От фонаря до лампочки
Когда эксперты говорят об ущербе от кибератак, они обычно не приводят методики его оценки. Потому что это - больное место отраслевой аналитики.
Сами понимаете, предприниматели редко заинтересованы в обнародовании своих бухгалтерских данных. После того, как стало известно об инциденте, в прессе иногда появляются оценки ущерба. Их источниками лишь изредка служат уполномоченные лица компании-потерпевшего. Чаще оценку даёт кто-то из рядовых работников или внешний эксперт. Иногда размер ущерба берётся из искового заявления истца. Понятно, что в ходе последующего процесса (который может тянуться год, до его окончания ни один журналист ждать не станет) хотелки истца обычно начинают таять. Одно дело - потребовать возместить убытки, совсем другое дело - документально обосновать их размер.
Помню, на одном уголовном процессе по ст.272 УК потерпевший заявил, что убытки от преступления составляют 50 тысяч долларов. Следователь принял это без доказательств и вписал в обвинительное заключение. Судья тоже готов был принять. Но защитник привёл на процесс специалиста по бухучёту и потребовал его допросить (отказывать в таком ходатайстве прямо запрещено УПК). Специалист показал официальную справку из Госкомстата с основными финансовыми показателями потерпевшего. Из неё следовало, что по белой бухгалтерии, за отчётный период предприятие не могло понести убытков (от всех возможных причин суммарно) более чем на 4 тысячи. А не надо было работать "в серую"! В итоге подсудимого таки осудили, но сопутствующий иск потерпевшему пришлось засунуть в соответствующее место.
По нашей статистике выходит, что для утечек какая-нибудь оценка ущерба (хоть отфонарно-потолочная) присутствует в 10% случаев. Для прочих её приходится экстраполировать - высчитывать средний ущерб для одного инцидента и средний ущерб на одну запись персданных. А потом умножать эти средние на общее число инцидентов (записей). Очевидно, статистика получается не слишком точная и порою завышенная.
Завышенная? Но, с другой стороны, обычно оценивается только прямой ущерб. А иные убытки (недополученная прибыль, к примеру) или урон деловой репутации вообще не оцениваются.
Сами понимаете, предприниматели редко заинтересованы в обнародовании своих бухгалтерских данных. После того, как стало известно об инциденте, в прессе иногда появляются оценки ущерба. Их источниками лишь изредка служат уполномоченные лица компании-потерпевшего. Чаще оценку даёт кто-то из рядовых работников или внешний эксперт. Иногда размер ущерба берётся из искового заявления истца. Понятно, что в ходе последующего процесса (который может тянуться год, до его окончания ни один журналист ждать не станет) хотелки истца обычно начинают таять. Одно дело - потребовать возместить убытки, совсем другое дело - документально обосновать их размер.
Помню, на одном уголовном процессе по ст.272 УК потерпевший заявил, что убытки от преступления составляют 50 тысяч долларов. Следователь принял это без доказательств и вписал в обвинительное заключение. Судья тоже готов был принять. Но защитник привёл на процесс специалиста по бухучёту и потребовал его допросить (отказывать в таком ходатайстве прямо запрещено УПК). Специалист показал официальную справку из Госкомстата с основными финансовыми показателями потерпевшего. Из неё следовало, что по белой бухгалтерии, за отчётный период предприятие не могло понести убытков (от всех возможных причин суммарно) более чем на 4 тысячи. А не надо было работать "в серую"! В итоге подсудимого таки осудили, но сопутствующий иск потерпевшему пришлось засунуть в соответствующее место.
По нашей статистике выходит, что для утечек какая-нибудь оценка ущерба (хоть отфонарно-потолочная) присутствует в 10% случаев. Для прочих её приходится экстраполировать - высчитывать средний ущерб для одного инцидента и средний ущерб на одну запись персданных. А потом умножать эти средние на общее число инцидентов (записей). Очевидно, статистика получается не слишком точная и порою завышенная.
Завышенная? Но, с другой стороны, обычно оценивается только прямой ущерб. А иные убытки (недополученная прибыль, к примеру) или урон деловой репутации вообще не оцениваются.