RAND Corporation opublikowało ostatnio raport na tematkosztów cyberincydentów. Analizując próbkę z 12000 różnych zarejestrowanych
incydentów okazało się, że koszt cyberincydentu to średnio $200 000 czyli mniej
więcej tyle ile wynoszą budżety badanych firm przeznaczone na bezpieczeństwo
informacji. Niektórzy autorzy zaczęli wprost wyciągać wnioski, że taniej więc
jest pozwolić się zaatakować niż budować bezpieczne rozwiązania. Nie do końca
zgadzam się z takim podejściem do tematu, chociaż warto przyjąć do wiadomości,
że tego typu opinie mogą się pojawiać.
Po pierwsze warto podkreślić, że koszt dotyczy jednego cyberincydentu,
a teoretycznie może ich być więcej (choć z drugiej strony na podstawie moich
obserwacji firmy rzadko kilkakrotnie mają w roku poważne cyberincydenty). Po
drugie strony autor raportu podkreśla, że nie udało się dobrze wycenić szkód
wizerunkowych, mogących teoretycznie mieć potężny wpływ na funkcjonowanie organizacji.
Choć z drugiej strony po kilku megawyciekach nie udało się zaobserwować masowej
rezygnacji z usług skompromitowanych firm (choć, równocześnie podaje, że ponad
10% klientów potrafi odejść, co na pewno jest bardzo bolesne!). Co więcej nawet samemu zabawiłem się kiedyś w obserwowanie
paru przypadków spółek giełdowych, które doświadczyły cyberincydentów. Kurs
faktycznie wahnął się w pierwszych momentach, ale niedługo później wracał do
pierwotnego poziomu.
Po trzecie warto pamiętać, że cyberincydenty stają się obiektem
coraz większego zainteresowania kolejnych organów nadzoru i niedługo (moim
zdaniem słusznie) zaczniemy obserwować coraz częstsze przypadki nakładania kar
finansowych na organizacje nie potrafiące poprawnie funkcjonować w cyber-rzeczywistości.
Po czwarte warto podkreślić, że jest to średnia. Nie sądzę,
by w statystykach uwzględniano cyberincydenty typu spam, jak to bywa w
niektórych raportach, ale zdecydowana część incydentów na pewno ma znikomą
wartość (typu usunięcie skutków ransomware za 100$). Tym samym bardzo
interesujące może być to ile tak naprawdę kosztowały najpoważniejsze z
cyberincydentów
A na koniec chciałbym jeszcze zauważyć jedną kwestię - zdaniem autora koszt defraudacji to około 5%
przychodów. Biorąc pod uwagę znacznie systemów informatycznych mam wrażenie, że
spora część tego typu oszustw wykorzystuje luki w systemach informatycznych jak
również procesach je nadzorujących. Tym samym możliwe, że niektórzy z tych
zdarzeń nie są zbyt precyzyjnie klasyfikowane.
Reasumując - koszty cyberincydentów, mimo zdecydowanie
rosną, nie są na tyle bolesne by zniszczyć całą organizację. Mogą jednak jej
bardzo potężnie zaszkodzić, nie wspominając nawet o jej klientach. Tym samym
należy zabezpieczać systemy informatyczne i procesy przetwarzania informacji.
Należy jednak robić to z głową.
Brak komentarzy:
Prześlij komentarz
Dzień dobry. Komentarze na tym forum są moderowane