Koszt cyberincydentów (RAND)

Koszt cyberincydentów (RAND)

RAND Corporation opublikowało ostatnio raport na tematkosztów cyberincydentów. Analizując próbkę z 12000 różnych zarejestrowanych incydentów okazało się, że koszt cyberincydentu to średnio $200 000 czyli mniej więcej tyle ile wynoszą budżety badanych firm przeznaczone na bezpieczeństwo informacji. Niektórzy autorzy zaczęli wprost wyciągać wnioski, że taniej więc jest pozwolić się zaatakować niż budować bezpieczne rozwiązania. Nie do końca zgadzam się z takim podejściem do tematu, chociaż warto przyjąć do wiadomości, że tego typu opinie mogą się pojawiać.

Po pierwsze warto podkreślić, że koszt dotyczy jednego cyberincydentu, a teoretycznie może ich być więcej (choć z drugiej strony na podstawie moich obserwacji firmy rzadko kilkakrotnie mają w roku poważne cyberincydenty). Po drugie strony autor raportu podkreśla, że nie udało się dobrze wycenić szkód wizerunkowych, mogących teoretycznie mieć potężny wpływ na funkcjonowanie organizacji. Choć z drugiej strony po kilku megawyciekach nie udało się zaobserwować masowej rezygnacji z usług skompromitowanych firm (choć, równocześnie podaje, że ponad 10% klientów potrafi odejść, co na pewno jest bardzo bolesne!).  Co więcej nawet samemu zabawiłem się kiedyś w obserwowanie paru przypadków spółek giełdowych, które doświadczyły cyberincydentów. Kurs faktycznie wahnął się w pierwszych momentach, ale niedługo później wracał do pierwotnego poziomu.
Po trzecie warto pamiętać, że cyberincydenty stają się obiektem coraz większego zainteresowania kolejnych organów nadzoru i niedługo (moim zdaniem słusznie) zaczniemy obserwować coraz częstsze przypadki nakładania kar finansowych na organizacje nie potrafiące poprawnie funkcjonować w cyber-rzeczywistości.
Po czwarte warto podkreślić, że jest to średnia. Nie sądzę, by w statystykach uwzględniano cyberincydenty typu spam, jak to bywa w niektórych raportach, ale zdecydowana część incydentów na pewno ma znikomą wartość (typu usunięcie skutków ransomware za 100$). Tym samym bardzo interesujące może być to ile tak naprawdę kosztowały najpoważniejsze z cyberincydentów
A na koniec chciałbym jeszcze zauważyć jedną kwestię -  zdaniem autora koszt defraudacji to około 5% przychodów. Biorąc pod uwagę znacznie systemów informatycznych mam wrażenie, że spora część tego typu oszustw wykorzystuje luki w systemach informatycznych jak również procesach je nadzorujących. Tym samym możliwe, że niektórzy z tych zdarzeń nie są zbyt precyzyjnie klasyfikowane.

Reasumując - koszty cyberincydentów, mimo zdecydowanie rosną, nie są na tyle bolesne by zniszczyć całą organizację. Mogą jednak jej bardzo potężnie zaszkodzić, nie wspominając nawet o jej klientach. Tym samym należy zabezpieczać systemy informatyczne i procesy przetwarzania informacji. Należy jednak robić to z głową.
Next PostNowszy post Previous PostStarszy post Strona główna
Prześlij komentarz