Стоит ли сообщать клиентам об утечках их данных?

В США, в каждом штате существуют законы, обязывающие компании, пострадавшие от утечек данных, сообщать об этом факте пользователям, чьи данные утекли. Правильно это или нет? Стоит ли следовать этой практике и у нас, как об этом часто говорят на разных конференциях? Если отбросить логику и обратиться к цифрам, то ответ опять будет не таким очевидным.

Смотрю отчет "Do Data Breach Disclosure Laws Reduce Identity Theft?", в котором эксперты проанализировали, как принятые законы повлияли на число утечек и повлияло ли вообще. И вывод неутешительный. За период с 2002 года и по 2007-й число утечек снизилось... всего на 2%. Так стоит ли овчинка выделки?

Правда, исследователи выделяют, что такого рода законы могут нести косвенные преимущества в виде:

• роста осведомленности клиентов и самих компаний в области ИБ
• снижение усредненной суммы одной утечки
• рост уровня защищенности компаний
• улучшение операционной практики ИБ.

Но это уже другая песня. В 2006-м году Акуисти, Теланг и Фридман проводили аналогичное исследование, посвященное фактам раскрытия информации о взломе компании или инциденте ИБ с ней. Общий вывод - цена акций пострадавшей компании (если компания публичная) падает в среднем на 0.6%. Но бывают и исключения (вспомните тот же Heartland Payment System или другие приводимые мной примеры). Почти аналогичный вывод был сделан в результате анализа публичных инцидентов с утечками токсичных отходов - падение курса акций на 0.3%. Есть и более интересные исследования в смежных областях. Например, мониторинг береговой охраной водного пространства в 1984 году увеличил частоту утечек нефти из танкеров (+2.1%). Правда в 1987 году результаты аналогичного исследования показали, что число утечек снизилось на 2%.

Есть у меня стойкое подозрение, что ФЗ-152 из той же серии. На число утечек персональных данных он никак не влияет, а вот проблем для семи миллионов операторов ПДн прибавилось немало. А косвенные преимущества могли быть достигнуты и иными методами.