На днях прочитал свежий (от октября 2015) и довольно интригующий документ "2015 Cost of Cyber Crime Study: Russian Federation" от Ponemon Institute. Этот американский институт регулярно выпускает отчеты, в которых приводят оценку ущерба от инцидентов ИБ (обычно утечек) в разных странах. И уже 2й раз выпускают информацию про Россию.
На что следует обратить внимание при чтении:
- Для всех стран используется единая методология сбора данных (опросы и интервью), их обработки и представления. Некоторые тезисы, выводы или группировки данных выглядят очень странно для российских безопасников.
- В отчете считают ущерб лишь от "cyber attack", а не от всех инцидентов ИБ...
What is a cyber attack? A cyber attack is any type of offensive maneuver employed by individuals or whole organizations that targets computer information systems, infrastructure, computer networks, and/or personal computer devise by various means of malicious acts usually originating from an anonymous source that either steals, alters or destroys a specified target by hacking into a susceptible system. The cost of cyber crime can vary according to the cause and the safeguards in place at the time of the attack.
- На мой взгляд, делать некоторые выводы (например, по используемым типам СЗИ, распределению величины инцидентов по отраслям) по полученным "сырым" данным в корне не верно, т.к. выборка слишком маленькая и не репрезентативная (об этом хорошо написано тут ). Судите сами, по РФ в опросе участвовали всего 24 компании (для примера, по UK - 39. но тоже мало). Делать по такой мизерной выборке какие-либо глобальные выводы мне кажется странным (непрофессиональным).
- С точки зрения методологии используется нижеприведенный подход для оценки стоимости инцидентов. Он тоже довольно спорный для России, обратите внимание на статьи прямого и косвенного ущерба, многие из них редко применяются в нашей стране...
How do you calculate the cost of cyber crime? To calculate the average cost of cyber crime, we analyzed 1 44 cyber attacks and collect both the direct and indirect expenses incurred by the organization. Direct expenses result from the direct expense outlay to accomplish a given activity. These can include engaging forensic experts and other consultants, outsourcing hotline support and providing free credit monitoring subscriptions and discounts for future products and services. Indirect costs result from the amount of time, effort and other organizational resources spent, but not as a direct cash outlay. Examples include in-house investigations and communication, as well as the extrapolated value of customer loss resulting from turnover or diminished customer acquisition rates.
В принципе, после изучения методологии, можно дальше уже и не читать. Предположения и выводы, представленные авторами будут уж очень спорными... Но приведу некоторые из них просто для удовлетворения вашего любопытства:
- Средний годовой ущерб от инцидентов для РФ - 160 млн.рублей. Среди опрошенных максимальный ущерб был 536,8 млн.рублей, а минимальный - 31,4 млн.рублей.
- Распределение ущерба по типу издержек:
- Величина снижения ущерба при использовании сложных аналитических систем:
- И мои любимые, снижение ущерба при использовании различных мер ИБ:
- Вероятность возникновения инцидентов:
- злонамеренные инсайдеры - 42%
- вредоносное ПО - 100%
- кража устройств - 63%
- Самые дорогие (по ущербу) атаки: вредоносное ПО, отказ в обслуживании, злонамеренные инсайдеры, атаки на Web-приложения. Они в совокупности инициируют 53% годового ущерба. Для его снижения ущерба от такого рода атак рекомендуется использовать SIEM, IPS и производить тестирование кода приложений.
- Использование SIEM и других аналитических систем снижает ущерб на 9.33 млн.рублей (детектирование) + 7.88 млн.рублей (реагирование).
Подвожу итог. В отчете представлены красивые и большие цифры возможного ущерба и вероятности наступления инцидентов ИБ для российских компаний. Ими можно кого-нибудь попробовать напугать. :)))) Но предлагаемая методология не вызывает доверия к полученным данным и выводам. Использовать эту аналитику не рекомендую, для России уж слишком много допущений и обобщений,,,