Według raportu koszty związane z przygotowaniem odpowiedniego poziomu zabezpieczeń dla firm są zdecydowanie większe niż koszty samego włamania. Raport bierze jednak pod uwagę jedynie koszty związane z przywróceniem działania samych systemów, naprawy po włamaniu i nie wlicza kosztów związanych z utratą wizerunku firmy.
Autorzy raportu zdecydowali się nie poruszać tej ostatniej konsekwencji z powodu jej trudnej mierzalności oraz przełożenia na działania samej firmy. Jednak większość kosztów ataku oscyluje wokół 0,4 proc. rocznych przychodów firm. Dla porównania RAND Corporation przytoczył wyniki innych zagrożeń, takich jak oszustwa rozliczeniowe, które pochłaniają średnio 5 proc. rocznych przychodów czy kradzieży dokonywanej w sieciach detalicznych, tych zwykłych oraz dokonywanych przez pracowników, które zabierają średnio 1,3 proc. rocznych przychodów.
Twórcy raportu są oczywiście świadomi, że w historii dochodziło do sytuacji, w których duże ataki i wycieki danych spowodowały ogromne koszty dla firm, które musiały się podnieść po takim incydencie. Mają one jednak wpisywać się średnie koszty związane z incydentami. Autor raportu podaje także wyniki badań, z których wynika że ponad ¾ użytkowników i klientów jest zadowolona z kroków podjętych przez firmy po wycieku danych. Ma to także przekładać się według cytowanego badania, przygotowanego przez RAND, na straty maksymalnie 11 proc. klientów, którzy doświadczyli wycieku swoich danych.
Sasha Romanosky, który jest autorem artykułu, dodaje, że straty wśród klientów, bezpośrednio związane z incydentem cybernetycznym, w czasie się jedynie zwiększają. Realne koszty mają jednak wynosić znacznie mniej niż zakładano. W raporcie Romanosky zauważył, że przy odpowiedniej obsłudze samego incydentu, firmy tracą mniej klientów. Według autora sytuacja może zmienić się pod wpływem zwiększającej się liczby firm ubezpieczeniowych oferujących ubezpieczenia od incydentów w sieci. Obecnie około 70 firm ubezpieczeniowych ma dzielić się dobrymi praktykami dotyczącymi bezpiecznej wymiany informacji elektronicznych w Stanach Zjednoczonych.
Czytaj też: Ubezpieczenia od cybezagrożeń - nowa szansa w cyberbezpieczeństwie?