Утечка конфиденциальных данных может иметь гораздо более серьезное и длительное влияние на бизнес компании, чем это может показаться на первый взгляд. При этом для оценки ущерба необходимо учитывать все возможные последствия. Весь совокупный ущерб можно разделить на две основные части – прямой и косвенный.

Прямой ущерб включает в себя прямые финансовые потери: стоимость расследования инцидента и устранения его последствий, санкции со стороны регулирующих органов и затраты на внешний аудит. Косвенный ущерб: потери возможностей для бизнеса, снижение репутации компании и/или ценности бренда.

Организации, чей бизнес опирается на интеллектуальную собственность (в первую очередь высокотехнологические, производстводственные и финансовые компании), могут испытывать последствия утечки конфиденциальных данных на протяжении длительного периода. В случае утечки коммерческой тайны такие компании будут фиксировать не только серьёзные прямые убытки, связанные с разработкой и производством, сразу после инцидента, но и значительные косвенные убытки – недополученную прибыль в течение всего жизненного цикла продукта или услуги.

Ущерб от утечки нельзя рассчитывать только как разовые траты на последствие ее устранения. Когда кажется, что все прямые потери восстановлены, инцидент может оказывать влияние на бизнес еще на протяжении многих лет.

Например, по данным института Ponemon в США доля ущерба вследствие упущенных из-за утечек информации бизнес возможностей составляет до 65% от общего объема ущерба. В Великобритании и Германии чуть меньше – 53% и 32% соответственно.

Рисунок 3: Оценка упущенных бизнес-возможностей из-за утечки информации (%)

Ponemon “The 2008 Annual Study: Cost of a Data Breach”

Точную оценку ущерба от утечки данных можно сделать только для конкретного предприятия и конкретного типа информации. Поэтому ниже мы будем ориентироваться на некую среднюю оценку ущерба, опираясь на статистические данные со всего мира.

Согласно исследованию института Ponemon,средний совокупный ущерб, связанный с хищением конфиденциальной информации в 2008 году, оценивается в 6,6 млн. долларов для США и 2,5 млн. долларов для Европы (Великобритания и Германия). В зависимости от размера и юрисдикции компаний, ставших жертвами утечек, ущерб может варьироваться от 400 тыс. до 32 млн. долларов США.

При этом шанс столкнуться с утечкой важной для бизнеса информации есть у любой компании, независимо от ее размера и области деятельности. По статистике за 2008 год почти половина (44%) компаний столкнулись с действиями инсайдеров и утечкой конфиденциальных данных, а 42% компаний заявили о краже у них мобильных носителей (по данным института CS).

Таким образом, с вероятностью около 40% любая компания может стать жертвой утечки важных для нее данных и при этом ущерб от нее может составить от нескольких сотен тысяч до многих миллионов долларов.

Минимизировать риски утечек можно с помощью комплексных решений по защите от утечек конфиденциальной информации (DLP-решений).

Для компании на 500 рабочих станций совокупная стоимость владения каким-либо серьезным DLP-решением в течение первого года обойдется примерно в 350 тыс. долларов США. Эта сумма складывается из затрат на закупку программного обеспечения, внедрение, консалтинг, обучение персонала и последующее сопровождение клиента в течение года (по соглашению SLA). Для более крупной компании на 2000 рабочих станций совокупная стоимость владения в первый год будет выше – до 1.5 миллиона долларов США (в максимальной комплектации).

В последующие годы затраты на DLP-решение будут существенно ниже, складываясь из стоимости обновления лицензии, затрат на персонал и сопровождения. Для компаний на 500 и 2000 рабочих станций затраты составят 140 и 600 тыс. долларов соответственно.

	Суммарные затраты на DLP-решение в год	Средний размер ущерба от одной утечки	Срок окупаемости из расчета одной предотвращенной утечки
Компания на 500 до 2000 рабочих станций	$350 тыс. – 1-й год, $140 тыс. – 2-й и последующие годы	от $400 тыс. до нескольких миллионов	1 год
Компания на 2000 рабочих станций	$1.5 млн. – 1-й год, $600 тыс. – 2-й и последующие годы	от $2 млн. выше	1 год

Как видно из расчетов, в случае предотвращения любой утечки, компания, пользующаяся комплексным решением по защите, уже в течение первого года компенсирует все затраты на него. DLP решения не только защищают от утечек, но и позволяют понять, насколько компания подвержена рискам, где находятся наиболее проблемные зоны, какая информация, как и куда уходит. Все это, в конечном итоге, позволяет владельцам и руководителям компаний лучше понимать скрытые особенности собственного бизнеса и сделать его более предсказуемым – а это, ни за какие деньги не купишь.