Πάνω από μισό εκατομμύριο δολάρια είναι ο μέσος όρος της δαπάνη των μεγάλων επιχειρήσεων για την αποκατάσταση των ζημιών από ένα περιστατικό ασφάλειας, σύμφωνα με την έρευνα που πραγματοποίησε η Kaspersky Lab με την B2B International σε περισσότερες από 5.500 εταιρείες σε 26 χώρες.
Η έρευνα δείχνει ότι τα πιο κοστοβόρα είδη παραβιάσεων της ασφάλειας για επιχειρήσεις είναι η απάτη από εργαζομένους, η ψηφιακή κατασκοπεία, η εισβολή στα εταιρικά δίκτυα και οι αστοχίες εξωτερικών προμηθευτών, με την δαπάνη για την αποκατάσταση της ζημιάς να ποικίλλει ανάλογα και με το μέγεθος της επιχείρησης.
Μια σοβαρή παραβίαση της ασφάλειας των πληροφοριακών συστημάτων οδηγεί σε πολλαπλά επιχειρησιακά προβλήματα. Με τις ζημιές να ποικίλουν εξαιρετικά, είναι μερικές φορές δύσκολο για τα ίδια τα θύματα να εκτιμήσουν το συνολικό κόστος ενός περιστατικού. Οι μέθοδοι που χρησιμοποιήθηκαν για την εν λόγω έρευνα βασίστηκαν σε δεδομένα προηγούμενων ετών, ώστε να αναδειχθούν οι τομείς στους οποίους οι επιχειρήσεις πρέπει να δαπανήσουν χρήματα ύστερα από μία παραβίαση ή χάνουν χρήματα ως αποτέλεσμα μιας παραβίασης. Συνήθως, οι επιχειρήσεις καλούνται να δαπανήσουν περισσότερα χρήματα για επαγγελματικές υπηρεσίες (π.χ. εξωτερικοί συνεργάτες, ειδικοί Πληροφορικής, νομικοί, σύμβουλοι κ.λπ.), ενώ χάνουν και έσοδα, λόγω της απώλειας επιχειρηματικών ευκαιριών και του χρόνου διακοπής λειτουργία συστημάτων και υπηρεσιών.
Η πιθανότητα της κάθε συνέπειας ποικίλλει επίσης, γεγονός που πρέπει να συνυπολογιστεί μαζί με το μέγεθος κάθε εταιρείας. Στο πλαίσιο αυτό, μια παρόμοια μέθοδος χρησιμοποιήθηκε για τον υπολογισμό των έμμεσων δαπανών, δηλαδή των κονδυλίων που διαθέτουν οι επιχειρήσεις μετά την αποκατάσταση, αλλά εξακολουθεί να συνδέεται με μια παραβίαση ασφάλειας. Έτσι, εκτός από τα προαναφερθέντα ποσά, οι επιχειρήσεις καταβάλουν συνήθως από 8.000 δολάρια (μικρομεσαίες) μέχρι και 69.000 δολάρια (μεγάλες) για στελέχωση, κατάρτιση και αναβαθμίσεις υποδομών.
Πόσα πληρώνουν κατά μέσο όρο οι επιχειρήσεις που έχουν υποστεί παραβίαση:
- Επαγγελματικές υπηρεσίες (Πληροφορική, διαχείριση κινδύνου, νομικοί): έως 84.000 δολάρια, με πιθανότητα 88%
- Χαμένες επαγγελματικές ευκαιρίες: μέχρι και 203.000 δολάρια, με πιθανότητα 29%
- Χρόνος διακοπής συστημάτων και υπηρεσιών: μέχρι και 1,4 εκατομμύρια δολάρια, με πιθανότητα 30%
- Συνολικός μέσος όρος:551.000 δολάρια
- Έμμεσες δαπάνες: μέχρι και 69.000 δολάρια
- Συμπεριλαμβανομένου του πλήγματος στη φήμη της εταιρείας: μέχρι και 204.750 δολάρια
Μικρομεσαίες και μεγάλες επιχειρήσεις: Οι διαφορές
Εννέα στις δέκα επιχειρήσεις που έλαβαν μέρος στην έρευνα ανέφεραν τουλάχιστον ένα περιστατικό ασφάλειας. Ωστόσο, δεν είναι όλα τα περιστατικά σοβαρά ή δεν οδηγούν απαραίτητα σε απώλεια ευαίσθητων δεδομένων. Μια σοβαρή παραβίαση ασφάλειας είναι συνηθέστερα το αποτέλεσμα επιθέσεων κακόβουλου λογισμικού, επιθέσεων phishing, διαρροής δεδομένων από τους υπαλλήλους και εκμετάλλευσης τρωτών σημείων λογισμικού. Η κοστολόγηση παρέχει μια νέα ματιά στη σοβαρότητα των περιστατικών ασφάλειας και οι εκτιμήσεις για τις μικρομεσαίες και τις μεγάλες επιχειρήσεις είναι ελαφρώς διαφορετικές.
Οι μεγάλες εταιρείες καταβάλουν πολύ περισσότερα χρήματα όταν μια παραβίαση ασφάλειας προκύπτει λόγω αστοχιών ενός έμπιστου εξωτερικού συνεργάτη ή παρόχου. Στα κοστοβόρα είδη περιστατικών περιλαμβάνονται η απάτη από εργαζόμενους, η ψηφιακή κατασκοπεία και η εισβολή στο δίκτυο. Οι μικρομεσαίες επιχειρήσεις τείνουν να χάνουν ένα σημαντικό ποσό για σχεδόν όλα τα είδη παραβίασης, καταβάλλοντας υψηλά ποσά για την αποκατάσταση των ζημιών από ενέργειες κατασκοπείας, επιθέσεις DDoS και phishing.
Η πλήρης έκθεση σχετικά με το κόστος των περιστατικών ασφάλειας είναι διαθέσιμη στον ιστότοπο της Kaspersky Lab.
Σχόλια