Как обезопасить личные данные
Почему у бизнеса продолжает утекать информация и кто на этом зарабатываетУ российских компаний продолжают случаться утечки персональных данных, и количество скомпрометированной информации постоянно растет. Как следствие, растет и спрос на услуги компаний, предлагающих защиту от киберугроз. Также начинает развиваться страхование от киберрисков – правда, пока на рынке ему не особенно доверяют.
Бурное течение
За первую половину 2023 г. в мире зафиксировано в 2,4 раза больше утечек информации, чем за тот же период прошлого года, отметили аналитики в отчете компании InfoWatch. При этом в России число инцидентов, приведших к компрометации персональных данных, сократилось на 17,5%, но объем сливов вырос более чем на 72% и составил 705 млн записей (сведения об одном человеке могут содержаться в разных базах, поэтому количество записей сильно превышает число жителей страны).
В среднем в результате утечки компания теряет 5,5 млн руб., отметил эксперт Центра продуктов Dozor ГК «Солар» Руслан Добрынин. По его словам, эта оценка включает прямые финансовые издержки (проведение внутреннего расследования, апгрейд или замена ПО и др. – «Ведомости. Технологии и инновации») и не учитывает потенциальные репутационные потери и штрафы. При этом финансовые показатели бизнеса ухудшит и потеря доверия со стороны клиентов, и последующее снижение спроса на продукты или услуги компании, добавил директор департамента системной интеграции BI.ZONE Антон Голубков. Также инциденты могут быть чреваты и исками от пострадавших, заметил эксперт по кибербезопасности Kaspersky ICS CERT Владимир Дащенко.
Только тихо
«По логике, утечки данных должны сказываться на лояльности клиентов, приводить к уменьшению клиентской базы, но достоверных статистических данных по стране пока нет», – отметил руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. Он добавил, что многие крупные инциденты произошли у компаний, по сути являющихся монополистами, и их клиентам некуда уходить. Организации крайне неохотно признают сам факт утечки и еще меньше готовы говорить о потерях и в этом как раз проблема оценки ущерба от инцидентов, указал эксперт.
В ситуации, когда в СМИ попадает информация лишь о единичных утечках, у руководителей бизнеса может возникнуть иллюзия, что такие инциденты и связанный с ними ущерб – это то, что происходит где-то далеко, в других странах или как минимум в других индустриях, заметил партнер, лидер практики технологического консультирования компании ДРТ (ранее – Deloitte) Тимофей Хорошев. Но в действительности угроза значительно ближе и она незаметно и быстро растет, так же как растут темпы автоматизации и цифровизации бизнеса, подчеркнул эксперт.
Впрочем, резкий рост количества утечек персональных данных дает основание предположить, что в ситуацию вмешается государство и требования по защите информации и наказания за инциденты будут усилены, полагает Смирнов. В Госдуме уже разработали законопроект о введении оборотных штрафов – до 3% от годового оборота компании за повторные утечки персональных данных.
Несчастье помогло
Увеличение количества утечек опосредованно влияет на рост рынка ПО для их предотвращения, отметил Добрынин из ГК «Солар». По его словам, сегодня объем российского рынка средств по защите от утечек информации, по разным оценкам, составляет от 7 млрд до 10 млрд руб. в год, показатель увеличивается на 7–15% ежегодно. Эксперт назвал весьма вероятным увеличение темпов роста, в том числе в связи с возможным введением оборотных штрафов.
Но для эффективной защиты одного лишь ПО недостаточно, заметил Голубков из BI.ZONE. «Важную роль играет комплексная оценка кибербезопасности, приведение к соответствию требованиям, управление рисками. У компаний не всегда хватает ресурсов, чтобы выстроить эффективную защиту с учетом всего перечисленного. Поэтому кроме роста рынка средств защиты информации можно ожидать увеличения спроса на консалтинг в этой области», – считает он.
В среднем траты компаний на информационную безопасность (и ПО, и профильных специалистов) выросли на треть по сравнению с предыдущим годом, оценил член президиума «Опоры России», председатель комитета по развитию предпринимательства на цифровых платформах Дмитрий Гавриленко.
Страховой случай
Возросшее внимание предприятий и органов власти к проблеме утечек создает предпосылки для увеличения спроса не только на защитные меры, но и на страхование от киберрисков, отметил исполнительный директор «Согаза» по андеррайтингу Анар Бахшалиев. Такая страховка покрывает ущерб от потери данных или информационных систем, перерыва в производстве, кражи финансовых активов, пояснил директор по рискам «Сберстрахования» Владимир Новиков. Также в полисы включено страхование гражданской ответственности и дополнительных расходов на расследование и восстановление данных, уточнил он.
Впрочем, пока страхование от киберрисков не получило широкого распространения. Опрос InfoWatch в сентябре 2023 г. показал, что 98% организаций, в которых произошли утечки информации за последние три года, оказались не застрахованы от ущерба, рассказал Смирнов.
Новиков оценил число страхующихся от киберрисков компаний в 10% и согласился, что пока потенциал этого сегмента раскрывается слабо. По его мнению, это связано с тем, что компании сфокусированы на прямой цифровой защите. «Ситуация достаточно скоро изменится. У нас в стране рынок страхования от киберрисков активно развивается только с 2015 г., но спрос растет. У бизнеса, очевидно, есть потребность заменить непрогнозируемые убытки [от утечек] на плановые страховые взносы, тем самым защитить финансовое состояние своей компании», – убежден топ-менеджер.
Как правило, интерес к киберстрахованию возникает, когда компании уже сталкиваются с атаками и начинают анализировать понесенный ущерб, отметил Голубков. По его словам, в большинстве случаев покупка полиса действительно позволяет сэкономить бюджеты на безопасность. Сейчас от рисков информационной безопасности в основном страхуются крупные компании, рассказал Новиков.
Но пока у многих представителей бизнеса нет веры в то, что в случае инцидента они смогут получить какие-то выплаты по полису, считает член генерального совета «Деловой России», председатель совета директоров ООО «Инвенторус» Евгений Елфимов. «В итоге это будет очередной продукт, за счет которого кто-то заработает, а кто-то заплатит страховую премию и погрязнет в судах, доказывая, что он не верблюд», – поддержал другой член генерального совета «Деловой России», председатель совета директоров АО «Берега» Юрий Коробов.
И проблемы с получением компенсации в случае инцидента действительно могут возникнуть, говорят эксперты. Ущерб в результате самой по себе утечки персональных данных достаточно сложно поддается оценке, если речь не идет о конкретном материальном ущербе вроде кражи денег, объяснила председатель совета Ассоциации профессиональных страховых брокеров Катерина Якунина. «Судебная практика, которая позволила бы оценить размер причиненного в результате утечки персональных данных ущерба, на сегодняшний день де-факто отсутствует», – добавила она. Штрафы же за компанию страховая компания заплатить не сможет: законодательство запрещает страховать противоправные действия и, соответственно, покрывать выплаты санкций страховкой. Поэтому сейчас сегмент развивается преимущественно в части покрытия материального ущерба, подытожила эксперт.
Изнанка цифровизации
Несмотря на развитие продуктов для защиты бизнеса от кибератак, число инцидентов будет увеличиваться, сходятся во мнении эксперты. «Количество утечек продолжит расти как в результате внешних воздействий, так и из-за внутренних злоумышленников», – уверен Добрынин из ГК «Солар». Предпосылок к тому, чтобы количество киберугроз начало сокращаться, действительно нет, согласен Новиков. «Запрос на цифровизацию растет, и это, скорее всего, означает, что атакам будут подвергаться не только компании, прибыль которых в полной мере зависит от работы в онлайне, но и предприятия традиционных отраслей, которые все чаще внедряют в свою работу цифровые инструменты», – пояснил эксперт. Елфимов добавил, что росту числа утечек поспособствует и большой недостаток специалистов по информационной безопасности на рынке труда.
Смирнов из InfoWatch допустил, что продолжится рост количества сообщений об утечках, но «оригинальных» среди них будет немного. «Скорее будут появляться компиляции из реальных утекших данных, а также дополнения их сведениями, собранными из открытых источников», – пояснил он. Злоумышленники попытаются заработать на продаже таких данных, а также могут использовать их для попыток компрометации компаний или вымогательства, шантажируя оборотными штрафами, отметил эксперт.