Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Таким образом, становится понятно, что существуют и другие факторы, влияющие на возникновение у компании розничной торговли трудностей с удержанием клиентов. Поэтому, вероятно, в ситуации реальной «потери репутации» также многое будет зависеть от того, куда клиенты компании могут обратиться, чтобы получить те же продукты и услуги. Но даже при наличии всех этих факторов, как было в случае с компанией Target, все равно трудно отделить их влияние от обычных колебаний рынка.

Наконец, если обратиться к прошлым сообщениям о суммах затрат, вызванных утечками данных, кое-что не сходится. Убытки от утечки данных в компании T.J. Maxx в 2007 году оценивались в более чем 1,7 млрд долл.¹⁴ Прошло достаточно времени, чтобы проявились даже отдаленные последствия. Но если какие-то убытки, приближенные к этой сумме, и были, то они, похоже, хорошо скрыты в финансовых отчетах компании. До утечки данных годовой доход от операций T.J. Maxx составлял около 700 млн долл., а в какой-то момент после утечки вырос до примерно 1,2 млрд долл. В годовых отчетах представлены весьма обобщенные данные, однако воздействие, даже вполовину менее серьезное, чем предсказывалось, должно было явственно отразиться хоть в одном году. Тем не менее подобного влияния не видно ни по прибыли, ни по расходам, ни по денежным средствам или новым займам. Безусловно, компания T.J. Maxx понесла убытки, но нет никаких доказательств, что их сумма была хоть сколько-нибудь приближена к 1,7 млрд долл.

Потерять бизнес в результате утечки данных возможно, но тот факт, что эффект такого воздействия трудно отделить от обычных ежедневных или поквартальных колебаний, помогает определить практический подход к моделированию данного типа убытков. Маршалл Кюперс, кандидат наук в области управления и инженерии из Стэнфорда, посвятил свое исследование изучению этих вопросов. Вот что рассказал Кюперс авторам данной книги:

Мы не утверждаем, что крупные утечки данных не приносят убытки. С ними связаны реальные затраты, но следует подумать, как моделировать их иначе, без туманных отсылок на репутацию. Фактические «репутационные» убытки можно более реалистично смоделировать как ряд вполне материальных затрат, называемых нами «проекты по искуплению», а также других внутренних и юридических обязательств. Проекты по искуплению – расходы компании, направленные на сокращение долгосрочных последствий потери репутации. Другими словами, компании, похоже, стараются контролировать ущерб, наносимый их репутации, а не принимают последствия как есть, что, возможно, приводило бы к гораздо большему урону. Подобные усилия, по-видимому, оказывают достаточный сдерживающий эффект на реальные репутационные потери, раз их влияние на продажи или цены на акции малозаметно. К таким сдерживающим мерам относятся:

• крупные новые инвестиции в системы и политику кибербезопасности для исправления потенциальных уязвимостей;

• замена значительной части руководителей высшего звена, отвечающих за кибербезопасность (они могут оказаться козлами отпущения, но такой шаг может быть необходим для репутации);

• активизация взаимодействия с общественностью с целью убедить клиентов и акционеров, что проблема решается (это помогает донести до аудитории, что усилия из предыдущих пунктов позволят решить проблему);