5-8 minut

Cyfrowe bezpieczeństwo to realne zyski dla firm

Już na jednych z pierwszych zajęć studenci ekonomii poznają regułę Savage’a, definiującą strategię podejmowania decyzji minimalizujących potencjalne straty w przyszłości. Statystyk nie mógł jednak przewidzieć, że siedem dekad później jego teoria znajdzie zastosowanie w optymalizacji cyfrowego biznesu. Niemal wszystkie firmy w różnym stopniu funkcjonują dziś w świecie wirtualnym, co poza oczywistymi korzyściami generuje również szereg zagrożeń – tylko w 2021 roku liczba ataków hakerskich wzrosła o 15,1%1. Nie dziwi więc, że menadżerowie i właściciele przedsiębiorstw masowo sięgają po kalkulatory, obliczając oszczędności, jakie przyniosłyby im dodatkowe inwestycje w cyberbezpieczeństwo.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

 

  1. JAKIE STRATY SPOWODOWAĆ MOŻE NAWET POJEDYNCZY, UDANY ATAK CYBERPRZESTĘPCÓW?
  2. JAK OBLICZYĆ POTENCJALNE STRATY CYBERATAKU?
  3. JAK OSZACOWAĆ RYZYKO INCYDENTU BEZPIECZEŃSTWA?
  4. DLACZEGO ZNACZNA CZĘŚĆ FIRM NIE DECYDUJE SIĘ NA INWESTOWANIE W INFRASTRUKTURĘ BEZPIECZEŃSTWA?
  5. CZY WARTO ROZWAŻYĆ POWIERZENIE BEZPIECZEŃSTWA CYFROWEGO ORGANIZACJI ZEWNĘTRZNYM PODMIOTOM?

Oszacowanie strat wynikających z cyberataków jest niezwykle trudnym zadaniem. Ich ofiary – czy to największe koncerny i instytucje publiczne, czy małe i średnie firmy lub startupy, ze zrozumiałych względów starają się nie dzielić wszem i wobec takimi informacjami. Dodatkowo część strat, jak wizerunek przedsiębiorstwa czy zaufanie do niego, są wręcz niepoliczalne. Dość powiedzieć, że jeden zakończony sukcesem atak (stanowiący zazwyczaj element szerszej, wielopoziomowej operacji) kosztować może zniknięcie danej marki z rynku.

Z danych prestiżowego centrum badawczego Ponemon Institute wynika, że średni koszt incydentu bezpieczeństwa w 2021 r. (z uwzględnieniem m.in. płatności okupu czy odszkodowań dla klientów) wyniósł 4,24 miliony dolarów2.

Tymczasem autorzy najnowszego badania KPMG „Barometr Cyberbezpieczeństwa”3 informują, że w zeszłym roku aż 69% organizacji w Polsce zanotowało przynajmniej jeden cyberincydent. Szeroko rozumiana cyberprzestępczość uznawana jest za największe zagrożenie dla prowadzenia biznesu przez rekordowy w historii odsetek 92% polskich firm.

Co więcej, według Check Point Research w sierpniu tego roku Polska odnotowała 42-proc. wzrost ataków cybernetycznych. Na początku tego miesiąca dokonywano w naszym kraju przeciętnie 687 ataków na pojedynczą sieć firmową. Pod koniec miesiąca liczba ta wyniosła już 9774.

Obliczamy potencjalne straty cyberataku

Każda osoba odpowiedzialna za finanse firmy z pewnością wie, na czym polega budżetowanie. W przypadku określenia opłacalności inwestycji w bezpieczeństwo cyfrowe, proces ten warto rozpocząć od kalkulacji kosztów, jakie mógłby wygenerować potencjalny incydent. Niezależnie od wielkości czy branży danego przedsiębiorstwa, ich lista jest podobna: wydatki na reakcję na atak, przeprowadzenie oceny strat, odtworzenie stanu sprzed ataku, a także każdą utratę dochodu i każdy inny uszczerbek powstały w wyniku przerwy w świadczeniu usług.

Specyfika incydentu cybernetycznego każe brać pod uwagę wszystkie aktywa na które może mieć on wpływ. Całkowity koszt incydentu powinien obejmować koszty strat bezpośrednich (przestoje, wymiana sprzętu, utrata danych) oraz koszty z tytułu strat pośrednich (czas pracy związany z wyjaśnieniem incydentu, utrata reputacji, wpływ na wizerunek).

W literaturze fachowej współczynnik ten nazywany jest SLE (ang. Single Loss Expectancy), czyli jednorazową oczekiwaną stratą. Jego oszacowanie zależy od specyfiki danej firmy i przyjętej metodologii. SLE skradzionego laptopa może być bowiem wartością samego sprzętu, natomiast uwzględniając znajdujące się w nim informacje wrażliwe, wartość współczynnika diametralnie rośnie5.

Drugim krokiem jest oszacowanie ARO (ang. – Annual Rate of Occurence), czyli roczny współczynnik wystąpienia. Odnosi się on do oczekiwanej częstotliwości występowania ryzyka lub zagrożenia, w tym wypadku cybernetycznego. Decydując się na obliczenie go w przedziałach rocznych, jeden atak w ciągu 12 miesięcy dawałby wartość ARO na poziomie 1. Jeżeli jednak incydent pojawia się raz na dwa lata – wynosi on wówczas 0.5.

Iloczyn SLE i ARO nazywa się ALE (ang. Annual Loss Expentancy) i określa on wartość rocznej straty, jakiej należy spodziewać się w związku z potencjalnym zagrożeniem cyberprzestępców.

W dzisiejszym, coraz bardziej cyfrowym świecie, gdzie sieć wykorzystywana jest nie tylko do bieżącej obsługi klientów, ale również przechowywania ich danych oraz innych, kluczowych dla danej organizacji informacji, współczynnik ALE wzrastać może do trudnych do wyobrażenia, idących w miliony złotych wartości. Tym bardziej szokującym jest więc fakt, że – jak wynika ze wspomnianego wyżej raportu KPMG – prawie połowa firm (48%) nie planuje wcale inwestować w bezpieczeństwo w procesach wytwarzania oprogramowania, a 42% nie zamierza ponosić nakładów na klasyfikację i kontrolę aktywów. Względem badania przeprowadzonego przed rokiem, na początku 2022 roku we wszystkich obszarach zabezpieczeń odnotowano zwiększony odsetek przedsiębiorstw niezamierzających przeznaczać na nie nakładów inwestycyjnych.

Własny potencjał czy może outsoursing?

Istnieje pewne logiczne wyjaśnienie paradoksu związanego z deklaracjami znacznej części firm dotyczącym braku inwestycji w infrastrukturę bezpieczeństwa przy jednoczesnym rozumieniu rosnącego zagrożenia ze strony hakerów, obserwowanego od czasów pandemii, a następnie 24 lutego, czyli inwazji Rosji na Ukrainę. Wskazują one bowiem na skalę wydatków związanych z budową, rozbudową bądź utrzymaniem własnego działu dedykowanemu ochronie cyfrowej firmy.

Wszyscy obserwujemy trendy na rynku pracy – z jednej strony deficyt fachowców, z drugiej rosnącą presję płacową, ustalającą poziom oczekiwanego wynagrodzenia powyżej możliwości dużej części przedsiębiorstw, zwłaszcza z sektora MŚP. Dodatkowo dział IT jawi się jako przysłowiowa „studnia bez dna”, wymagająca ciągłych nakładów inwestycyjnych w sprzęt, oprogramowanie, usuwanie usterek, konieczność całodobowego funkcjonowania.

Dla dwóch trzecich organizacji w Polsce optymalnym rozwiązaniem okazuje się skorzystanie z usług profesjonalnych firm zewnętrznych. Jest to istotny wzrost względem ubiegłego roku, kiedy to tylko nieco ponad połowa przedsiębiorstw deklarowała zlecanie stworzenia polityki bezpieczeństwa dostawcom zewnętrznym. W większości przypadków firmy decydują się na outsoursing całościowy (więcej niż jeden model bądź proces), a tendencja za cały czas rośnie.

Doskonałym przykładem jest jeden z klientów T-Mobile, stanowiący jednostkę samorządu terytorialnego. W jego przypadku koszt stworzenia i utrzymania własnej infrastruktury bezpieczeństwa (uwzględniający m.in. wynagrodzenia, szkolenia, wydatki na sprzęt i licencje czy wyposażenie) ponad dwukrotnie w skali roku przewyższał cenę usługi ochrony przed cyberzagrożeniami.

Z biegiem czasu różnice pomiędzy kosztami utrzymywania własnego działu IT a korzystaniem z usług dostawców zewnętrznych, zazwyczaj elastycznie i indywidualnie współpracujących z każdym klientem, uwzględniając jego specyfikę, coraz bardziej się pogłębiają. Szacuje się, że wydatki związane z outsoursingiem – biorąc pod uwagę opisane wcześniej obliczenia ALE – zwracają się już po kilku miesiącach od podpisania umowy. Ocenia się bowiem, że już dziś firmy przeznaczają na ryzyko cybernetyczne średnio od 1,7% do 12% wydatków na IT (czasami nawet do 20% w zależności od poziomu ryzyka), a rzadko wydają mniej niż 5%6. Outsoursing w tym kontekście wydaje więc nie tylko drogą do minimalizacji ryzyka, ile wyraźnego ograniczania zbędnych wydatków.

W stosunku do stanu z przed wojny SOC T-Mobile Polska obsłużył o 40% więcej incydentów bezpieczeństwa. Głównie było to złośliwe oprogramowanie, exploity oraz ataki typu brute force. Wzrost ataków typu DDOS na infrastrukturę naszych klientów jest ponad 20% większy w stosunku do tego samego okresu w poprzednim roku, natomiast w stosunku do infrastruktury T-Mobile jako operatora wzrósł o ponad 60%.

Eksperci zwracają również uwagę, że nie ma co liczyć na odwrócenie się trendu i zanik aktywności cyberprzestępców. Świat staje się coraz bardziej cyfrowy – zmienia się więc charakter działalności złodziei i oszustów. Do lamusa odeszły przerysowane przez Hollywood napady na bank w maskach czy pończochach na głowie, a do włamania wystarczy dziś pierwszy lepszy komputer. Co gorsza, rachunek potencjalnych strat i zysków skłania cyberprzestępców do testowania odporności coraz mniejszych firm7, które nie odrobiły uwspółcześnionej lekcji Leonarda Savage’a i nie chciały bądź nie zdążyły zainwestować w odpowiednią, cyfrową ochronę swoich systemów.

Podsumowanie

  • Tylko w 2021 roku liczba ataków hakerskich wzrosła o ponad 15% – a wojna w Ukrainie dodatkowo spotęgowała problem.
  • W zeszłym roku aż 69% organizacji w Polsce zanotowało przynajmniej jeden cyberincydent.
  • Aby poznać skalę zagrożenia, należy w pierwszej kolejności oszacować SLE (ang. Single Loss Expectancy), czyli jednorazową oczekiwaną stratę.
  • Drugim krokiem jest oszacowanie ARO (ang. – Annual Rate of Occurence), czyli roczny współczynnik wystąpienia. Odnosi się on do oczekiwanej częstotliwości występowania ryzyka lub zagrożenia, w tym wypadku cybernetycznego.
  • Pomnożenie SLE i ARO daje wartość rocznej straty, jakiej należy spodziewać się w związku z potencjalnym zagrożeniem cyberprzestępców (ang. ALE). W dobie cyfrowej potrafi on osiągać poziom zagrażający istnieniu danej firmy.
  • Mimo rosnącej świadomości zagrożeń, wiele organizacji wstrzymuje się z inwestowaniem w infrastrukturę bezpieczeństwa. Powodem są rosnące koszty utrzymania osobnego działu i jego pracowników.
  • Już dwie na trzy firmy w Polsce deklarują, że korzystają z usług profesjonalnych firm zewnętrznych oferujących kompleksową usługę ochrony cyfrowej.

 

1https://www.forbes.com/sites/chuckbrooks/2022/06/03/alarming-cyber-statistics-for-mid-year-2022-that-you-need-to-know/?sh=4fefccb97864

2Ponemon Institute and IBM Security, Cost of a Data Breach Report, July 2021

3https://assets.kpmg/content/dam/kpmg/pl/pdf/2022/05/pl-raport-kpmg-w-polsce-barometr-cyberbezpieczenstwa-ochrona-cyfrowej-tozsamosci-secured.pdf

4https://crn.pl/aktualnosci/lawina-cyberatakow-w-polsce/

5https://4itsecurity.pl/blog/1-Bezpiecze%C5%84stwo-informacji/26-zwrot-z-inwestycji-w-bezpieczenstwo.html

6ESG insights for private companies — Cybersecurity in 2022 | Wellington Spain Institutional

7https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes

Cyber Guard®

Ten artykuł dotyczy produktu

Cyber Guard®

Przejdź do produktu
Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Data publikacji: 30.09.2022

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail