не размахивай утечкой

В апреле Ponemon Institute при поддержке Experian выпустил отчет The Aftermath of a Mega Data Breach: Consumer Sentiment. Если совсем просто, Ponemon попытался узнать, как простые американцы относятся к утечкам их персональных данных и к компаниям, которые утечки допускают.

44% респондентов с легкостью вспомнили минимум 3 случая компрометации персональных данных, еще 28% готовы назвать 6 и более случаев. 32% опрошенных получили как минимум одно уведомление об утечке их данных, 30% - более одного. Большинство уведомлений разослали своим клиентам ритейловые компании и организации, оперирующие кредитными картами.

На графике видно, насколько выросла доля компаний из ритейла и финансового сегмента всего за два года. В своем отчете аналитический центр InfoWatch также указывал на недостаточную защищенность персданных в ритейле и финсекторе.

Самое забавное, американцы не собираются из-за утечки данных менять банк или он-лайн магазин. 71% опрошенных считают, что утечка – не повод разрывать длительные отношения, поскольку слишком сложно найти компанию с сопоставимым уровнем сервиса. 61% заявили, что утечки просто неизбежны, 45% верят, что компании обязательно устранят последствия утечек.

Доверие и лояльность американцев - отдельная тема. 43% участников опроса достаточно персональных извинений. На этих условиях они готовы забыть об инциденте. Правда, 41% уже хотел бы получить от компании, допустившей утечку их данных, некоторые услуги. Хотя бы кредитный мониторинг и защиту от кражи личности. 15% ждет скидок и прочих пряников. Сами компании, впрочем, с этим не спешат – лишь 25% уведомлений содержат предложение об услуге защиты личности от кражи (identity theft protection).

Из данных исследования получается, что американцы весьма и весьма требовательны в плане того, что им должна компания. Так для лучшей коммуникации организации должны объяснять все последствия от утечки (считают 67%), раскрыть все факты (56%). Но вот что удивительно – граждане, чьи данные были скомпрометированы, в 32% случаев просто игнорируют уведомления о компрометации.

Да, для американцев кража их данных – событие неприятное. 76% испытали по этому поводу стресс. Однако свои финансовые потери от утечки они оценили всего в 38 долларов.

55% опрошенных после уведомления об утечке их данных не сделали ничего. Только 28% перевыпустили пластиковые карты, 21% более внимательно просмотрели историю транзакций по счетам.

Самое интересное – сообщение об утечке мало отражается на имидже компании в глазах американцев. 41% не изменят своего мнения об организации, скомпрометировавшей данные. 29% с менее охотно будут взаимодействовать с такой компанией.

Только 30% считают, что утечка данных влияет на репутацию компании.

В общем, те репутационные потери компаний, о которых так любят говорить ИБ-вендоры, существуют, очевидно, только в воображении этих самых вендоров. Любимый метод ИБ «страшилок» для продвижения защитных продуктов оказался не особенно эффективным. Для того же DLP в ближайшее время следует найти другую обертку.

В этом смысле любая «заточка» того же DLP под бизнес, подача DLP-решений как инструмента для решения управленческих задач (контроль информационных активов с известной стоимостью, например) выглядит привлекательнее, чем тупое размахивание «громкой» утечкой. В конце концов, все мы помним историю про Мегафон)