Ataki hakerskie, oszustwa pracowników i cyberszpiegostwo to realne zagrożenia, które powodują duże straty finansowe. Średnia kwota, jaką organizacje muszą przeznaczać na usuwanie szkód, wynosi ponad pół miliona dolarów (ok. 2 mln zł) w przypadku korporacji i niemal 40 tys. dol. (ok. 140 tys. zł) dla małych i średnich firm.

Reklama

Kaspersky Lab przeprowadził wraz z B2B International badanie, które wyłoniło najbardziej kosztowne rodzaje incydentów naruszenia cyberbezpieczeństwa w firmach. Epizody te obejmują oszustwa pracowników, cyberszpiegostwo, włamania do sieci oraz zaniedbania ze strony dostawców zewnętrznych.

Poważna luka w systemach bezpieczeństwa IT naraża firmy na wiele problemów. Ze względu na różnorodność szkód, czasami same ofiary mają problemy z oszacowaniem całkowitego kosztu incydentu. Specjaliści od cyberbezpieczeństwa z Kaspersky Lab wykorzystali dane firm z poprzednich lat w celu wskazania obszarów, w których te ponoszą wydatki w następstwie incydentu naruszenia bezpieczeństwa lub tracą pieniądze na skutek takiego zdarzenia. Zwykle firmy muszą przeznaczyć większe kwoty na usługi specjalistów (takich jak zewnętrzni eksperci IT, prawnicy, konsultanci itd.) i uzyskują niższe przychody z powodu utraconych możliwości biznesowych i przestoju w pracy.

Oprócz rozmiaru firmy pod uwagę wzięto prawdopodobieństwo wystąpienia poszczególnych konsekwencji. Podobną metodę zastosowano w celu oszacowania wydatków pośrednich – budżetu przeznaczanego przez firmy po usunięciu szkód, który ma związek z incydentem naruszenia bezpieczeństwa. Dlatego oprócz wymienionych wyżej kwot firmy wydają zwykle od 8 tys. dolarów (ok. 30 tys. zł w przypadku małych i średnich), do 69 tys. dol. (ok. 253 tys. zł w dużych) na zatrudnienie personelu, szkolenia i uaktualnienie infrastruktury.

Badacze wskazują również średnią wysokość strat przedsiębiorstwa, które padło ofiarą incydentu naruszenia bezpieczeństwa:

  • usługi profesjonalistów (IT, zarządzanie ryzykiem, prawnicy): do 84 tys. (ok. 308 tys. zł) dolarów przy prawdopodobieństwie wydatków na poziomie 88 proc.,
  • utracone możliwości biznesowe: do 203 tys. dol. (ok. 745 tys. zł), 29 proc.,
  • przestój w pracy: do 14 mln dol. (ok. 51 mln zł), 30 proc.,
  • całkowity średni koszt: 551 tys. dol. (ok. 2 mln zł), w tym szkody na reputacji: do ok. 204 tys. dol. (ok. 750 tys. zł),
  • wydatki pośrednie: do 69 tys. dol. (ok. 253 tys. zł)

Małe i średnie firmy, a korporacje

Dziewięć na dziesięć firm, które wzięły udział w badaniu Kaspersky Lab, zgłosiło co najmniej jeden incydent naruszenia bezpieczeństwa. Jednak nie wszystkie takie zdarzenia są poważne i/lub prowadzą do utraty poufnych danych. Najcięższe przypadki naruszenia bezpieczeństwa są zazwyczaj wynikiem ataku z wykorzystaniem szkodliwego oprogramowania, phishingu, wycieku danych z winy pracowników czy korzystania z nieaktualnego (niezałatanego) oprogramowania. Szacunek kosztów rzuca nowe światło na to, jak poważne konsekwencje mogą mieć naruszenia bezpieczeństwa IT, przy czym są one nieco inne w przypadku małych i średnich firm oraz przedsiębiorstw.

„Z punktu widzenia firm wszystkie dane są wrażliwe, a tym samym narażone na ataki. Utrata jakichkolwiek informacji może nieść za sobą negatywne konsekwencje. Z naszego punktu widzenia nie ma rozgraniczenia na dane mniej lub bardziej istotne. Dodatkowo budując wszelkiego rodzaju rozwiązania zawsze zabezpieczamy informacje przed nieuprawnionym dostępem. Największe niebezpieczeństwo, a za tym straty klientów to kradzież tożsamości i utrata zaufania” – mówi Jakub Głąb dyrektor rozwoju w VSOFT, firmie, która na co dzień projektuje i wdraża autorskie oprogramowania informatyczne, a także integruje je z infrastrukturą jaką dysponuje klient.

Duże podmioty ponoszą znacznie większe koszty, gdy przypadek naruszenia bezpieczeństwa jest wynikiem zaniedbania zaufanej osoby trzeciej. Inne kosztowne rodzaje incydentów obejmują oszustwa popełniane przez pracowników, cyberszpiegostwo oraz włamania do sieci. Małe i średnie przedsiębiorstwa zwykle tracą ogromną ilość pieniędzy na skutek niemal wszystkich rodzajów problemów, płacąc równie wysoką cenę za odzyskanie sprawności po aktach szpiegostwa, phishingowych oraz DDoS.

„Na rynku brakuje raportów dotyczących konsekwencji incydentów naruszenia bezpieczeństwa IT szacujących realne straty. Zaproponowanie niezawodnej metody obliczenia wartości średnich jest trudne, jednak było to konieczne w celu połączenia teorii dotyczącej krajobrazu zagrożeń korporacyjnych z praktyką biznesową. Dlatego stworzyliśmy listę zagrożeń, które powodują najpoważniejsze szkody – takie, na które firmy muszą według nas zwracać największą uwagę” – mówi Brian Burke, szef zespołu odpowiedzialnego za rozpoznawanie rynku w Kaspersky Lab.

Badanie i jego wyniki to w praktyce najlepszy dowód na to, jak groźne (nie tylko z punktu widzenia danych firmy, ale również finansów) potrafią być cyberzagrożenia. Wniosek może być tylko jeden: łatwiej jest zapobiegać niż leczyć.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here