14 Августа, 2018

Сколько может стоить компании утечка персональных данных?

Panda Security в России и СНГ
В прошлом месяце мы узнали результаты расследования скандала вокруг Cambridge Analytica и Facebook в Великобритании. Социальная сеть получила штраф в размере 500 000 фунтов стерлингов, что является мизерной суммой по сравнению с ее годовым оборотом, и значительно ниже штрафа, который мог быть выписан в рамках нового европейского законодательства о защите персональных данных GDPR.  Впрочем, экономические санкции, налагаемые на предприятия органами по защите данных, являются не единственными издержками, связанными с  нарушением данных.

Отчет, выполненный институтом Poemon Institute , показал, что средний ущерб от нарушения персональных данных составляет 3,86 миллионов долларов США, что на 6,4% выше по сравнению с прошлым годом.  В эту стоимость входят такие расходы как обнаружение нарушения, проведение расследования, устранение нарушения, информирование соответствующих органов, работа юридических служб и служб по работе с общественностью, а также служб технической поддержки клиентов. Ко всему этому нам необходимо добавить также ущерб от потери доверия со стороны клиентов – еще один ключевой аспект, который может причинить серьезный ущерб финансам компании .

Средний размер нарушения данного типа также растет, что способствовало увеличению расходов, потому что, по данным исследования, чем больше потеряно данных, тем дороже нарушение. Например, нарушение менее 10 000 записей обойдется в  среднем в 2,1 млн. долларов США, а нарушение в 50 000 записей обойдется уже в 6,5 млн. долларов США.

Данное исследование проводилось до вступления в силу GDPR. Однако в нем была оговорка о том, что новое европейское законодательство будет означать серьезный рост среднего размера ущерба от нарушения  персональных данных, т.к. максимальный размер штрафа может составлять уже 4% от годового оборота или до 20 млн. евро, что значительно выше текущего среднего показателя.

Размер ущерба зависит от типа атаки
В отчете отмечены три различных типа нарушений данных: криминальные или вредоносные атаки (48% случаев), человеческий фактор (27% случаев) и системные сбои (25% случаев). Самыми «дорогими» случаями были вредоносные атаки, которые в среднем причиняли ущерб в размере 157 долларов США за каждую запись.  Это можно объяснить тем, что такие инциденты сложнее обнаружить, и даже после их обнаружения требуется больше времени для их сдерживания и устранения. Для сравнения: нарушение, вызванное человеческой ошибкой, имеет средний размер ущерба в 128 долларов США за каждую запись.

К изменению стоимости инцидента также может привести влияние и других факторов. Например, географическое местоположение компании: в США ущерб возрастает до 7,91 млн. долларов, в то время как в Бразилии этот показатель снижается до 1,24 млн. долларов США. Важную роль играет и скорость, с которой компаниям удается сдержать или справиться с нарушением. Если нарушение устраняется в течение 30 дней, то средний ущерб снижается до 3,09 млн. долларов США, а если свыше 30 дней, то он возрастает до 4,25 млн. долларов США.

В наши дни с распространением Интернета вещей (IoT), как ни удивительно, но использование мобильных устройств также влияет на размер ущерба от нарушения данных. Широкое использование такого рода устройств может добавить по 10 долларов США за каждую запись при оценке размера ущерба от нарушения, в то время как потеря устройства добавляет 6,5 долларов США.
https://youtu.be/es6dQH9D7cw

Как Вы можете сохранить Вашу компанию от ущерба, связанного с нарушением данных?
Самое главное, когда дело доходит до смягчения подобных рисков, - это быть предельно осторожным с тем, как обрабатываются персональные данные. Важно знать, где хранятся данные и кто имеет к ним доступ. С помощью Panda Data Control вы можете обнаруживать и проверять неструктурированные персональные данные на конечных устройствах: от неактивных данных до используемых и передаваемых данных. Этот модуль в решениях Panda Adaptive Defense генерирует отчеты и уведомления в реальном времени о несанкционированном использовании данных, чтобы исключить случаи их незаконного раскрытия и помочь применить вам в своей компании проактивные меры для ограничения доступа к ним и операций с ними.




Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com