Стоит ли сообщать клиентам об утечках их данных?

В США, в каждом штате существуют законы, обязывающие компании, пострадавшие от утечек данных, сообщать об этом факте пользователям, чьи данные утекли. Правильно это или нет? Стоит ли следовать этой практике и у нас, как об этом часто говорят на разных конференциях? Если отбросить логику и обратиться к цифрам, то ответ опять будет не таким очевидным.

Смотрю отчет «Do Data Breach Disclosure Laws Reduce Identity Theft?», в котором эксперты проанализировали, как принятые законы повлияли на число утечек и повлияло ли вообще. И вывод неутешительный. За период с 2002 года и по 2007-й число утечек снизилось… всего на 2%. Так стоит ли овчинка выделки?

Правда, исследователи выделяют, что такого рода законы могут нести косвенные преимущества в виде:

  • роста осведомленности клиентов и самих компаний в области ИБ
  • снижение усредненной суммы одной утечки
  • рост уровня защищенности компаний
  • улучшение операционной практики ИБ.

Но это уже другая песня. В 2006-м году Акуисти, Теланг и Фридман проводили аналогичное исследование, посвященное фактам раскрытия информации о взломе компании или инциденте ИБ с ней. Общий вывод — цена акций пострадавшей компании (если компания публичная) падает в среднем на 0.6%. Но бывают и исключения (вспомните тот же Heartland Payment System или другие приводимые мной примеры). Почти аналогичный вывод был сделан в результате анализа публичных инцидентов с утечками токсичных отходов — падение курса акций на 0.3%. Есть и более интересные исследования в смежных областях. Например, мониторинг береговой охраной водного пространства в 1984 году увеличил частоту утечек нефти из танкеров (+2.1%). Правда в 1987 году результаты аналогичного исследования показали, что число утечек снизилось на 2%.

Есть у меня стойкое подозрение, что ФЗ-152 из той же серии. На число утечек персональных данных он никак не влияет, а вот проблем для семи миллионов операторов ПДн прибавилось немало. А косвенные преимущества могли быть достигнуты и иными методами.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    По-моему, нельзя так вопрос подменять.
    Раскрытие служит интересам прежде всего пострадавших субъектов, т.к. дает им возможность предпринять какие-то действия к уменьшению/избежанию ущерба, дополнительный шанс.
    То, что эта практика не уменьшает количество утечек, не говорит о ее бесполезности.

    Ответить
  2. Vair

    Я бы добавил, что информацию об утечке надо не только раскрывать, но и снабжать подробным протоколом анализа инцидента — что и как произошло, почему и что было предпринято, тогда в выигрыше окажутся и другие компании, получающие возможность анализа данных чужих утечек, повышая свою безопасность. Кроме того, падение курса акций на долю процента — приемлемый риск, по сравнению с тем, что может произойти если информация раскроется иным путем (в теории => суд, потеря значительной части кл. базы, потеря доверия клиентов и инвесторов и пр.)

    Ответить
  3. Ригель

    > и другие компании, повышая

    А вот это-то как раз карнегимелонцами опровергается.

    Ответить
  4. Анонимный

    Стоит… Клиент является владельцем данных, он имеет право знать. После утечки данных — их стоимость падает и т.п. со всеми вытекающими по возмещению и т.п.

    Ответить
  5. Алексей Лукацкий

    Ригелю: А какой смысл в практике, которая не помогает? И уверен ли ты, что клиент, чьи данные утекли, вообще что-то будет делать? Он может покричать и успокоится. Повышать защищенность данных он не будет, да и не сможет.

    Ответить
  6. Ригель

    Стоп-стоп-стоп.
    Она не помогает операторам, что выявило исследование (допустим, что оно было корректным).
    Но у тебя в вопрос вынесена полезность вообще.
    Чтобы говорить вообще, нужно посмотреть, не получает ли от этого выгоду кто-то еще.
    Так вот он ее получает.

    Скажи мне, что у меня угнали нечто, по чему меня друзья могут идентифицировать (почта, аська, телефон)- тут же кинусь им сигнализировать: "Не ведитесь на просьбы срочно кинуть денег". Это не повышение защищенности данных, но минимизация ущерба.

    Ответить
  7. Vadim

    Мне кажется, всё-таки обнародование таких сведений — добровольное дело компании. В российских реалиях не всегда обнародование лучший выход… А вообще, надо ставить систему защиты от утечек, чтобы потом не нужно было обнародовать сведения о них 😉

    Ответить
  8. Анонимный

    2 Vadim
    Не обнародование а сообщение владельцу…

    Ответить
  9. tmpr

    Vadim пишет…
    .. А вообще, надо ставить систему защиты от утечек, чтобы потом не нужно было обнародовать сведения о них 😉

    Данные системы не спасают от краж… так, что утечки возможны всегда…

    Ответить
  10. Vadim

    2 swan: знает один — знают все

    Ответить
  11. Анонимный

    2 Vadim
    "2 swan: знает один — знают все" — резолюция на проекте 152 ФЗ 😉

    Ответить