Реальная цена утечки персональных данных

Одна из популярных тем последнего времени на форумах, каналах и чатах по ИБ - это 60 тысяч рублей за утечку ПДн десятков тысяч человек, которые были назначены в качестве штрафа ряду российских компаний. И многие специалисты по ИБ начинают чуть ли не с пеной у рта доказывать, что при таком отношении к ИБ, она никогда не поднимется с колен и топ-менеджмент никогда не начнет ценить своих специалистов по ИБ должным образом. И вот в предверии принятия закона об оборотных штрафах за утечку ПДн мне хотелось бы посмотреть ?А как там у них?? Ведь идею с оборотными штрафами наши законодатели подсмотрели с европейского GDPR и поэтому было бы интересно оценить, насколько это влияет на рост уровня ИБ в Евросоюзе.

В качестве примера давайте возьмем ситуацию с отельной сетью Marriott, которая в 2018-м году объявила о взломе купленной ею сети отелей Starwood, который произошел еще в 2014-м году, до момента поглощения, и утечке данных 500 миллионов гостей, включая их паспортные данные, номера кредитных карт, а также ФИО, email и т.п. Большинство паспортных данных хранилось в открытом виде, а вот данные платежных карт были зашифрованы& но ключи шифрования хранились на том же сервере с данными и злоумышленники также получили к ним доступ.

Что произошло?

Результаты расследования так и не были раскрыты в деталях, но известно, что в сентябре 2018-го года средство мониторинга обнаружило необычный запрос к базе данных от пользователя с административными привилегиями, который, как оказалось, такого запроса в реальности не делал. Средство мониторинга управлялось не самой Marriott Starwood, а Accenture, которая управляла ИБ в Starwood до поглощения и после него (оставим в стороне вопрос, почему Accenture 4 года не замечала злоумышленника в инфраструктуре). По результатам расследования выяснилось, что доступ к административной учетной записи был получен с помощью RAT и Mimikatz. Как RAT попал на сервера Starwood так и осталось невыясненным, но предполагается, что все началось с фишинга (я, кстати, для УЦ Информзащита разработал курс по борьбе с фишингом).

Решения класса NDR (Network Detection & Response) вместе с SIEM могли бы помочь провести ретроспективный анализ данных. Но, видимо, их не было и вся внутренняя ИБ концентрировалась вокруг DAM (Database Activity Monitoring).

Интересно, что необнаружение злоумышленника  это стало нехорошей практикой в Starwood; в 2015-м они в течение 8 месяцев не замечали взлома своей инфраструктуры. После поглощения в 2016-м году Marriott сократил весь ИТ и ИБ-персонал Starwood, но оставил в купленных отелях старое ПО для резервирования номеров и обслуживания гостей, за которым ?присматривал? Accenture.

Кстати, Marriott был одним из основных гостиничных провайдеров для государственных и военных структур США, что позволило экспертам связать взлом с китайскими государственными хакерами, заинтересованными в данных о американских официальных лицах.

Что касается ущерба для постояльцев Marriott, то он оказался не так велик, так как, если предположить, что версия с китайскими хакерами ? в погонах? была верна, эти данные не использовались в мошеннических целях.

Какой же ущерб был нанесен Marriott в результате этой утечки?

Во-первых, Marriott согласилась компенсировать всем пострадавшим стоимость замены паспортов и платежных карт, но количество обратившихся в компанию неизвестно и поэтому мы не можем оценить затраты компании на эту статью затрат. Во-вторых, против Marriott было подано несколько коллективных исков от пострадавших, но перспектива их не так радужна и в пересчете на каждого пострадавшего сумма компенсации может быть не очень большой (хотя для Marriott она может быть значимой по совокупности). В СМИ проскакивала информация, что сумма может равняться 25 долларам на каждого из 500 миллионов пострадавших, что в совокупности составляет 12,5 миллиардов долларов.

В-третьих, компания в своем финансовом отчете в 2019-м году озвучила стоимость атаки для себя в 72 миллиона долларов, из которых 44 должны были прийти в первом квартале 2019-го года. Но& у Marriott была страховка от такого рода инцидентов (она упоминается в годовом отчете компании, но ее стоимость неизвестна) и они получили возмещение в размере 71 миллиона долларов, 46 из которых они получили в первом квартале. Иными словами, Marriott даже заработала на этом взломе, получив доход в 2 миллиона долларов! К маю Marriott сократила свои убытки до 1 миллиона долларов.

Также пострадала и Accenture, которую привлекли в качестве соответчика по делу Marriott за ненадлежащую ИБ.

Но это еще не все. Помимо коллективных исков и затрат самой Marriott, на факт столь крупной утечки ?возбудились? и регуляторы. ?Английский Роскомнадзор? (ICO) решил оштрафовать Marriott на 99 миллионов фунтов стерлингов или 123 миллиона долларов за нарушение прав граждан Великобритании как субъектов ПДн согласно GDPR (Великобритания уже запустила к тому моменту Brexit, но еще не вышла из состава Евросоюза). ICO специально указали, что они наказывают именно Marriott, а не Starwood, у которого и произошла утечка, по причине ненадлежащего отношения к процессу аудита и оценки защищенности поглощаемого актива в процессе сделки слияния Marriott и Starwood.

Вообще тема аудита и анализа защищенности в M&A-сделках (поглощение и слияние) у нас не получила должного развития, а зря. Как мы видим, это может дорого обойтись компании-покупателю.

Согласно GDPR штраф может достигать 4% от оборота компании-нарушителя. Однако ICO в итоге снизили сумму штрафа с 123 (это было около 3% от годового оборота Marriott) до 23,8 миллионов долларов (18,4 миллиона фунтов стерлингов), аргументировав это тем, что сеть отелей все-таки предприняла определенные меры ИБ после утечки ПДн, своевременно связалась с клиентами и ICO и вообще во время COVID-19 неправильно назначать такие большие штрафы.

Но и это еще не все потери компании. После анонса Marriott курс акций компании упал на 8,7%, а потом чуть приподнялся, но остался на 5% ниже показателей, предшествующих объявлению о взломе. Но тут сложно оценивать потери компании, не видя перед глазами количества проданных и купленных во время падения курса акций.

Если попробовать подытожить, то тут стоит обратить внимание на интересное исследование IBM и Ponemon Institute, которые смоделировали стоимость мегаутечек персональных данных на основе 11 реальных примеров.

Получилось, что для утечки на 50 миллионов записей ПДн средняя стоимость может обойтись в 350 миллионов долларов, а если аппроксимировать эти цифры до утечки Marriott, то в худшем случае потери сети отелей могут составить до 3,5 миллиардов долларов, а в ?лучшем?  до 2,1 миллиарда.

В стоимость потерь для компании необходимо включать стоимость обнаружения и эскалации, уведомления пострадавших, реагирование на утечку, а также прямые и косвенные потери бизнеса.

В целом, можно признать, что Marriott пережила эту утечку, хотя ее прямые потери и составили около 100 миллионов долларов (хотя часть из них и вернулась через страховку). Хуже, что уровень удовлетворенности клиентов сети отелей упал ниже ее конкурента, Hilton, что может/могло повлиять (но в условиях COVID-19 это уже не поддается измерению) на снижение лояльности постояльцев. По проведенным в США  исследованиям , четверть американцев не будет вести никаких дел с компанией, допустившей утечку данных. Так что можно утверждать, что утечка ПДн, если подходить к ней не только с точки зрения оценки текущего штрафа Роскомнадзора,  это достаточно серьезное, я бы даже сказал, недопустимое событие для большинства крупных компаний. А с введением оборотных штрафов, а то и уголовной ответственности за утечку (это тоже сейчас обсуждается), ситуация может еще больше поменяться в худшую сторону.

И вот впору спросить:

А вы реально уверены, что вы способны защитить ваши ПДн так, что любая их утечка будет исключена?

Ведь если наказание за утечку ПДн возрастет, а бизнес начнет действительно считать все последствия от утечки, а не только прямые потери в виде штрафов, внимание к ИБшникам усилится и спросить могут гораздо более серьезно, чем это происходит сейчас.

Вы проводили в своей организации верификацию невозможности утечки ПДн в виде киберучений или пентеста ? И они действительно показали, что вас нельзя взломать?

Тогда снимаю шляпу. Если же вы не уверены в своей системе защиты (не важно, построена она в соответствие с 21-м приказом ФСТЭК, стандартом CNIL или вашим собственным видением), то может стоит уже сейчас задуматься о том, что вы будете делать, если ваш генеральный директор или заместитель генерального директора по ИБ, назначенный по 250-му Указу Президента, спросит завтра в лифте: ?А вы готовы выложить свои фаберже на стол и гарантировать, что нас не взломают??