Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Естественно, изменения могут быть вызваны многими факторами, и некоторая волатильность ожидалась бы даже в случае отсутствия взломов. Поэтому при рассмотрении такого рода событий следует учитывать, насколько велики изменения по сравнению с исторической волатильностью продаж и цен на акции. На рис. 6.1 показаны изменения (относительно времени взлома) квартальных продаж трех крупных компаний розничной торговли, в которых произошли утечки данных, получившие широкую огласку: Home Depot, JCPenney и Target. На рис. 6.3 показаны изменения цен на акции этих компаний и компании Anthem.
Рис. 6.1. Поквартальное изменение объема продаж компаний розничной торговли, пострадавших от крупных утечек данных, относительно квартала, в котором произошла утечка
Рис. 6.2. Ежедневные изменения цены на акции компаний, пострадавших от крупных утечек данных, относительно дня, когда произошла утечка
На рис. 6.1 и 6.2 не заметно значительных изменений после утечки данных по сравнению с волатильностью до утечки. Для лучшего понимания рассмотрим изменения относительно исторической волатильности.
Рис. 6.3. Изменение цен на акции трех компаний розничной торговли после крупной утечки данных в сравнении с исторической волатильностью
Рис. 6.4. Изменения в скорректированных с учетом сезонности квартальных продажах после утечки данных в сравнении с исторической волатильностью
На рис. 6.3 и 6.4 историческая волатильность продаж и цен на акции показана в течение трех лет до утечки данных в виде интервала с пятого по 95-й процентиль изменений. Маркерами отмечены изменения после утечки данных в сравнении с диапазоном исторической волатильности (вертикальные пунктирные линии). Изменения продаж и цен на акции после утечки данных показаны относительно их исторической волатильности.
Как видно, любая связь между крупной утечкой данных и продажами или ценой на акции в лучшем случае является слабой, даже при таких масштабных утечках, что произошли в Home Depot и Target. И хотя создается впечатление, что утечки данных могли привести к некоторому снижению в среднем, подобное снижение можно объяснить историческим «шумом» ежедневных или квартальных изменений. В марте 2015 года в журнале Forbes были опубликованы результаты еще одного анализа агентства Trefis, из которых следовало, что хотя у Home Depot не было фактических потерь в кварталах после утечки данных, но, по заявлению руководства, компания понесла из-за случившегося другие убытки, в том числе связанные с «юридической помощью, мошенничеством с платежными картами и расходами на перевыпуск карт»10.
Что же касается падения стоимости акций на 14 %, которое наблюдалось у компании Target в течение двух месяцев после утечки данных, то его тоже следует рассматривать в контексте. Так, ранее в том же году, когда произошла утечка, имело место схожее снижение цен акций Target на 14 % за двухмесячный период с августа по сентябрь. А к ноябрю 2014 года цена оказалась даже выше, чем непосредственно перед утечкой данных.
А как же опросы, показывающие, что потребители перестанут покупать товары в розничных магазинах, пострадавших от крупной утечки данных? Тут можно лишь сказать, что показатели продаж не соответствуют заявлениям респондентов. Это вполне согласуется с фактом, что, по-видимому, выражаемая в вопросе позиция относительно ценности частной жизни и безопасности не отражается на реальных поступках, как показано в одном австралийском исследовании11. Trefis даже было добавлено примечание по поводу наблюдаемого снижения продаж у Target, указывающее, что «клиентопоток в данной отрасли продаж в целом снижается из-за постепенного перехода покупателей в онлайн, где присутствие компании Target ничтожно мало»12. В Trefis также отметили следующее касательно компании Home Depot:
Несмотря на то что речь идет о проблеме более масштабной, чем утечка данных в компании Target в конце 2013 года, маловероятно, что Home Depot потеряет значительную часть прибыли. Отчасти это объясняется в целом благоприятной ситуацией в экономике США, и на рынке жилья в частности. Более того, если от Target клиенты перешли к таким компаниям, как Costco или Kohl's, то в случае, когда речь идет о покупке фанеры, пил, цемента и тому подобного, конкуренция почти отсутствует13.
Таким образом, становится понятно, что существуют и другие факторы, влияющие на возникновение у компании розничной торговли трудностей с удержанием клиентов. Поэтому, вероятно, в ситуации реальной «потери репутации» также многое будет зависеть от того, куда клиенты компании могут обратиться, чтобы получить те же продукты и услуги. Но даже при наличии всех этих факторов, как было в случае с компанией Target, все равно трудно отделить их влияние от обычных колебаний рынка.
Наконец, если обратиться к прошлым сообщениям о суммах затрат, вызванных утечками данных, кое-что не сходится. Убытки от утечки данных в компании T.J. Maxx в 2007 году оценивались в более чем 1,7 млрд долл.14 Прошло достаточно времени, чтобы проявились даже отдаленные последствия. Но если какие-то убытки, приближенные к этой сумме, и были, то они, похоже, хорошо скрыты в финансовых отчетах компании. До утечки данных годовой доход от операций T.J. Maxx составлял около 700 млн долл., а в какой-то момент после утечки вырос до примерно 1,2 млрд долл. В годовых отчетах представлены весьма обобщенные данные, однако воздействие, даже вполовину менее серьезное, чем предсказывалось, должно было явственно отразиться хоть в одном году. Тем не менее подобного влияния не видно ни по прибыли, ни по расходам, ни по денежным средствам или новым займам. Безусловно, компания T.J. Maxx понесла убытки, но нет никаких доказательств, что их сумма была хоть сколько-нибудь приближена к 1,7 млрд долл.
Потерять бизнес в результате утечки данных возможно, но тот факт, что эффект такого
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!