Обзор "Рынок ИТ: Итоги 2005" подготовлен При поддержке
CNewsAnalytics Kraftway

Кражи данных в мире: счет на миллионы

2005 год ознаменовался самыми крупными утечками конфиденциальной информации за всю историю современного бизнеса. Инсайдеры продемонстрировали удивительное разнообразие технических средств и приемов, позволяющих выкрасть конфиденциальные данные, в результате чего убытки отдельных компаний достигали десятков миллионов долларов и даже приводили к банкротству.

В промежутке между появлением в России в открытом доступе двух баз Центробанка — в начале и в конце 2005 г. — произошла крупная утечка информации в США. Под ударом оказалась компания ChoicePoint, специализирующаяся на сборе, обработке и продаже приватных сведений населения. В результате действий инсайдера из фирмы «утекли» конфиденциальные данные 163 тыс. американцев: имена и фамилии, адреса, номера социального страхования и водительских прав, отчеты по операциям с кредитными картами, а также некоторая общедоступная информация, собранная ChoicePoint из открытых источников. Инцидент вызвал глубокий общественный резонанс, так как инсайдер, по большому счету, проявил акт доброй воли — он мог «слить» приватные данные практически каждого совершеннолетнего гражданина США, то есть, в общей сложности более 19 млрд. записей.

По оценкам аналитического центра компании InfoWatch, корпорация ChoicePoint понесла вследствие этого инцидента убытки в размере более 55 млн. долларов. Для сравнения, согласно совместному исследованию ФБР и Института компьютерной безопасности («CSI/FBI ComputerCrimeSecuritySurvey 2005»), в котором приняли участие 700 представителей американского бизнеса, в среднем каждая компания, зарегистрировавшая утечку в 2005 году, потеряла 355,5 тыс. долларов

Структура расходов компании ChoicePoint в результате утечки данных

Статья расходов

Объем расходов

Штраф, назначенный Федеральной Комиссией по Торговле США

$10 млн.

Создание фонда для возмещения убытков пострадавшим от кражи личности вследствие утечки

$5 млн.

Расходы на юристов и другие профессиональные услуги (вследствие утечки)

$19,3 млн.

Снижение прибыли вследствие потери репутации

$20-25 млн.

Расходы на аудит ИТ-безопасности в течение ближайших двадцати лет

н/д

Приобретение корпорации Magnify, специализирующейся на защите от кражи личности

н/д

Итого:

Более $55 млн.

Источник: InfoWatch, 2005

Таким образом, убытки корпорации вследствие утечки конфиденциальной информации всего за один год превысили полсотни миллионов долларов. Хотя оборот компании составляет более 1 млрд. долларов в год, и на эти 55 млн. долларов приходится лишь 0,055 % от него. Однако чистая прибыль ChoicePoint в 2005 году не превышала 141 млн. долларов. Следовательно, утечка обошлась корпорации в 40 % ее чистой прибыли за год, а это уже очень солидная цифра. Более того, эксперты InfoWatch не исключают, что 2006 год может принести еще большие расходы для ChoicePoint и других пострадавших компаний.

Крупнейшие утечки конфиденциальной информации в мире, 2005 г.

№ п/п

Дата

Страна

Организация

Детали

1

Февраль,
2005 год

США

ChoicePoint

Украдены приватные данные 163 тыс. граждан США, но под угрозой оказалась информация о каждом взрослом американце (19 млрд. записей). Убытки ChoicePoint вследствие инцидента уже превысили 55 млн. долларов.

2

Апрель,
2005 год

США

Chipotle

Из заявки на IPO общественность узнала, что недавняя утрата номеров кредитных карт клиентов обошлась сети ресторанов быстрого питания Chipotle почти в 6 млн. долларов.

3

Май,
2005 год

США

DSW Shoe Warehouse

Из сети обувных магазинов DSW украдено более 1,4 млн. номеров кредитных карт. Убытки компании DSW вследствие инцидента уже превысили 10 млн. долларов.

4

Июнь,
2005 год

США

CardSystems Solutions

В результате утечки оказались скомпрометированы 40 млн. номеров кредитных карт ведущих мировых брендов (MasterCard, Visa, AmericanExpress и т.д.).

5

Октябрь,
2005 года

США

Белый Дом

Инсайдер три года оставался незамеченным и «сливал» секретные данные Белого Дома через интернет, электронную почту и принтеры.

Источник: InfoWatch, 2005

Chipotle. Сеть ресторанов быстрого питания ChipotleMexicanGrill, базирующаяся в Денвере, США, подала заявку в Комиссию по ценным бумагам США (SEC — SecuritiesandExchangeCommission) с намерением первичного размещения своих акции (IPO — InitialPublicOffering) на бирже Нью-Йорка. Из заявки следовало, что утечка номеров кредитных и дебитных карт клиентов обошлась фирме, как минимум, в 5,6 млн. долларов (4 млн. долларов пошло на создание резервного фонда и 1,6 млн. долларов было истрачено сразу же на устранение последствий утечки). Отметим, что убытки в результате снижения репутации и расходы на юридические услуги в общую сумму не вошли. Однако и без них можно утверждать, что компания Chipotle лишилась 91 % своей чистой прибыли за год, которая составила 6,1 млн. долларов.

DSW Shoe Warehouse. Вследствие утечки более 1,4 млн. номеров кредитных карт клиентов сети обувных магазинов DSW убытки компании составили более 10 млн. долларов. Структура расходов представляет собой 6,5 млн. долларов, внесенных в один из квартальных финансовых отчетов на устранение последствий утечки, и штраф, назначенный Федеральной Комиссией по Торговле США в судебном порядке. После урегулирования тяжбы компания DSW сообщила, что итоговые убытки составили более 9,5 млн. долларов, однако сюда не вошли расходы на аудит ИТ-безопасности в течение ближайших 20 лет, являющийся предписанием Комиссии, а также расходы на оплату юридических услуг. Таким образом, убытки компании DSW в результате утечки составляют более 10 млн. долларов.

CardSystems Solutions. Одна из самых масштабных утечек современности — более 40 млн. номеров кредитных карт всех мировых брендов оказались скомпрометированы. Компании MasterCard и Visa приостановили свои отношения с CardSystems, специализировавшейся на обработке транзакций по кредитным картам. Еще один гигант — AmericanExpress — предъявила жесткие требования по аудиту ИТ-безопасности. В результате фирме CardSystems пришлось остановить все свои операции на несколько месяцев. Корпорация оказалась на грани банкротства, ее котировки стремительно падали. В начале осени 2005 года компания PaybyTouchSolutions по дешевке купила CardSystems (сделка завершена в середине января 2006 года), которую Федеральная Торговая Комиссия США обязала проводить аудит ИТ-безопасности в течение ближайших 20 лет.

Белый Дом. В октябре 2005 года выяснилось, что бывший морской пехотинец Леандро Арагонцилло (Leandro Aragoncillo), служивший в Белом Доме, крал секретные государственные документы в течение трех лет и передавал их правительству Филиппин. При этом инсайдер не искал сложных путей и спокойно распечатывал необходимые отчеты на принтере, отсылая их затем по электронной почте. За несколько месяцев ему удалось «слить» более 100 секретных документов. Вычислить инсайдера смогла контрразведка, заметившая поразительную осведомленность Филиппин по многим секретным вопросам.

Денис Зенкин / Специально для  CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS