Реальная цена утечки персональных данных

Дата: 06.09.2022. Автор: Алексей Лукацкий. Категории: Блоги экспертов по информационной безопасности
Реальная цена утечки персональных данных

Одна из популярных тем последнего времени на форумах, каналах и чатах по ИБ — это 60 тысяч рублей за утечку ПДн десятков тысяч человек, которые были назначены в качестве штрафа ряду российских компаний. И многие специалисты по ИБ начинают чуть ли не с пеной у рта доказывать, что при таком отношении к ИБ, она никогда не поднимется с колен и топ-менеджмент никогда не начнет ценить своих специалистов по ИБ должным образом. И вот в предверии принятия закона об оборотных штрафах за утечку ПДн мне хотелось бы посмотреть «А как там у них?» Ведь идею с оборотными штрафами наши законодатели подсмотрели с европейского GDPR и поэтому было бы интересно оценить, насколько это влияет на рост уровня ИБ в Евросоюзе.

В качестве примера давайте возьмем ситуацию с отельной сетью Marriott, которая в 2018-м году объявила о взломе купленной ею сети отелей Starwood, который произошел еще в 2014-м году, до момента поглощения, и утечке данных 500 миллионов гостей, включая их паспортные данные, номера кредитных карт, а также ФИО, email и т.п. Большинство паспортных данных хранилось в открытом виде, а вот данные платежных карт были зашифрованы… но ключи шифрования хранились на том же сервере с данными и злоумышленники также получили к ним доступ.

Что произошло?

Результаты расследования так и не были раскрыты в деталях, но известно, что в сентябре 2018-го года средство мониторинга обнаружило необычный запрос к базе данных от пользователя с административными привилегиями, который, как оказалось, такого запроса в реальности не делал. Средство мониторинга управлялось не самой Marriott Starwood, а Accenture, которая управляла ИБ в Starwood до поглощения и после него (оставим в стороне вопрос, почему Accenture 4 года не замечала злоумышленника в инфраструктуре). По результатам расследования выяснилось, что доступ к административной учетной записи был получен с помощью RAT и Mimikatz. Как RAT попал на сервера Starwood так и осталось невыясненным, но предполагается, что все началось с фишинга (я, кстати, для УЦ Информзащита разработал курс по борьбе с фишингом).

Решения класса NDR (Network Detection & Response) вместе с SIEM могли бы помочь провести ретроспективный анализ данных. Но, видимо, их не было и вся внутренняя ИБ концентрировалась вокруг DAM (Database Activity Monitoring).

Интересно, что необнаружение злоумышленника — это стало нехорошей практикой в Starwood; в 2015-м они в течение 8 месяцев не замечали взлома своей инфраструктуры. После поглощения в 2016-м году Marriott сократил весь ИТ и ИБ-персонал Starwood, но оставил в купленных отелях старое ПО для резервирования номеров и обслуживания гостей, за которым «присматривал» Accenture.

Кстати, Marriott был одним из основных гостиничных провайдеров для государственных и военных структур США, что позволило экспертам связать взлом с китайскими государственными хакерами, заинтересованными в данных о американских официальных лицах.

Что касается ущерба для постояльцев Marriott, то он оказался не так велик, так как, если предположить, что версия с китайскими хакерами » в погонах» была верна, эти данные не использовались в мошеннических целях.

Какой же ущерб был нанесен Marriott в результате этой утечки?

Во-первых, Marriott согласилась компенсировать всем пострадавшим стоимость замены паспортов и платежных карт, но количество обратившихся в компанию неизвестно и поэтому мы не можем оценить затраты компании на эту статью затрат. Во-вторых, против Marriott было подано несколько коллективных исков от пострадавших, но перспектива их не так радужна и в пересчете на каждого пострадавшего сумма компенсации может быть не очень большой (хотя для Marriott она может быть значимой по совокупности). В СМИ проскакивала информация, что сумма может равняться 25 долларам на каждого из 500 миллионов пострадавших, что в совокупности составляет 12,5 миллиардов долларов.

В-третьих, компания в своем финансовом отчете в 2019-м году озвучила стоимость атаки для себя в 72 миллиона долларов, из которых 44 должны были прийти в первом квартале 2019-го года. Но… у Marriott была страховка от такого рода инцидентов (она упоминается в годовом отчете компании, но ее стоимость неизвестна) и они получили возмещение в размере 71 миллиона долларов, 46 из которых они получили в первом квартале. Иными словами, Marriott даже заработала на этом взломе, получив доход в 2 миллиона долларов! К маю Marriott сократила свои убытки до 1 миллиона долларов.

Также пострадала и Accenture, которую привлекли в качестве соответчика по делу Marriott за ненадлежащую ИБ.

Но это еще не все. Помимо коллективных исков и затрат самой Marriott, на факт столь крупной утечки «возбудились» и регуляторы. «Английский Роскомнадзор» (ICO) решил оштрафовать Marriott на 99 миллионов фунтов стерлингов или 123 миллиона долларов за нарушение прав граждан Великобритании как субъектов ПДн согласно GDPR (Великобритания уже запустила к тому моменту Brexit, но еще не вышла из состава Евросоюза). ICO специально указали, что они наказывают именно Marriott, а не Starwood, у которого и произошла утечка, по причине ненадлежащего отношения к процессу аудита и оценки защищенности поглощаемого актива в процессе сделки слияния Marriott и Starwood.

Вообще тема аудита и анализа защищенности в M&A-сделках (поглощение и слияние) у нас не получила должного развития, а зря. Как мы видим, это может дорого обойтись компании-покупателю.

Согласно GDPR штраф может достигать 4% от оборота компании-нарушителя. Однако ICO в итоге снизили сумму штрафа с 123 (это было около 3% от годового оборота Marriott) до 23,8 миллионов долларов (18,4 миллиона фунтов стерлингов), аргументировав это тем, что сеть отелей все-таки предприняла определенные меры ИБ после утечки ПДн, своевременно связалась с клиентами и ICO и вообще во время COVID-19 неправильно назначать такие большие штрафы.

Но и это еще не все потери компании. После анонса Marriott курс акций компании упал на 8,7%, а потом чуть приподнялся, но остался на 5% ниже показателей, предшествующих объявлению о взломе. Но тут сложно оценивать потери компании, не видя перед глазами количества проданных и купленных во время падения курса акций.

Если попробовать подытожить, то тут стоит обратить внимание на интересное исследование IBM и Ponemon Institute, которые  смоделировали стоимость мегаутечек персональных данных на основе 11 реальных примеров.

Число мегаутечек ПДн
Число мегаутечек ПДн

Получилось, что для утечки на 50 миллионов записей ПДн средняя стоимость может обойтись в 350 миллионов долларов, а если аппроксимировать эти цифры до утечки Marriott, то в худшем случае потери сети отелей могут составить до 3,5 миллиардов долларов, а в «лучшем» — до 2,1 миллиарда.

Средняя стоимость мегаутечки ПДн
Средняя стоимость мегаутечки ПДн

В стоимость потерь для компании необходимо включать стоимость обнаружения и эскалации, уведомления пострадавших, реагирование на утечку, а также прямые и косвенные потери бизнеса.

4 компонента стоимости мегаутечек ПДн
4 компонента стоимости мегаутечек ПДн

В целом, можно признать, что Marriott пережила эту утечку, хотя ее прямые потери и составили около 100 миллионов долларов (хотя часть из них и вернулась через страховку). Хуже, что уровень удовлетворенности клиентов сети отелей упал ниже ее конкурента, Hilton, что может/могло повлиять (но в условиях COVID-19 это уже не поддается измерению) на снижение лояльности постояльцев. По проведенным в США исследованиям, четверть американцев не будет вести никаких дел с компанией, допустившей утечку данных. Так что можно утверждать, что утечка ПДн, если подходить к ней не только с точки зрения оценки текущего штрафа Роскомнадзора, — это достаточно серьезное, я бы даже сказал, недопустимое событие для большинства крупных компаний. А с введением оборотных штрафов, а то и уголовной ответственности за утечку (это тоже сейчас обсуждается), ситуация может еще больше поменяться в худшую сторону.

И вот впору спросить:

А вы реально уверены, что вы способны защитить ваши ПДн так, что любая их утечка будет исключена?

Ведь если наказание за утечку ПДн возрастет, а бизнес начнет действительно считать все последствия от утечки, а не только прямые потери в виде штрафов, внимание к ИБшникам усилится и спросить могут гораздо более серьезно, чем это происходит сейчас.

Вы проводили в своей организации верификацию невозможности утечки ПДн в виде киберучений или пентеста? И они действительно показали, что вас нельзя взломать?

Тогда снимаю шляпу Если же вы не уверены в своей системе защиты (не важно, построена она в соответствие с 21-м приказом ФСТЭК, стандартом CNIL или вашим собственным видением), то может стоит уже сейчас задуматься о том, что вы будете делать, если ваш генеральный директор или заместитель генерального директора по ИБ, назначенный по 250-му Указу Президента, спросит завтра в лифте: «А вы готовы выложить свои фаберже на стол и гарантировать, что нас не взломают?»

Заметка Реальная цена утечки персональных данных была впервые опубликована на Бизнес без опасности.

Об авторе Алексей Лукацкий

Алексей Викторович Лукацкий – бизнес-консультант по безопасности, Cisco Systems. Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Алексей Лукацкий

Добавить комментарий

Ваш адрес email не будет опубликован.