Skutki cyberataku są większe niż myślisz

Skutki cyberataku są większe niż myślisz

Z badań firmy Deloitte („Beneath the Surface of a Cyberattack: A Deeper Look at the Business Impact”) wynika, że ukryte koszty  cyberataku mogą sięgać nawet 90 % całkowitych skutków biznesowych odczuwanych przez organizację. W większości przypadków, takich konsekwencji doświadczymy po dwóch lub więcej latach od wydarzenia.

Niewiele osób kwestionuje fakt, iż częstotliwość oraz natężenie cyberataków wzrasta. Większość organizacji potwierdza również, że doświadczyło przynajmniej jednego tego typu incydentu. Czy jednak wszystkie z tych organizacji mają pełną świadomość tego, jakie niosą one skutki dla organizacji? Trzeba jasno stwierdzić, że bezpośrednie koszty, powszechnie kojarzone z naruszeniem ochrony danych, są mniej znaczące od ponoszonych kosztów ukrytych.

Badania wskazują na 14 skutków cyberataków, które zostały podzielone na dwie kategorie: „ponad powierzchnią”, czy też dobrze znane koszty incydentu, oraz „pod powierzchnią”, czyli ukryte. Warto zaznaczyć, że zazwyczaj wycena skutków cyberataków jest zaniżona. Dzieje się tak, ponieważ kierownictwo ma problemy z oceną potencjalnych skutków częściowo z tego powodu, iż zwykle nie jest wtajemniczone w to, z czym muszą się mierzyć ich koledzy. Często też skupia się ściśle na elemencie zgłoszenia naruszenia oraz na mechanizmach ochronnych po naruszeniu, które muszą być wprowadzone, ale szersze skutki zdają się być ignorowane.

Skutki “ponad powierzchnią”, czyli dobrze znane koszty cyberincydentu:

•    Powiadomienie klienta o naruszeniu
•    Ochrona klienta po naruszeniu
•    Zgodność z przepisami (kary)
•    PR
•    Opłaty związane z postępowaniem sądowym oraz wynagrodzenie dla prawników
•    Poprawa cyberbezpieczeństwa
•    Śledztwo techniczne

Skutki określano jako “pod powierzchnią”, inaczej ukryte lub mniej widoczne koszty:

•    Wzrost wysokości składki ubezpieczeniowej
•    Wzrost kosztu uzyskania kapitału dłużnego
•    Zakłócenie działalności
•    Niższa wartość relacji z klientem
•    Wartość utraconego zysku z zawieranych umów
•    Dewaluacja reputacji firmy
•    Utrata własności intelektualnej

Z wymienionych wyżej skutków, prawdopodobnie najbardziej dotkliwe jest zakłócenie działalności firmy.

Warto zaznaczyć, że każda organizacja jest unikalna w kwestii skutków, ale we wszystkich sektorach istnieją pewne, najważniejsze dla nich obszary. Na przykład, w sprzedaży detalicznej, najważniejsze są dane dotyczące kart kredytowych. W sektorze opieki zdrowotnej, dane osobowe. A dla producentów, największe skutki może nieść za sobą utrata własności intelektualnej. Jednakże, często najbardziej niedocenianym, ale bardzo ważnym skutkiem w różnych organizacjach, jest zakłócenie działalności. W zależności od czasu oraz długości takiego incydentu, może prowadzić on do poważnych konsekwencji w zakresie kar finansowych, utraty dochodów, kosztów zaciągania pożyczek, obsługi klienta, postrzegania marki, oraz przyszłych szans biznesowych.

Koszt skutków cyberataku

W celu określenie kosztów cyberincydentu Deloitte dokonało symulacji. Stworzono dwie reprezentatywne firmy, które doświadczyły cyberataku i ustalono wartość kosztów wszystkich skutków cyberprzestępstwa.

Jeden z przykładów obejmował organizację z branży opieki zdrowotnej, która ucierpiała w wyniku naruszenia ochrony danych osobowych. Miało to miejsce z powodu kradzieży laptopa zawierającego rejestr 2,8 miliona osobowych danych zdrowotnych. Opierając się na wszystkich 14 skutkach, całkowity koszt takiego naruszenia oszacowano na 1, 679 milionów dolarów. Kwota ta rozkłada się w następujący sposób:

“Ponad powierzchnią”

Powiadomienie klienta o naruszeniu = 6 miesięcy, koszt 10 milionów dolarów (0,6 % całości)

Ochrona klienta po naruszeniu = 3 lata, koszt 21 milionów dolarów (1, 25 % całości)

Zgodność z przepisami = 2 miliony dolarów przez okres 2 lat (0.12 % całości)

PR = 1 milion dolarów przez pierwszy rok (0,06 % całości)

Opłaty związane z postępowaniem sądowych oraz wynagrodzenie dla prawników = 5 lat, koszt 10 milionów dolarów (0,6 % całości)

Poprawa cyberbezpieczeństwa = 14 milionów dolarów w ciągu pierwszego roku (0,83 % całości)

Śledztwo techniczne = 6 tygodni, koszt 1 milion dolarów (0,06 % całości)

“Pod powierzchnią”

Wzrost wysokości składki ubezpieczeniowej = 40 milionów dolarów przez 3 lata (2,38 % całości)

Wzrost kosztu uzyskania kapitału dłużnego = 60 milionów dolarów (3,57 % całości)

Zakłócenie działalności = 30 milionów dolarów (1,79 % całości)

Niższa wartość relacji z klientem = 430 milionów dolarów przez okres 3 lat (25,61 % całości)

Wartość utraconego zysku z zawieranych umów = 830 milionów dolarów przez 3 lata (49,43 % całości)

Dewaluacja reputacji firmy = 230 milionów dolarów straty przez 5 lat (13,7 % całości)

Utrata własności intelektualnej = w tym przypadku nie została ustalona żadna wartość w dolarach

 

Co zatem powinna zrobić dana organizacja, aby uchronić się przed tymi potencjalnymi startami? Najlepiej skupić się na czterech obszarach:
1.    należy spojrzeć na elementy programu – ich strategię, zarządzanie, politykę, procedury, strukturę, oraz czy istnieją jakiekolwiek luki związane z ogólnymi programami, które muszą zostać naprawione;
2.    patrzymy na czynne strategie i kontrole zabezpieczeń – czy posiadamy wszystkie niezbędne elementy potrzebne do ochrony danych, systemów, środowisk;
3.    cały czas monitorujemy środowisko działania programów. Czy mają odpowiednie narzędzia, aby rejestrować działania mające miejsce w systemie, oraz czy dysponują właściwymi narzędziami analizującymi wszystko to co odbiega od normy;
4.    zwracamy uwagę, czy są elementy programu są przygotowane na to by odpowiedzieć na cyberatak. Czy są procedury, dzięki którym można odpowiedzieć na taki incydent? Czy przetestowano te procedury oraz plany? Czy wiadomo kogo należy powiadomić w takich sytuacjach?

Warto przy analizie kosztów cyberataku uwzględnić dodatkowe, ukryte elementy, które w długim czasie wpłynął na poziom zysku. To podstawa właściwej oceny ryzyka oraz tworzenia scenariuszy dla niebezpiecznych sytuacji w firmie. Powinna to być jedna z podstawowych procedur analitycznych przy corocznej analizie ryzyka.