Средний ущерб российских компаний от одной утечки информации составляет около 11,5 млн рублей, говорится в совместном исследовании (проводилось в мае-августе 2024 года) Экспертно-аналитического центра (ЭАЦ) группы компаний InfoWatch и группы компаний ЦИРКОН.

"Если суммировать полученные в результате исследования данные от пострадавших организаций, то средний ущерб от утечки информации достигает 11,5 млн рублей, а по максимальным оценкам пострадавших организаций - более 41 млн рублей, что характерно для среднего и крупного бизнеса", - говорится в тексте.

При этом приглашённые к участию эксперты (выступали не в качестве сотрудника той или иной компании, а в качестве независимого эксперта) считают, что средние затраты от одного инцидента могут составлять порядка 23 млн рублей, а максимальный совокупный ущерб в результате одной утечки данных может достигать 140 млн рублей.

Компании, столкнувшиеся с утечкой информации, считают, что в случае инцидента самыми дорогими категориями затрат становятся последствия кражи денег в криптовалюте (до 400 тыс. рублей), увеличение страховых взносов (до 3,2 млн рублей), добровольные выплаты пострадавшим (до 700 тыс. рублей), судебные штрафы (до 5,37 млн рублей), сорванные сделки (до 5 млн рублей), проведение аудита информационной безопасности и оценка рисков (до 5 млн рублей), проведение компьютерно-технической экспертизы (до 3,4 млн рублей), оплата расследования экспертным организациям (до 1,7 млн рублей), обучение персонала после утечки информации (до 5 млн рублей).

Что касается скомпрометированной информации, то, по мнению участников исследования, наибольший ущерб организациям наносят утечки персональных данных (45% опрошенных считают ущерб от них существенным), платежной информации (41%) и данных, составляющих коммерческую тайну (41%).

При этом в исследовании отмечается, что оценка ущерба в российских компаниях оставляет желать лучшего.

"Практика оценки ущерба от утечек информации в российских организациях остается на начальном уровне развития, - считает главный аналитик-эксперт ЭАЦ InfoWatch Дарья Пырина. - Организации признают необходимость такой оценки, но использование системных подходов пока является исключением, что говорит о низком уровне осведомленности о реальных последствиях утечек и, соответственно, приводит к недостаточной готовности к будущим инцидентам. При этом большинство респондентов оценивают ущерб от утечек как существенный и ощутимый, независимо от типа украденных данных, в некоторых случаях - даже как угрозу существования организации."

В исследовании отмечается, что 22% компаний, столкнувшихся с утечкой данных, вообще не оценивали ущерб. Еще 39% пострадавших провели только общую оценку ущерба, не ведя раздельный учет затрат. Около 37% компаний подошли к вопросу более системно, оценив ущерб и затраты на ликвидацию последствий по конкретным статьям.

"При этом отсутствуют достоверные данные по Российской Федерации о структуре и величине ущерба от произошедших утечек охраняемой законом информации, необходимые для подготовки экономического обоснования с целью полного и эффективного внедрения систем защиты от утечек, - считают исследователи. - Полученные в результате опроса данные подтверждают, что организации стремятся не афишировать факт утечки информации во избежание репутационных издержек и потери клиентов".

По данным исследования, 59% компаний, в которых произошли подобные инциденты, сообщили, что информация об утечке вообще не разглашалась. Еще 25% заявили, что передали данные в уполномоченные государственные органы. И только 17% компаний сделали официальное заявление в СМИ или публикацию в социальных медиа.