Biznes i Finanse
Raport: Taniej jest pozwolić się zaatakować niż zbudować solidne cyberzabezpieczenia
Jak wynika z artykułu w Journal of Cybersecurity, przygotowanego przez eksperta RAND Corporation, średnie koszty związane z włamaniem do dużych sieci teleinformatycznych okazały się dużo niższe niż przewidywano do tej pory. Obecnie ma to być nawet poniżej 200 tys. dolarów, jeżeli chodzi o pojedyncze incydenty.
Według raportu koszty związane z przygotowaniem odpowiedniego poziomu zabezpieczeń dla firm są zdecydowanie większe niż koszty samego włamania. Raport bierze jednak pod uwagę jedynie koszty związane z przywróceniem działania samych systemów, naprawy po włamaniu i nie wlicza kosztów związanych z utratą wizerunku firmy.
Autorzy raportu zdecydowali się nie poruszać tej ostatniej konsekwencji z powodu jej trudnej mierzalności oraz przełożenia na działania samej firmy. Jednak większość kosztów ataku oscyluje wokół 0,4 proc. rocznych przychodów firm. Dla porównania RAND Corporation przytoczył wyniki innych zagrożeń, takich jak oszustwa rozliczeniowe, które pochłaniają średnio 5 proc. rocznych przychodów czy kradzieży dokonywanej w sieciach detalicznych, tych zwykłych oraz dokonywanych przez pracowników, które zabierają średnio 1,3 proc. rocznych przychodów.
Twórcy raportu są oczywiście świadomi, że w historii dochodziło do sytuacji, w których duże ataki i wycieki danych spowodowały ogromne koszty dla firm, które musiały się podnieść po takim incydencie. Mają one jednak wpisywać się średnie koszty związane z incydentami. Autor raportu podaje także wyniki badań, z których wynika że ponad ¾ użytkowników i klientów jest zadowolona z kroków podjętych przez firmy po wycieku danych. Ma to także przekładać się według cytowanego badania, przygotowanego przez RAND, na straty maksymalnie 11 proc. klientów, którzy doświadczyli wycieku swoich danych.
Sasha Romanosky, który jest autorem artykułu, dodaje, że straty wśród klientów, bezpośrednio związane z incydentem cybernetycznym, w czasie się jedynie zwiększają. Realne koszty mają jednak wynosić znacznie mniej niż zakładano. W raporcie Romanosky zauważył, że przy odpowiedniej obsłudze samego incydentu, firmy tracą mniej klientów. Według autora sytuacja może zmienić się pod wpływem zwiększającej się liczby firm ubezpieczeniowych oferujących ubezpieczenia od incydentów w sieci. Obecnie około 70 firm ubezpieczeniowych ma dzielić się dobrymi praktykami dotyczącymi bezpiecznej wymiany informacji elektronicznych w Stanach Zjednoczonych.
Czytaj też: Ubezpieczenia od cybezagrożeń - nowa szansa w cyberbezpieczeństwie?