Każdy cyberatak może spowodować szkody w firmie. Pytanie brzmi, jak wyrazić je w kategoriach finansowych? W 2013 r. eksperci z B2B International i Kaspersky Lab oszacowali koszty szkód spowodowanych cyberatakami na podstawie wyników badania przeprowadzonego wśród firm na całym świecie.
Aby uzyskać najdokładniejszy obraz kosztów, uwzględniono tylko te incydenty, które miały miejsce w ciągu minionych 12 miesięcy; szacunki zostały oparte na informacjach dotyczących strat poniesionych w bezpośrednim następstwie incydentów naruszenia bezpieczeństwa. Można je podzielić na dwie główne grupy:
- Szkody wynikające z samego incydentu – tj. straty powstałe na skutek wycieku krytycznych danych, przerwania ciągłości pracy oraz koszty związane z zaangażowaniem specjalistów zajmujących się naprawą skutków incydentów;
- Nieplanowane koszty „reakcji” niezbędne w celu zapobiegnięcia podobnym atakom w przyszłości, w tym zatrudnienie/wyszkolenie personelu oraz modernizacja sprzętu, oprogramowania i innych elementów infrastruktury.
Analitycy nie uwzględnili danych dotyczących strat oraz wydatków poniesionych przez stosunkowo niewielką liczbę badanych firm, takich jak koszty wynikające z potrzeby wydania publicznego oświadczenia o incydencie.
Struktura kosztów
Według wyliczeń, lwia część strat jest spowodowana samym incydentem – utracone możliwości i zyski, jak również honoraria dla specjalistów zajmujących się naprawą skutków, wynoszą średnio 566 000 dolarów. Koszty „reakcji” obejmującej zatrudnienie i wyszkolenie personelu oraz aktualizowanie infrastruktury sprzętowej i programowej to dodatkowa kwota średnio rzędu 83 000 dolarów. Co ciekawe, wysokość szkód może różnić się w zależności od regionu, w którym działa firma. Na przykład, największe szkody dotyczyły incydentów, które dotknęły firmy działające w Ameryce Północnej – średnio 818 000 dolarów. Nieco mniej wynosiły straty w Ameryce Południowej – 813 000 dolarów. W Europie odnotowano niższe, jednak nadal znaczne średnie straty spowodowane cyberatakami – 627 000 dolarów.
Koszty ponoszone przez małe i średnie przedsiębiorstwa
Koszty cyberataku na małe i średnie przedsiębiorstwa są niższe niż w przypadku dużych korporacji. Mimo to biorąc pod uwagę mniejszy rozmiar tych firm, nadal stanowią dla nich poważny cios. Typowa strata spowodowana incydentami bezpieczeństwa IT ponoszona przez średnie firmy wynosiła około 50 000 dolarów, z czego około 36 000 dolarów odnosi się do samego incydentu, podczas gdy pozostałe 14 000 dolarów to inne, powiązane wydatki. Największe średnie straty poniesione na skutek cyberataków na małe i średnie firmy wynosiły 96 000 dolarów i zostały odnotowane przez firmy w rejonie Azji i Pacyfiku. Na drugim miejscu znalazły się firmy z Ameryki Północnej, w których średnie straty wynosiły 82 000 dolarów. W Europie kwota ta wynosiła 55 000 dolarów, a w Ameryce Południowej - 45 000. Najniższe straty na skutek cyberataków zostały zarejestrowane w Rosji i wynosiły średnio 21 000 dolarów.
Badanie pokazuje również, że w niektórych przypadkach stratom finansowym ponoszonym przez małe firmy towarzyszą inne straty wynoszące około 5% rocznych przychodów. W jednym przypadku firma straciła wszystkich swoich klientów w regionie, w którym przed incydentem z sukcesem prowadziła działalność.
Odpowiednia ochrona
Główny wniosek, jaki należy wyciągnąć z tego badania, jest taki, że nawet najbardziej destrukcyjnym i kosztownym atakom można było zapobiec. Podczas ataków wykorzystywano dziury w systemie bezpieczeństwa firmowego, które mogły zostać załatane, gdyby tylko atakowane firmy wykorzystywały dobrej jakości rozwiązania bezpieczeństwa IT i odpowiednio zarządzały infrastrukturą IT.
Kaspersky Endpoint Security for Business zapewnia skuteczną ochronę przed wszystkimi typami cyberzagrożeń, w tym atakami ukierunkowanymi. Oferuje również kluczowe funkcje kontroli, takie jak automatyczne zarządzanie łatami i skanowanie w celu wykrycia luk, dostarczając regularne, ciągłe uaktualnienia do korporacyjnych punktów końcowych, jak również bezpieczną integrację urządzeń mobilnych z siecią korporacyjną.
Zazwyczaj firmy, które padły ofiarą cyebrataków, zdają sobie sprawę ze znaczenia i wartości tych rozwiązań dopiero po incydencie – co oznacza dodatkowe koszty, których można było uniknąć. Proste porównanie skali wydatków z kosztami i szkodami związanymi z cyberatakiem pokazuje, że w przeważającej większości przypadków inwestycja w wysokiej jakości, skuteczną ochronę IT wymagałaby znacznie mniejszych nakładów niż koszty poniesione w następstwie incydentu.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.