18.08.2010

То, что обычно не считают

Я уже писал о сценариях расчета стоимости инцидента с утечками данных. Одной из метрик является цена уведомления клиента об инциденте с его данными. В ст.21.4 ФЗ-152 такое требование тоже есть, но его мало кто оценивает и вообще предполагает выполнять. Но что, если... что если прикинуть, во сколько обойдется контакт с клиентом, чьи персональные данные пострадали от несанкционированного доступа или уничтожения? И можно ли это прикинуть заранее? Оказывается можно.

Я зашел на сайт "Почты России", на котором есть сервис автоматического рассчета почтовых отправлений (правда, рассчет делается при условии, что вы посылаете уведомление из Москвы). Итак вводим тип письма - заказное (заказное с уведомлением у меня почему-то не сработало). Затем указываем вес - около 20 грамм, способ доставки (я выбрал самый дешевый - наземный) и почтовый индекс получателя (для примера я брал Калининград и Владивосток). Оказалось, что стоимость такого отправления составляет около 30 рублей. Таким образом можно принять, что стоимость контакта с пострадавшим в России стоит около 1 доллара (без учета печати самого уведомления и покупки конверта). Осталось только умножить это на число клиентов и получить верхнюю границу потенциального ущерба от контакта с пострадавшими клиентами.

15 коммент.:

ЕвгенийКР комментирует...

Вот мне объясните с приведенным примером почты почему берется расчет стоимости инцидента с утечками данных в соотв. с 152 ФЗ. Я насколько понимаю, тут имеет место гражданские правоотношения по вопросу возмещения ущерба за не предоставленную услугу, ну и возмещение морального вреда. Где взаимосвязь, и куда этот расчет потребуется в дальнейшем. Тем, более по почте могли передавать документы особой важности для предприятия(напр.), в котором может быть сорван контракт (оферта), и суммы тут могут быть уже тысячи рублей с этими 30 рублями

Алексей Лукацкий комментирует...

По ФЗ-152 вы обязаны уведомить клиента о факте нарушения его прав. Как уведомить, чтобы потом доказать факт уведомления? Заказным письмом. Потому так и считается. Разумеется, это только одна из статей затрат. Возмещение ущерба, затраты на расследование и устранение причин - это другие статьи затрат.

Алексей Т. комментирует...

Пример получился красочный, но использовать его будет сложно.
Если взять определение Википедии (статистическое): стоимость - произведение цены товара на его количество. Вы просто подтвердили эту формулу, проблема в установлении составных частей стоимости инцидентов и их цен.

Алексей Т. комментирует...

Пример получился красочный, но использовать его будет сложно.
Если взять определение Википедии (статистическое): стоимость - произведение цены товара на его количество. Вы просто подтвердили эту формулу, проблема в установлении составных частей стоимости инцидентов и их цен.

Алексей Лукацкий комментирует...

А сценарии расчета показаны в первичном сообщении?

Alexandr комментирует...

Уведомлять можно электронной почте или путём размещения информации на сайте оператора. Доказать факт доставки уведомления не требуется, а доказать факт попытки уведомления: предъявить записи на сайте или копии отправленных электронных писем.

Алексей Лукацкий комментирует...

А потом клиент скажет, что его не уведомили и РКН запишет вам минус ;-)

ЕвгенийКР комментирует...

Не правильно понял статью, посчитав что утечка произошла по вине почты и почтовый клиентов. Подсчеты будут разные с учетом рода деятельности предприятия и их клиентов. Допустим утечка данных клиентов кабельного ТВ, кабельному предприятию не составит НИКАКИХ ЗАТРАТ делать уведомление на рекламных заставках и вставках. Есть еще обзвонка клиентов, СМС и т.п.. Думаю предприятия выберут самый дешевый вариант или бесплатный, так что вопрос стоимость инцидента существенно незначительный, не затратный ... и не составит труда в расчетах

is-numberfive комментирует...

ЕвгенийКР, бесплатных не бывает, из указанных примеров это либо человеческие трудозатраты, которые можно было бы направить в другое русло (продажи, обслуживания клиентов), либо трата экранного времени, которое могло бы быть потрачено на рекламу.
и считать всё это не так уж и просто.

Алексей Лукацкий комментирует...

И опять же в разных ФЗ требования по способам уведомления. Например, в бумажном виде для госорганов.

Александр Бондаренко комментирует...

Алексей, в указанной вами статье идет речь об уведомлении о прекращении обработки и уничтожении ПДн, а никак ни об инцидентах ИБ. В 152-ФЗ (к сожалению) нет норм, обязывающих оператора уведомлять субъекта в случае инцидента. Под "неправомерными действиями" понимаются именно действия оператора, нарушающие закон (если посмотреть п.1 этой же статьи)

Алексей Лукацкий комментирует...

Не согласен. Речь идет именно о неправомерных действиях с ПДн. Утечка произошла по причине невыполнения ст.19, а что это как не нарушение законодательства?..

Александр Бондаренко комментирует...
Этот комментарий был удален автором.
Александр Бондаренко комментирует...

Ну это спорное высказывание, хотя согласен, что притянуть можно попробовать. Однако при таком подходе извещать надо будет в любых ситуациях и когда была нарушена конфиденциальность, и целостность и доступность (что гораздо "круче" чем на западе, где оповещают только в случае нарушения конфиденциальности).

Алексей Лукацкий комментирует...

Ну почему спорно - это логично и соответствует мировой практике. Да и в Штатах уведомление идет тоже по факту инцидента, а не только по факту нарушения конфиденциальности. Просто самыми распространенными бывают именно утечки.