в 2007 г., %

только один раз

более одного раза

Вирусы/черви, занесенные в информационную систему изнутри компании

   8

13

Внутренние инциденты, связанные с беспроводными сетями

1

0

Потеря/компрометация персональных данных клиентов

4

8

Внутреннее финансовое мошенничество с использованием информационных систем

7

11

Кража или утечка интеллектуальной собственности (например, утечка списка клиентов, приведшая к сокращению клиентской базы)

3

7

Случайные внутренние инциденты

5

13

Другие внутренние инциденты

2

10

 

Таблица 2. Расчет среднего количества потерянных записей

Категория

Нормированное значение, %

Потеряно записей

Более 25 тыс.

15,5

50К×0,155=7771

От 5000 до 20 тыс.

20,1

12,5К×0,201=2512

От 1000 до 5000

17,6

3К×0,176=527

От 100 до 1000

14,3

550×0,143=79

Менее 100

20,6

50×0,206=10

Ни одной записи не потеряно

11,9

0

 

 

Всего: 10 899