Как известно, утечки информации несут в себе множество негативных последствий для допустивших их компаний – это и серьезный финансовый ущерб, и удар по репутации. К сожалению, уберечься от утечки данных удается далеко не всегда. Что делать, если она уже произошла?

Механизмы вреда от утечек данных

Для того чтобы максимально точно ответить на этот вопрос, для начала попробуем разобраться, чем именно хищение информации может навредить организации, которая ее допустила. По сути дела, все мероприятия, связанные с устранением последствий утечки, так или иначе, сводятся к минимизации ущерба по каждому из рассмотренных ниже пунктов.

Самый простой и очевидный ущерб от утечки – это прямые убытки фирмы, связанные со стоимостью данных, попавших в руки конкурентов или ставших общедоступными. Для должного понимания рассмотрим конкретный пример. Допустим, некоторая производственная компания решила выпустить на рынок новую модель граблей, для чего заказала своим подрядчикам выполнение работ, связанных с их выпуском: дизайн-студии – разработку дизайна изделия, НИИ граблестроения – подбор материалов, ближайшему колхозу – тестирование новинки в полевых условиях. За каждое из этих направлений работы предприятие выплатило подрядчикам немалые суммы. В связи с этим, когда конкуренты похитили чертежи граблей, результаты подбора материалов и протоколы полевых испытаний, они сэкономили деньги, а компания-заказчик понесла убытки.

Следует отметить, что свою цену имеет любая информация (даже если она, на первый взгляд, ничего не стоила фирме), поскольку выполнялась ее работниками. Ведь им тоже платят зарплату – соответственно, время, потраченное ими на получение информации, составляет ее базовую стоимость.

Однако прямые убытки – далеко не единственный пункт в списке источников ущерба от утечки данных. Следующая на очереди – недополученная прибыль. Компания, укравшая документацию на грабли и первая выпустившая их на рынок, получит возможность снять все сливки «своим» новым продуктом, тогда как реальный разработчик окажется в положении догоняющего или, того хуже, потребители обвинят его в плагиате. Соответственно, продажи этого предприятия будут значительно меньше ожидаемых.

Еще одна неприятность, с которой может столкнуться компания, допустившая утечку, – это судебные иски пострадавших в результате инцидента. В данном случае речь идет об утечке персональных данных. Как показывает практика, именно судебные иски от физических лиц становятся наиболее частой причиной убытков компании. Кроме того, это может повлечь за собой штраф от регулирующих органов, занимающихся защитой персональных данных на государственном уровне.

Кстати, на постсоветском пространстве проблема штрафов пока не так актуальна, как в западных странах, где даже крупнейшие организации становятся героями новостей об утечках и последующих санкциях, но постепенно мы приближаемся к западной модели ответственности за информационные потери.

Наконец, самый важный вид убытков, который сложнее всего оценить и нейтрализовать, – репутационный. Любая организация, допустившая хищение сведений, тем самым ухудшает свой имидж в глазах потенциальных клиентов, партнеров и собственных сотрудников. Все это, в свою очередь, ведет к недополученной прибыли и зачастую – к оттоку квалифицированных кадров, что в стратегической перспективе может оказаться даже хуже незаработанных денег.

Это особенно актуально в тех случаях, когда компания работает на западных рынках либо в сфере, так или иначе связанной с защитой данных. Что может подорвать имидж больше, чем ситуация «сапожник без сапог»? Часто именно репутационные потери оказываются самыми болезненными и долгосрочными. К тому же, если утечка произошла в переломный для организации период, такой инцидент может стать причиной ее банкротства.

Алгоритм действий при утечках информации

Итак, что же делать, если в вашей компании обнаружена утечка информации? По совету аналитика компании SearchInform, работающей в сфере защиты данных от утечек, Романа Идова, практически во всех случаях нужно придерживаться довольно простого алгоритма, позволяющего минимизировать последствия:

установить источник утечки, чтобы избежать ее повторения;

выяснить, кому стала доступна похищенная информация;

установить, какие еще данные могли быть скомпрометированы в результате этой утечки;

сообщить об утечке всем лицам, которые могут пострадать в ее результате;

если есть необходимость, обратиться в правоохранительные органы;

работать над минимизацией ущерба по каждому из возможных направлений.

Детальнее рассмотрим каждый из перечисленных выше пунктов.

Найти источник утечки нужно до начала иных действий именно с целью предотвратить хищение другой закрытой информации, а также наказать виновных для того, чтобы остальным, как говорится, было неповадно. Наилучшим способом поиска может стать анализ сетевой активности пользователей корпоративной компьютерной сети с помощью системы мониторинга информационных потоков предприятия или DLP-системы (от англ. Data Leak Prevention – защита от утечек данных).

Далее следует выяснить, кто получил конфиденциальные сведения, чтобы понять, кому и чем это грозит. Здесь трудно давать какие-либо советы, поскольку все зависит и от самой информации, и от ее получателя. Но вполне понятно, что одно дело, когда утекают, например, данные об исследовании рынка, которые становятся достоянием прессы, и совсем другое – когда список крупнейших клиентов попадает в руки ближайшего конкурента.

После этого стоит оценить, какие еще данные могли передать за пределы компании те, кто виновен в первой утечке. Это, опять-таки, нужно для того, чтобы более полно оценить последствия последней для самой фирмы и других, связанных с ней организаций и частных лиц.

Четвертый пункт становится самым сложным для большинства компаний, поскольку никто не любит признавать собственные ошибки. Большинство организаций предпочитают замалчивать о произошедшем у них хищении данных, чтобы минимизировать последствия таковых, но достигают тем самым совершенного противоположного эффекта. «Не сообщая об утечках тем, кто может пострадать от них, компании лишают своих клиентов, партнеров, сотрудников возможности защититься, – утверждает г-н Идов. – Из-за этого они могут потерять доверие к ней, и когда все-таки выяснится, что утечка произошла, неприятных слов в адрес допустившей ее фирмы будет гораздо больше, чем в случае, когда все вовремя извещены».

Обращаться в правоохранительные органы имеет смысл по поводу не каждой утечки, однако это бывает необходимо, чтобы наказать виновных. К сожалению, пока что практика судебного преследования виновных в разглашении коммерческой тайны не слишком распространена, и компании предпочитают самостоятельно решать касающиеся этого вопросы, в связи с чем отсутствуют показательные судебные процессы, способные заставить задуматься сотрудников, продающих «на сторону» закрытую корпоративную информацию.

Минимизация ущерба

О минимизации ущерба по каждому из возможных его источников стоит поговорить отдельно и достаточно подробно, поскольку именно она составляет львиную долю работы по устранению негативных последствий утечек конфиденциальной информации.

Для уменьшения прямого ущерба целесообразно ускорить выполнение бизнес-процессов, в которых вращается похищенная информация, для того чтобы она как можно скорее перестала быть актуальной. В частности, в примере, приведенном в начале статьи, пострадавшая фирма может изыскать внутренние ресурсы и ускорить вывод на рынок разработанной ею модели грабель, чтобы опередить конкурента. Безусловно, поторопиться с производством и поставками в торговые организации товара сложно, но начать заранее рекламную кампанию, продемонстрировать опытные образцы на профильных выставках и как можно громче заявить о своей разработке до того, как ее выпустят конкуренты, под силу практически каждому. Подобные шаги помогут минимизировать и недополученную в результате утечки прибыль. Это справедливо не только для тех случаев, когда конкуренты завладевают непосредственно технологическими разработками, но и при утечках маркетинговых исследований, бизнеспланов и других документов.

Еще один весьма эффективный способ уменьшить ущерб от утечки – сообщить о ней максимально громко, причем назвав не только виновников, но и заказчиков. Делать это необходимо лишь в том случае, если существуют неопровержимые доказательства причастности конкурирующих организаций к утечке, иначе можно быть обвиненным в клевете и даже заплатить солидную компенсацию по связанному с этим обвинением иску. Тем не менее, если доказательства существуют, то компания, допустившая утечку, будет выглядеть в более выигрышном свете, чем та, которая стала похитителем данных.

Защититься от судебных исков поможет также своевременное сообщение об утечке. Для этого совсем не обязательно выпускать пресс-релиз, достаточно предупредить клиентов, партнеров, сотрудников, пострадавших в результате нее. Неплохо «работает» и предложение денежной компенсации (подобного рода затраты будут значительно меньше суммы возможных исков). А для того, чтобы желающих получить компенсацию было не слишком много, можно организовать ее выдачу только по паспорту: как известно, люди не очень любят связываться с «халявой», если для ее получения нужно предоставлять документ.

Исправить испорченную репутацию практически нереально, но можно, во-первых, предоставить публике наказанного виновника, во-вторых, рассказать о том, что компания делает для предотвращения подобного инцидента в будущем, в-третьих, постараться отвлечь от негативного события позитивным: например, провести акцию по сбору пожертвований для детского дома.

Выводы

Если хищение информации все же произошло, главное – усвоить урок и не допускать подобных инцидентов в будущем. Для этого необходимо серьезно заняться обеспечением информационной безопасности в организации, поскольку любая утечка сведений – это недоработка сразу во многих областях, начиная кадровой политикой и заканчивая непосредственно контролем работы сотрудников на их рабочих местах. В целом, утечка данных – не повод для отчаяния. Если подойти к решению проблемы спокойно и взвешенно, то можно минимизировать последствия даже очень масштабной и болезненной для предприятия потери, а если повезет – улучшить свое положение и «потопить» конкурента. Одним словом, как и всегда в бизнесе, важно не опускать руки и мыслить творчески – остальное приложится.