Kalkulacja kosztów kradzieży danych

Oszacowanie, jakie straty finansowe poniosła organizacja w wyniku kradzieży danych, jest złożonym zadaniem. Warto jednak je podjąć, ponieważ może to pomóc w przekonaniu zarządu do zwiększenia wydatków na bezpieczeństwo.

Jeśli jest coś pozytywnego z katastroficznego ataku na sieć Sony w zeszłym roku - to uświadomienie, jak poważne mogą być konsekwencje włamania do firmowej infrastruktury IT i kradzieży danych. To ważne, ponieważ zabezpieczenia są kosztowne, a uzasadnienie ich zakupu może być trudne, jeśli w grę nie wchodzi konieczność spełnienia wymogów prawnych.

Ograniczenie wydatków na bezpieczeństwo przynosi natychmiastowe oszczędności. Natomiast wydatki na ten obszar IT oznaczają, że potencjalnie firma uniknie strat związanych z ewentualnym włamaniem. Mając świadomość, jak kosztowne może być włamanie, można oszacować, jak dużo warto zainwestować w bezpieczeństwo. Nie opłaca się wydawać na zabezpieczenia kwot w wysokości zbliżonej do kosztów włamania. Gdy jednak mówimy o współczynniku 1:10, inwestycja w bezpieczeństwo będzie opłacalna. Symantec wspólnie z Ponemon Institute przygotował kalkulator kosztów włamań (www.databreachcalculator.com). Po wypełnieniu obszernego formularza otrzymamy oszacowanie strat, jakie firma może ponieść w wyniku kradzieży danych. Podobne narzędzie udostępnia IBM (www.ibmcostofdatabreach.com). Jego metodologia także powstała we współpracy z Ponemon Institute. Kalkulator umożliwia porównanie otrzymanych wyników z wynikami firm o podobnej wielkości czy też działających w tej samej branży.

Zobacz również:

Punkt wyjścia

Na koszty włamania składa się szereg czynników. W przypadku kradzieży danych mówimy o kosztach zaangażowania ekspertów od informatyki śledczej, poinformowania klientów o zdarzeniu, uruchomienie kanału komunikacji dla użytkowników, których dane skradziono oraz koszty wewnętrznego dochodzenia i komunikacji.

Przeprowadzone w 2014 r. przez Ponemon Institute badania Cost of Data Breach Study: Global Analysis pokazały, że dla amerykańskich firm kradzież jednego rekordu danych oznacza stratę w wysokości 195 dolarów. Koszty kradzieży danych będą rosły. W większości badanych przez Ponemon Institute krajów dotyczy to zarówno kosztu liczonego per rekord, jak i średniej wartości całości kosztów. Ponemon Institute publikuje wspomniany raport od 9 lat. Po raz pierwszy w badaniach wyszło, że działania związane z zarządzaniem ciągłością biznesową przekładają się na ograniczenie strat ponoszonych w wyniku ataków.

Jednak przypadek Sony pokazał, że rzeczywiste koszty włamania mogą być znacznie większe, niż wynika to z szacunków Ponemon Institute. Dzieje się tak, ponieważ firmy tracą znacznie więcej, niż tylko same rekordy danych. Przykładowo, terabajty danych wykradzione z Sony zawierały pliki z nazwami użytkowników i hasłami do różnych kont. W efekcie każdy pracownik Sony musiał zmienić swoje dane uwierzytelniające, co jest wielkim zadaniem, z którym wiąże się dodatkowe ryzyko. Ogólnie, bezpośrednie koszty związane z odtworzeniem systemów komputerowych, zatrudnieniem ekspertów od informatyki śledczej, itd. mogły kosztować Sony ok. 83 milionów dolarów. Tak wynika z oszacowania przygotowanego przez Macquarie Research.

Oprócz tego firma poniosła koszty pośrednie, jak te związane z utratą poufnych informacji biznesowych, odbudowy serwerów i infrastruktury uwierzytelniania oraz koszty utraconych korzyści w czasie trwania ataku. Firma musiała bowiem wstrzymać produkcję kilku filmów w czasie trwania ataku, ponieważ nie mogła realizować płatności.

Sprawy sądowe i reputacja

Faktyczne szkody mogą również wynikać z trudniejszych do oszacowania strat związanych z utratą reputacji czy utratą nieustrukturyzowanych danych, jak wiadomości e-mail. Koszty utraty reputacji trudno zmierzyć, dlatego łatwo je pominąć, jednak nie należy ich lekceważyć. Utrata reputacji może oznaczać utratę klientów i trudności z pozyskiwaniem nowych. Odpływ klientów po włamaniu najboleśniej odczuwa branża finansowa. Również współpraca z partnerami czy dostawcami może stać się trudniejsza. W przypadku Sony w wykradzionych wiadomościach e-mail znalazły się m.in. informacje, co kierownictwo Sony myśli o popularnych gwiazdach Hollywood. Niektóre z nich mogą zrezygnować z dalszej współpracy z firmą lub zażądać wyższego wynagrodzenia.

Wykradzione zostały również informacje o różnych poziomach odszkodowań dla pracowników płci męskiej i żeńskiej, co może prowadzić do podjęcia działań prawnych przez poszkodowanych. Już złożono cztery pozwy przez byłych pracowników koncernu, którzy skarżą się, że ich dane osobowe nie były wystarczająco zabezpieczone. Jeśli procesy zakończą się wygraną skarżących, koszty związane z utratą reputacji poszybują w górę. Z reguły to właśnie są największe koszty związane z włamaniami.

Mimo opisanych szacunków, prezes Sony Kazuo Hirai poinformował, że włamanie nie wpłynie na wynik finansowy koncernu za 2014 r. Jednak zdaniem ekspertów z firmy doradczej MWR InfoSecurity koncern odczuje skutki ataku w kolejnych latach na skutek utraty zaufania klientów oraz zwiększonych wydatków na bezpieczeństwo.

Jest jasne, że określenie kosztów włamań to trudne zadanie. Koszty utraty uporządkowanych danych, jak dane kart kredytowych, są łatwe do zrozumienia. Jak pokazał przypadek Sony, koszty utraty nieustrukturyzowanych danych, np. wiadomości e-mail, oraz koszty wynikające z działań prawnych, utraty reputacji i pogorszenia pozycji konkurencyjnej mogą łatwo zostać zlekceważone.


TOP 200