Έρευνα που πραγματοποιήθηκε από την Kaspersky Lab και την B2B International, έδειξε ότι τα πιο κοστοβόρα είδη παραβιάσεων της ασφάλειας για επιχειρήσεις είναι η απάτη από εργαζομένους, η ψηφιακή κατασκοπεία, η εισβολή στα εταιρικά δίκτυα και οι αστοχίες εξωτερικών προμηθευτών. Στην έρευνα συμμετείχαν περισσότερες από 5.500 εταιρείες σε 26 χώρες. Κατά μέσο όρο, οι δαπάνες για την αποκατάσταση των ζημιών από ένα περιστατικό ασφάλειας ανέρχονται σε $551.000 για τις μεγάλες επιχειρήσεις και $38.000 για τις μικρές και μεσαίες επιχειρήσεις.
Μια σοβαρή παραβίαση της ασφάλειας των πληροφοριακών συστημάτων οδηγεί σε πολλαπλά επιχειρησιακά προβλήματα. Με τις ζημιές να ποικίλουν εξαιρετικά, είναι μερικές φορές δύσκολο για τα ίδια τα θύματα να εκτιμήσουν το συνολικό κόστος ενός περιστατικού. Οι μέθοδοι που χρησιμοποιήθηκαν για την εν λόγω έρευνα βασίστηκαν σε δεδομένα προηγούμενων ετών, ώστε να αναδειχθούν οι τομείς στους οποίους οι επιχειρήσεις πρέπει να δαπανήσουν χρήματα ύστερα από μία παραβίαση ή χάνουν χρήματα ως αποτέλεσμα μιας παραβίασης. Συνήθως, οι επιχειρήσεις καλούνται να δαπανήσουν περισσότερα χρήματα για επαγγελματικές υπηρεσίες (π.χ. εξωτερικοί συνεργάτες, ειδικοί Πληροφορικής, νομικοί, σύμβουλοι κ.λπ.), ενώ χάνουν και έσοδα, λόγω της απώλειας επιχειρηματικών ευκαιριών και του χρόνου διακοπής λειτουργία συστημάτων και υπηρεσιών.
Η πιθανότητα της κάθε συνέπειας ποικίλλει επίσης, γεγονός που πρέπει να συνυπολογιστεί μαζί με το μέγεθος κάθε εταιρείας. Στο πλαίσιο αυτό, μια παρόμοια μέθοδος χρησιμοποιήθηκε για τον υπολογισμό των έμμεσων δαπανών, δηλαδή των κονδυλίων που διαθέτουν οι επιχειρήσεις μετά την αποκατάσταση, αλλά εξακολουθεί να συνδέεται με μια παραβίαση ασφάλειας. Έτσι, εκτός από τα προαναφερθέντα ποσά, οι επιχειρήσεις καταβάλουν συνήθως από $8.000 (μικρομεσαίες) μέχρι και $69.000 (μεγάλες) για στελέχωση, κατάρτιση και αναβαθμίσεις υποδομών.
Πόσα πληρώνουν κατά μέσο όρο οι επιχειρήσεις που έχουν υποστεί παραβίαση:
- Επαγγελματικές υπηρεσίες (Πληροφορική, διαχείριση κινδύνου, νομικοί): έως $84.000, με πιθανότητα 88%
- Χαμένες επαγγελματικές ευκαιρίες: μέχρι και $203.000, με πιθανότητα 29%
- Χρόνος διακοπής συστημάτων και υπηρεσιών: μέχρι και $1,4 εκατομμύρια, με πιθανότητα 30%
- Συνολικός μέσος όρος: $551.000
- Έμμεσες δαπάνες: μέχρι και $69.000
- Συμπεριλαμβανομένου του πλήγματος στη φήμη της εταιρείας: μέχρι και $204.750
Μικρομεσαίες και μεγάλες επιχειρήσεις: Οι διαφορές
Εννέα στις δέκα επιχειρήσεις που έλαβαν μέρος στην έρευνα ανέφεραν τουλάχιστον ένα περιστατικό ασφάλειας. Ωστόσο, δεν είναι όλα τα περιστατικά σοβαρά ή δεν οδηγούν απαραίτητα σε απώλεια ευαίσθητων δεδομένων. Μια σοβαρή παραβίαση ασφάλειας είναι συνηθέστερα το αποτέλεσμα επιθέσεων κακόβουλου λογισμικού, επιθέσεων phishing, διαρροής δεδομένων από τους υπαλλήλους και εκμετάλλευσης τρωτών σημείων λογισμικού. Η κοστολόγηση παρέχει μια νέα ματιά στη σοβαρότητα των περιστατικών ασφάλειας και οι εκτιμήσεις για τις μικρομεσαίες και τις μεγάλες επιχειρήσεις είναι ελαφρώς διαφορετικές.
Οι μεγάλες εταιρείες καταβάλουν πολύ περισσότερα χρήματα όταν μια παραβίαση ασφάλειας προκύπτει λόγω αστοχιών ενός έμπιστου εξωτερικού συνεργάτη ή παρόχου. Στα κοστοβόρα είδη περιστατικών περιλαμβάνονται η απάτη από εργαζόμενους, η ψηφιακή κατασκοπεία και η εισβολή στο δίκτυο. Οι μικρομεσαίες επιχειρήσεις τείνουν να χάνουν ένα σημαντικό ποσό για σχεδόν όλα τα είδη παραβίασης, καταβάλλοντας υψηλά ποσά για την αποκατάσταση των ζημιών από ενέργειες κατασκοπείας, επιθέσεις DDoS και phishing.
«Μέχρι σήμερα, δεν υπάρχουν πολλές εκθέσεις σχετικά με τις συνέπειες ενός περιστατικού ασφάλειας, οι οποίες υπολογίζουν την πραγματική απώλεια χρημάτων. Η ανάπτυξη μιας αξιόπιστης μεθόδου για τον υπολογισμό ενός μέσου όρου είναι δύσκολη υπόθεση, αλλά αντιληφθήκαμε ότι έπρεπε να το κάνουμε, ώστε να γεφυρώσουμε τη θεωρία σχετικά με το τοπίο των απειλών για τις εταιρείες με την επιχειρηματική πρακτική. Έτσι, έχουμε πλέον στα χέρια μας μια λίστα με τις εταιρικές απειλές που προκάλεσαν τις πιο σημαντικές ζημίες. Σε αυτές πιστεύουμε ότι οι επιχειρήσεις θα πρέπει να εστιάσουν όσο το δυνατόν περισσότερο», σχολίασε ο Brian Burke, Head of Marketing Intelligence Teamτης Kaspersky Lab.
Η πλήρης έκθεση σχετικά με το κόστος των περιστατικών ασφάλειας είναι διαθέσιμη στον ιστότοπο της Kaspersky Lab.