Firmy nie wiedzą, jakie są koszty cyberataku

Jedna z przedstawianych hipotez dotyczących tworzenia polityki cyberbezpieczeństwa głosi, iż osoby fizyczne rzadko odczuwają skutki złośliwej aktywności sieciowej. Nie nakładają więc one nacisku na legislatywę, który pchałby ustawodawcę do wdrożenia jakichkolwiek rozwiązań w tym zakresie. Faktycznie, mimo iż kradzież tożsamości staje się coraz częstsza, problem jest zwykle łagodzony przez dostawców usług związanych z kartami kredytowymi, którzy po prostu umarzają sfałszowane obciążenia. Z kolei bardziej zaawansowane ataki ukierunkowane przeciwko firmom, takie jak incydent Google Aurora, przypadki saudyjskiego Aramco czy Sony Pictures, mogą pojawić się w nagłówkach i prasie, jednak ich wpływ na życie codzienne szarego obywatela pozostaje znikomy. Obecnie, jak sugeruje nowe studium na ten temat wydane przez firmę consultingową Deloitte, może wydawać się, że pewne firmy nie w pełni rozumieją koszta tworzone przez cyberataki i ich negatywny wpływ na prowadzoną działalność.

Raport, zatytułowany „Beneath the surface of a cyberattack: A deeper look at business impacts” (Pod Powierzchownością Cyber-Ataku: Głębsza Analiza Skutków Biznesowych) rozpoczyna się od założenia, że sposób, w jaki większość firm definiuje koszta potencjalnych naruszeń cybernetycznych może być wysoce ograniczony. Według opracowania, koszt cyberataków jest rozważany w dużej mierze w zakresie publicznego raportowania i wymogów regulacyjnych, którym sprostać muszą firmy. Konkretnie oznacza to, że firmy, których infrastruktura została naruszona, muszą martwić się kosztem powiadomienia klientów, których dane zostały narażone, oferować zadośćuczynienie i radzić sobie z wyzwaniami natury prawnej i karami wynikającymi z regulacji.

Inny raport, wydany w tym tygodniu przez IBM Security, jasno ilustruje to, co Delloite definiuje jako podejście ponadpowierzchniowe do kosztów cyber-agresji. Studium „Cost of Data Breach Study” przygląda się temu, jak wiele firmy płacą za każde wykradzione dane. W opracowaniu czytamy, iż pod uwagę brane są koszty pośrednie naruszeń, w tym koszty „firmowego śledztwa, komunikacji i ekstrapolowana wartości straty klienta wynikającej z obrotu, lub zmniejszonego tempa pozyskiwania klientów”. Wydaje się jednak, że główny punkt analizy dotyczy „kosztów bezpośrednich”: „angażowania śledczych, outsourcingu infolinii i zapewnienie darmowej subskrypcji monitoringu i zniżek na przyszłościowe produkty i usługi”. IBM odkryło, że każdy skradziony rekord kosztuje firmę średnio 158 dolarów - jednak ze sporą zmiennością, w zależności od państw i sektorów. Globalnie, koszt naruszeń związanych z danymi jest najwyższy w USA (221 dolarów/rekord) i Niemczech (213 dolarów na rekord), a najniższy w Brazylii (100 dolarów/rekord) i Indiach (60 dolarów za rekord). Jeżeli chodzi o sektory, skradzione rekordy danych medycznych mają koszt najwyższy (155 dolarów/rekord), natomiast w sektorze publicznym koszty są najniższe (80 dolarów za rekord). W ujęciu ogólnym, całkowity koszt naruszenia dla firm wynosi średnio około 4 milionów USD, jak sugeruje analiza IBM.

Deloitte jednakże nie zgadza się z ww. podejściem. Kradzież danych konsumenckich „nie zawsze stanowi cel atakującego. Rzadko na światło dzienne wychodzą przypadki kradzieży własności intelektualnej, szpiegostwo, niszczenie danych, ataki na działalność na poziomie podstawowym, czy też próby destabilizacji infrastruktury krytycznej. Pod powierzchnią, ataki te mają znacznie większy wpływ na firmy. Jednakże straty ponoszone nie są rozumiane w szerokim zakresie, są one także znacznie trudniejsze do kwantyfikacji”. By poradzić sobie z tym problemem, Deloitte zidentyfikowało 14 dróg, na których cyberataki tworzą koszty dla firm, siedem „nad”, i siedem „pod” powierzchnią. Sposoby te są następujące:

Nad powierzchnią:

• Śledztwo techniczne

• Powiadomienia klienta o naruszeniu

• Ochrona klienta po ataku

• Zgodność z przepisami

• PR

• Opłaty związane z procesami sądowymi i pomocą prawnika

• Poprawa cyberbezpieczeństwa

Pod powierzchnią:

• Wzrost sumy ubezpieczeniowej

• Zwiększony koszt pozyskania kapitału dłużnego

• Rozregulowanie działalności lub jej zniszczenie

• Niska wartość relacji z klientem

• Wartość utraconego zysku z umów

• Dewaluacja reputacji

• Strata własności intelektualnej

Większość tego, co IBM uznaje za koszty pośrednie i bezpośrednie Deloitte klasyfikuje jako czynniki ponad-powierzchniowe. Jednakże lista kosztów podpowierzchniowych nie jest szczególnie rewolucyjna, dotyczy ona bowiem w głównej mierze ryzyk związanych z reputacją, od wielu lat uznawanych za skutki zawarte w zbiorze możliwych reperkusji potencjalnego cyberataku. Główną różnicą jest fakt, że Deloitte próbuje dokonać kwantyfikacji tychże kosztów i oceny trwania ich skutku 

Podczas gdy Deloitte nie dostarcza danych uśrednionych, jak robi to IBM, w studium opartym na empirycznych danych (Deloitte bierze pod uwagę dwa hipotetyczne przypadki opisane na żywych przykładach), firma wskazuje jednak z jakimi kosztami moglibyśmy mieć do czynienia.

W jednym ze scenariuszy, firma ubezpieczeniowa zajmująca się ubezpieczeniami zdrowotnymi traci 2,8 miliona rekordów danych. Za sugestią Deloitte, koszty powierzchniowe wynosić mogą 59 milionów dolarów, jednak te pod powierzchnią mogą sięgać nawet 1,62 miliarda USD. Takie samo naruszenie, zgodnie ze studium IBM (2,8 miliona skradzionych rekordów * 355 USD, czyli średni koszt rekordu w sektorze służby zdrowia) wiązałoby się z kosztem jedynie 994 milionów dolarów. Studium Deloitte niniejszym sugeruje, że realny koszt cyberataku mógłby być do 40% wyższy od ogólnych szacunków firm.

Czy takie informacje mogą doprowadzić do zmian korporacyjnych zachowań? Mało prawdopodobne. Po pierwsze, sama natura kosztów - tych pozostających „pod powierzchnią”, jak ujmuje to Deloitte, sprawia, że mogą one nie być namacalne, lub bezpośrednio związane z naruszeniem, szczególnie w przypadkach gdy ponoszone one są od 3 do 5 lat po ataku. Po drugie, bez czegoś konkretniejszego od przypadków czysto hipotetycznych, studium Deloitte może nie być bardzo przekonujące dla rad nadzorczych, podejmujących w dzisiejszych czasach decyzje na temat tego czy wydawać pieniądze na cyber-bezpieczeństwo, czy nie. Wydawanie pieniędzy w ten sposób rzadko jest wynagradzane przez udziałowców. Zarządy decydują, by odłożyć je gdzieś, gdzie dane finanse mogłyby do zysków przedsiębiorstwa przyczynić się w sposób bardziej bezpośredni.

Studium jednak dobrze ujmuje, że problem informacyjny nie pozwalający na wprowadzenie lepszych praktyk w obszarze cyberbezpieczeństwa, czy odpowiedniej polityki, może być głębszy niż sobie wyobrażano.

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl