То, что обычно не считают

Я уже писал о сценариях расчета стоимости инцидента с утечками данных. Одной из метрик является цена уведомления клиента об инциденте с его данными. В ст.21.4 ФЗ-152 такое требование тоже есть, но его мало кто оценивает и вообще предполагает выполнять. Но что, если… что если прикинуть, во сколько обойдется контакт с клиентом, чьи персональные данные пострадали от несанкционированного доступа или уничтожения? И можно ли это прикинуть заранее? Оказывается можно.

Я зашел на сайт «Почты России», на котором есть сервис автоматического рассчета почтовых отправлений (правда, рассчет делается при условии, что вы посылаете уведомление из Москвы). Итак вводим тип письма — заказное (заказное с уведомлением у меня почему-то не сработало). Затем указываем вес — около 20 грамм, способ доставки (я выбрал самый дешевый — наземный) и почтовый индекс получателя (для примера я брал Калининград и Владивосток). Оказалось, что стоимость такого отправления составляет около 30 рублей. Таким образом можно принять, что стоимость контакта с пострадавшим в России стоит около 1 доллара (без учета печати самого уведомления и покупки конверта). Осталось только умножить это на число клиентов и получить верхнюю границу потенциального ущерба от контакта с пострадавшими клиентами.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. ЕвгенийКР

    Вот мне объясните с приведенным примером почты почему берется расчет стоимости инцидента с утечками данных в соотв. с 152 ФЗ. Я насколько понимаю, тут имеет место гражданские правоотношения по вопросу возмещения ущерба за не предоставленную услугу, ну и возмещение морального вреда. Где взаимосвязь, и куда этот расчет потребуется в дальнейшем. Тем, более по почте могли передавать документы особой важности для предприятия(напр.), в котором может быть сорван контракт (оферта), и суммы тут могут быть уже тысячи рублей с этими 30 рублями

    Ответить
  2. Алексей Лукацкий

    По ФЗ-152 вы обязаны уведомить клиента о факте нарушения его прав. Как уведомить, чтобы потом доказать факт уведомления? Заказным письмом. Потому так и считается. Разумеется, это только одна из статей затрат. Возмещение ущерба, затраты на расследование и устранение причин — это другие статьи затрат.

    Ответить
  3. Алексей Т.

    Пример получился красочный, но использовать его будет сложно.
    Если взять определение Википедии (статистическое): стоимость — произведение цены товара на его количество. Вы просто подтвердили эту формулу, проблема в установлении составных частей стоимости инцидентов и их цен.

    Ответить
  4. Алексей Т.

    Пример получился красочный, но использовать его будет сложно.
    Если взять определение Википедии (статистическое): стоимость — произведение цены товара на его количество. Вы просто подтвердили эту формулу, проблема в установлении составных частей стоимости инцидентов и их цен.

    Ответить
  5. Алексей Лукацкий

    А сценарии расчета показаны в первичном сообщении?

    Ответить
  6. Unknown

    Уведомлять можно электронной почте или путём размещения информации на сайте оператора. Доказать факт доставки уведомления не требуется, а доказать факт попытки уведомления: предъявить записи на сайте или копии отправленных электронных писем.

    Ответить
  7. Алексей Лукацкий

    А потом клиент скажет, что его не уведомили и РКН запишет вам минус 😉

    Ответить
  8. ЕвгенийКР

    Не правильно понял статью, посчитав что утечка произошла по вине почты и почтовый клиентов. Подсчеты будут разные с учетом рода деятельности предприятия и их клиентов. Допустим утечка данных клиентов кабельного ТВ, кабельному предприятию не составит НИКАКИХ ЗАТРАТ делать уведомление на рекламных заставках и вставках. Есть еще обзвонка клиентов, СМС и т.п.. Думаю предприятия выберут самый дешевый вариант или бесплатный, так что вопрос стоимость инцидента существенно незначительный, не затратный … и не составит труда в расчетах

    Ответить
  9. Анонимный

    ЕвгенийКР, бесплатных не бывает, из указанных примеров это либо человеческие трудозатраты, которые можно было бы направить в другое русло (продажи, обслуживания клиентов), либо трата экранного времени, которое могло бы быть потрачено на рекламу.
    и считать всё это не так уж и просто.

    Ответить
  10. Алексей Лукацкий

    И опять же в разных ФЗ требования по способам уведомления. Например, в бумажном виде для госорганов.

    Ответить
  11. Александр Бондаренко

    Алексей, в указанной вами статье идет речь об уведомлении о прекращении обработки и уничтожении ПДн, а никак ни об инцидентах ИБ. В 152-ФЗ (к сожалению) нет норм, обязывающих оператора уведомлять субъекта в случае инцидента. Под "неправомерными действиями" понимаются именно действия оператора, нарушающие закон (если посмотреть п.1 этой же статьи)

    Ответить
  12. Алексей Лукацкий

    Не согласен. Речь идет именно о неправомерных действиях с ПДн. Утечка произошла по причине невыполнения ст.19, а что это как не нарушение законодательства?..

    Ответить
  13. Александр Бондаренко

    Этот комментарий был удален автором.

    Ответить
  14. Александр Бондаренко

    Ну это спорное высказывание, хотя согласен, что притянуть можно попробовать. Однако при таком подходе извещать надо будет в любых ситуациях и когда была нарушена конфиденциальность, и целостность и доступность (что гораздо "круче" чем на западе, где оповещают только в случае нарушения конфиденциальности).

    Ответить
  15. Алексей Лукацкий

    Ну почему спорно — это логично и соответствует мировой практике. Да и в Штатах уведомление идет тоже по факту инцидента, а не только по факту нарушения конфиденциальности. Просто самыми распространенными бывают именно утечки.

    Ответить