Вопрос утечки конфиденциальных данных волнует многие компании. В интернете то и дело возникает множество сообщений о таких происшествиях. Но не всегда понятен именно ущерб от утечек. Авторы корпоративного блога Infowatch задались вопросом: а так ли страшны утечки, как их порой преподносят общественности? В блоге отмечается: "Ущерб от утечки действительно иногда выглядит странно. И возникает только оттого, что его ожидают. Деньги не пропали. Акции не подешевели. Партнёры не отвалились. Клиенты не ушли к конкуренту. Прямой ущерб – ноль; недополученная прибыль – ноль. Реальный вред от утечки отсутствует. Но субъекты персональных данных подали в суд. Надзорные органы наложили штраф. Журналисты раструбили об инциденте. И эти "вторичные поражающие факторы" принесли серьёзные убытки. Итоговый вред получился весьма существенным." Таким образом становится понятна позиция авторов по этому поводу - если не ждать вреда от утечки, то его и не будет. Блогер Artla в комментариях к записи считает, что сообщения об утечках и принятие мер в связи с этим является своего рода профилактикой ИБ и добавляет сравнение с иностранным законодательствов "в США карают не за факт утечки, а за факт ущерба причинённого утечкой". Другой пользователь с ником toparenko говорит, что "не всегда ущерб наступает сразу после утечки или вообще ущерб потерпевший/"правохранительные" органы додумаются квалифицировать как ущерб от именно этой утечки. Например: утекла база ФНС, утекла база ПФ, утекла база ГИБДД. У Вас обокрали квартиру и угнали новую машину из гаража. Попробуйте доказать причинно-следственную связь до того момента, как поймали преступника и он не расколося, что жертву выбирал по этим базам". Но авторы блога не соглашаются с оппонентом: "Даже если вор выбирал жертву по БД (и это доказано), никаких убытков (в смысле ст.15 ГК) кроме самой кражи нет. Оператору ПД можно предъявить только нарушение предписанного порядка защиты. И не более". Исходя из мнений людей, связанных с ИБ, можно сделать вывод о том, что нашей стране еще долго придется совершенствовать законодательство в сфере информационной безопасности и следует реально оценивать ущерб от утечек конфиденциальных данных.м
Алексей Петров