649.000 δολλάρια είναι το μέσο κόστος μιας ψηφιακής επίθεσης για τις μεγάλες εταιρείες, σύμφωνα με την παγκόσμια έρευνα για τους κινδύνους του εταιρικού ΙΤ, 2013 Global Corporate IT Security Risks survey, που πραγματοποιήθηκε από την B2B International σε συνεργασία με την Kaspersky Lab.
Κάθε ψηφιακή επίθεση μπορεί να προκαλέσει ζημιές σε μια εταιρεία, αλλά πώς μπορούν αυτές οι ζημιές να μετρηθούν με οικονομικούς όρους; Το 2013, οι ειδικοί της B2B International υπολόγισαν τις ζημιές που προκλήθηκαν από τις ψηφιακές επιθέσεις με βάση τα αποτελέσματα της έρευνας που συμπεριέλαβε διάφορες εταιρείες σε όλο τον κόσμο.
Για να αποκτήσει μια πιο ακριβή εικόνα του κόστους, η Β2Β συμπεριέλαβε μόνο περιστατικά που είχαν σημειωθεί τους προηγούμενους 12 μήνες και η αξιολόγηση βασίστηκε στις πληροφορίες σχετικά με τις απώλειες που καταγράφηκαν σαν άμεσο αποτέλεσμα των περιστατικών ασφαλείας. Αυτό περιλαμβάνει δύο βασικά στοιχεία:
– Τις ζημιές που προκύπτουν από το περιστατικό καθεαυτό – π.χ. απώλειες που καταγράφονται από τη διαρροή κρίσιμων δεδομένων, την επιχειρηματική συνέχεια και τα κόστη που σχετίζονται με την απασχόληση των ειδικών αποκατάστασης των περιστατικών.
– Τα απρόβλεπτα κόστη «αντιμετώπισης» που απαιτούνται για την απόφυγη παρόμοιων επιθέσεων στο μέλλον και συμπεριλαμβάνουν την πρόσληψη/εκπαίδευση προσωπικού καθώς και τις αναβαθμίσεις στο hardware, στο software και στις υποδομές.
Οι ερευνητές δεν συμπεριέλαβαν δεδομένα σχετικά με κάποιες ζημιές και έξοδα που προέκυψαν από ένα συγκριτικά μικρό αριθμό εταιρειών που συμμετείχαν στην έρευνα, όπως τα κόστη που προκύπτουν από την ανάγκη να εκδοθεί μια δημόσια ανακοίνωση σχετικά με το περιστατικό.
Ανάλυση του κόστους
Σύμφωνα με τα αποτελέσματα, οι μεγαλύτερες ζημιές φαίνεται να προκαλούνται από τα περιστατικά καθεαυτά – οι χαμένες ευκαιρίες και τα κέρδη καθώς και οι πληρωμές τρίτων (ειδικοί αποκατάστασης), ανέρχονται κατά μέσο όρο σε $566.000. Τα έξοδα «αντιμετώπισης» για την πρόσληψη και εκπαίδευση προσωπικού καθώς και την αναβάθμιση του hardware και των υποδομών software κοστίζουν επιπλέον $83.000 κατά μέσο όρο. Οι ζημιές μπορεί να διαφέρουν ανάλογα με τη χώρα στην οποία δραστηριοποιείται η εταιρεία που δέχτηκε επίθεση. Για παράδειγμα, οι μεγαλύτερες ζημιές σχετίζονται με τα περιστατικά στα οποία ενεπλάκησαν εταιρείες που δραστηριοποιούνται στη Βορεια Αμερική, όπου ανήλθαν σε $818.000 κατά μέσο όρο. Το αντίστοιχο ποσό ήταν ελάχιστα μικρότερο στη Νότια Αμερική, όπου ανήλθε σε $813.000. Στην Ευρώπη, ο μέσος όρος έφτασε τα $627.000 – ένα ποσό μικρότερο που δεν παύει ωστόσο να συνεπάγεται σημαντικές απώλειες από τις ψηφιακές επιθέσεις.
Το κόστος για τις μικρομεσαίες επιχειρήσεις
Το κόστος μιας ψηφιακής επίθεσης σε μικρές και μικρομεσαίες επιχειρήσεις είναι μικρότερο σε σχέση με τους μεγάλους οργανισμούς. Παρόλα αυτά, σε σύγκριση με το μικρότερο μέγεθος αυτών των εταιρειών, τα ποσά είναι υψηλά. Η μέση ζημιά που προκαλείται από τα περιστατικά ασφαλείας για τις μικρομεσαίες επιχειρήσεις ανήλθε σε περίπου $50.000, από τα οποία περίπου $36.000 αντιστοιχούν στο περιστατικό καθεαυτό με τα υπόλοιπα $14.000 να προέρχονται από άλλα σχετικά έξοδα.
Η έρευνα αποκάλυψε ακόμα ότι σε κάποιες περιπτώσεις οι οικονομικές ζημιές που προήλθαν από μικρές εταιρείες συνοδεύονται από άλλες ζημιές που ανήλθαν περίπου στο 5% των ετήσιων εσόδων. Σε μια περίπτωση, μια εταιρεία έχασε το σύνολο της επιχειρηματικής της δραστηριότητας σε μια περιοχή όπου πριν το περιστατικό σημείωνε επιτυχία.
Η κατάλληλη προστασία
Ένα βασικό μάθημα που προκύπτει από αυτή τη μελέτη είναι ότι ακόμα και οι πιο καταστρεπτικές και ζημιογόνες επιθέσεις θα μπορούσαν να είχαν αποφευχθεί. Οι επιθέσεις εκμεταλλεύτηκαν «τρύπες» στην εταιρική ασφάλεια που θα μπορούσαν να είχαν καλυφθεί αν οι στοχοποιημένοι οργανισμοί είχαν χρησιμοποιήσει λύσεις ασφάλειας και είχαν διαχειριστεί την υποδομή του ΙΤ τους όπως έπρεπε.
Η λύση Kaspersky Endpoint Security for Business προσφέρει αποτελεσματική προστασία για όλους τους τύπους των ψηφιακών απειλών, συμπεριλαμβανομένων των στοχευμένων επιθέσεων. Επιπλέον, επιτρέπει βασικούς ελέγχους, όπως το αυτόματο patch management και ο έλεγχος για ευπάθειες, που μπορούν να διασφαλίσουν τακτικές, συνεχείς ενημερώσεις στις εταιρικές τερματικές συσκευές καθώς και την ασφαλή ενσωμάτωση των φορητών συσκευών στο εταιρικό δίκτυο.
Συνήθως, οι εταιρείες που έχουν πέσει θύματα ψηφιακών επιθέσεων καταλαβαίνουν τη σημασία και την αξία αυτών των λύσεων μόνο αφού το περιστατικό έχει συμβεί – που συνεπάγεται επιπρόσθετα έξοδα τα οποία θα μπορούσαν να είχαν αποφευχθεί. Μια απλή σύγκριση της έκτασης των εξόδων σε σχέση με το κόστος και τις ζημιές που προκαλεί μια ψηφιακή επίθεση δείχνει ότι στη μεγάλη πλειοψηφία των περιπτώσεων, η επένδυση στην ποιοτική και αποτελεσματική ασφάλεια του ΙΤ θα μπορούσε να είχε κοστίσει πολύ λιγότερο από τα έξοδα που προκαλεί μια επίθεση.