Ile kosztuje utrata danych

Skutki naruszenia danych mogą ciągnąć się latami. Warto więc zrozumieć, z jakimi wydatkami należy się liczyć w przypadku ataków oraz poznać porady ekspertów, w jaki sposób je zminimalizować.

Kradzieże danych i incydenty związane z bezpieczeństwem stają się coraz bardziej kosztowne. Na przykład jeden z kanadyjskich pożyczkodawców ujawnił, że wydał 70 milionów dolarów kanadyjskich na usunięcie skutków ataku, w którym ujawniono dane osobowe 2,9 miliona jego klientów. Ostateczny rachunek za ten cyberatak może jednak jeszcze wzrosnąć wynieść do 75 mln dolarów. British Airways i Marriott musiały wydać po ok. 100 mln dolarów, aby zniwelować skutki incydentów naruszeniu danych osobowych.

Są to oczywiście nagłośnione przez media, skrajne przykłady, ale nie ulega wątpliwości, że skutki finansowe naruszenia danych rosną z roku na rok i dotyczy to firm różnych wielkości. Według nowego raportu IBM i Ponemon Institute, średni koszt naruszenia danych wzrósł do 3,92 mln dolarów.

Zobacz również:

Raport wskazuje na wzrost kosztów o 1,6% rdr. oraz wzrost o 12% w ciągu ostatnich pięciu lat. Jest to suma kosztów bezpośrednich i pośrednich związanych z usuwaniem skutków ataku oraz utraconymi korzyściami, takimi jak odejście klientów w wyniku pogorszenia wizerunku.

Ataki na dane stają się coraz większe i powodują coraz wyższe koszty. Na całym świecie prawie 30% organizacji może doświadczyć przynajmniej jednego udanego ataku na dane w ciągu najbliższych 24 miesięcy. Organizacje amerykańskie ponoszą najwyższe koszty ze średnią 8,19 mln dolarów per incydent.

Ilości danych, które padają ofiarą ataków wynosi na świecie średnio 25 575 rekordów, co stanowi wzrost o 3,9% w porównaniu z 2018 r. Średnia ilość wykradzionych danych w Stanach Zjednoczonych jest wyższa (32 434). Każdy utracony rekord kosztuje średnio około 150 dolarów na całym świecie.

Wysokość tej kwoty zależy od tego, jak dobrze organizacja jest przygotowana na ataki i jak dobrze reaguje na naruszenie. Warto zauważyć, że klienci coraz negatywnej reagują na przypadki kradzieży danych.

Chociaż przypadki utraty tysięcy rekordów staje się powszechne, naruszenia obejmujące miliony rekordów (np. atak na firmę Equifax) są nadal stosunkowo rzadkie. Według IBM kradzież 1 miliona rekordów może kosztować ofiarę 42 miliony dolarów, podczas gdy utrata 50 milionów rekordów to koszt aż 388 milionów dolarów.

Najwyższy koszt w przeliczeniu na rekord jest w sektorze ochrony zdrowia (429 dolarów) oraz usług finansowych (210 dolarów). Nie jest to zaskoczeniem, ponieważ tego rodzaju organizacje zarządzają danymi o wrażliwym i regulowanym charakterze. Poziom regulacji odgrywa dużą rolę w tym, ile firma zapłaci za odzyskanie danych po ich naruszeniu. Mocno regulowane branże, takie jak opieka zdrowotna i usługi finansowe ponoszą średnio 6,45 miliona dolarów i 5,86 miliona dolarów per incydent, podczas gdy mniej regulowane branże, takie jak handel detaliczny i hotelarstwo, wydają średnio mniej niż 2 miliony dolarów na usuwanie skutków ataków.

Szybsza reakcja, niższe koszty

Im dłuższy czas reakcji na naruszenie danych, ty większe koszty usuwanie skutków. Powolne wykrywanie i powstrzymywanie ataków może być bardzo kosztowne. Według raportu IBM identyfikacja i ograniczenie naruszenia zajmuje teraz łącznie 279 dni, w porównaniu z 266 dniami rok wcześniej. Natomiast szybka reakcja może przynieść znaczne ograniczenie kosztów. Firmy, które są w stanie wykryć i powstrzymać naruszenie w ciągu mniej niż 200 dni, wydają średnio o 1,2 miliona dolarów mniej. Im więcej czasu ma osoba atakująca, tym więcej szkód zdąży wyrządzić, a to prowadzi do wyższych kosztów usuwania skutków ataku.

Niemieckie i południowoafrykańskie organizacje najszybciej wykrywają i powstrzymują naruszenia – potrzebują na to odpowiednio 170 i 226 dni, podczas gdy firmom na Bliskim Wschodzie zajmuje to najwięcej czasu (388 dni). Organizacje zajmujące się opieką zdrowotną, sektorem publicznym i rozrywką poświęcają najwięcej czasu na wykrycie i powstrzymanie naruszenia - średnio ponad 310 dni - podczas gdy sektor usług finansowych, technologii i badań jest najszybszy w wykrywaniu i usuwaniu skutków.

Niedawno po raz pierwszy IBM wspólnie z Ponemon Institute przyjrzał się długofalowym skutkom naruszeń danych. Okazuje się, że koszty tych zdarzeń mogą występować przez wiele lat. Około 67% kosztów przypada na pierwszy rok, około 22% przypada na następne 12–24 miesiące, a końcowe 11% przypada na kolejne lata. Skrajnym przykładem jest Equifax, który zgodził się zapłacić 575 milionów dolarów w porozumieniu z Federalną Komisją Handlu w sprawie naruszenia danych z 2017 roku.

Regulacje prawne i kary

Wraz z wprowadzeniem regulacji RODO i podobnych przepisów pojawiających się na całym świecie, rosną koszty usuwanie skutków ataków na dane. Większość firm nie zatrudnia odpowiednich prawników, muszą więc korzystać z usług firm zewnętrznych w celu zapewnienia zgodności z przepisami, co generuje dodatkowe koszty.

Firmy, które nie chcą płacić za specjalistyczną wiedzę, narażają się na kary, które są coraz wyższe. Sieć hoteli Marriott początkowo twierdziła, że naruszenie danych w 2018 r. kosztowało ją około 28 mln dolarów, z czego większość została objęta ubezpieczeniem firmy. Jednak w lipcu 2019 r. brytyjski organ ochrony danych nałożył na spółkę grzywnę w wysokości 124 mln dolarów za nieprzestrzeganie przepisów GDPR. W obliczu zagrożenia tak wysokimi grzywnami firmy powinny lepiej chronić przechowywane przez siebie dane klientów.

Zmniejszanie kosztów ataków

Ataki na dane są nieuniknione, dlatego najlepszym sposobem na uniknięcie niepotrzebnych kosztów jest przygotowanie się na każdą ewentualność. Firmy, które przetestowały swój plan reagowania na incydenty, poniosły średnio o 1,23 miliona dolarów mniejsze koszty naruszenia danych niż te, które nie posiadały żadnego sprawdzonego środka reagowania. Chodzi, np. o praktyczne przetestowanie scenariuszy oraz identyfikowanie luk w systemach bezpieczeństwa, zanim dojdzie do realnych ataków.

Kolejnym ważnym aspektem jest wizerunek organizacji. Utrata zaufania klientów prowadzi do zwiększenia kosztów naruszenia. Bardzo ważna jest rola komunikacji w przypadku kradzieży danych, czyli to w jaki sposób przekazuje się klientom informacje o zdarzeniu. Aby przebiegała właściwie, konieczne są wcześniejsze przygotowania i szkolenia pracowników.

Firmy takie jak Maersk i Norsk Hydro wykazały, że regularne przekazywanie informacji po ataku ma pozytywny wpływ na długoterminową sytuację firmy. Obie organizacje były chwalone za skuteczną reakcję, a ceny ich akcji wzrosły w kolejnych tygodniach po atakach. Szerokie zastosowanie szyfrowania, automatyzacja bezpieczeństwa tam, gdzie to możliwe oraz posiadanie zespołu IR (reagowania na incydenty) może zmniejszyć potencjalne koszty naruszenia. Szczególnie jeśli zespoły IR i plany są poddawane regularnemu testowaniu.

Od strony technicznej okazuje się, że podejście DevSecOps, szkolenia pracowników, zabezpieczenia informatyczne i zaangażowanie zarządu w bezpieczeństwo IT zmniejszają koszty naruszenia średnio o ponad 100 tys. dolarów. Z drugiej strony migracja do chmury czy korzystanie z Internetu rzeczy podnoszą koszty naruszeń o ponad 100 tys. dolarów.

W przypadku ataków z wykorzystaniem ransomware lub innego szkodliwego oprogramowania widać, że organizacje tracą dostęp do najważniejszych danych, a następnie potrzebują dużo czasu, aby go odzyskać. Dlatego eksperci polecają wykonywanie kopii zapasowych najważniejszych danych i najlepiej przechowywanie ich trybie offline.

Cyberprzestępczość pozostaje największym zagrożeniem

Dla 82 proc. uczestników badania przeprowadzonego przez redakcję "Computerworlda" głównym wyzwaniem związanym z ochroną danych jest budowanie organizacyjnej „odporności” na działania cyberprzestępcze. Do tych ostatnich można zaliczyć zarówno próby infekcji infrastruktury firmowej złośliwym oprogramowaniem, przykładowo ransomwarem, jak i phishing oraz inne formy internetowych oszustw. Zagrożenia cybernetyczne pozostają głównym elementem determinującym podejście do kwestii ochrony danych, niezależnie od wielkości organizacji.

Drugim pod względem ważności wyzwaniem (52%) jest coraz większa liczba urządzeń końcowych, mogących gromadzić, przechowywać i przesyłać dane.

Więcej informacji: Backup w firmie. Badanie "Computerworlda"


TOP 200