Какова реальная цена нарушения безопасности

Рост киберпреступности ставит компании под постоянную угрозу взлома, утечки данных и прочих неприятных инцидентов. В худшем случае, брешь в безопасности может вывести организацию из бизнеса — но возможны и меньшие потери. Если компания стремится смягчить этот риск, то как ей определить истинную стоимость сбоев безопасности?

Стратегические решения в области безопасности должны обеспечивать баланс между стоимостью, защитой и удобством использования. Тем не менее, оценка затрат на риски ИТ-безопасности особенно трудна, поскольку у любого цифрового бизнеса существует множество неизвестных переменных и разных аккаунтов.

В июне 2016 года исследование стоимости потери данных от Института Понемона показало, что в среднем, убытки от крупных нарушений составляют $4 миллиона. Это примерно $150 за одну найденную брешь. Правда, некоторые аналитики рынка считают, что реальная цифра ниже.

Сравните эти результаты с докладом Федеральной торговой комиссии США (FTC) за 2015 год, в котором перечислены различные затраты от кибератак на данные, инцидентов с безопасностью, нарушений конфиденциальности и отдельных финансовых преступлений, таких как фишинг и скимминг. Хотя комиссия оценила общие убытки от киберпреступлений в $10 млрд ежегодно, но также она установила, что типичная стоимость нарушения конфиденциальности данных составляет менее $200 000. Разница существенна, но кто же прав?

Последней компанией, лишившейся бизнеса из-за нарушения данных, стала Cardsystems — высокорисковый платежный процессор. Это случилось более 10 лет назад. Однако многие компании понесли серьезные финансовые потери, не лишившись при этом бизнеса. Например, Home Depot до сих пор сталкивается с последствиями взлома данных в 2014 году. Недавно компания согласилась выплатить банкам дополнительные $25 млн., помимо уже потраченных 179 млн., для урегулирования последствий взлома. А когда бренд Saudi Aramco был заражен вредоносной программой Shamoon, ему пришлось заменить 30 000 систем.

 

Сравнение кибер-потерь с другими потерями

FTC утверждает, что кибер-инциденты стоят компаниям только 0,4% годовой выручки, а также часть потерь от сокращения розничной торговли (1,3%), онлайн-мошенничества (0,9%), общих коэффициентов коррупции, финансовых искажений и мошенничества с биллингом (5%). «Подозреваю, что фактические убытки от этих нарушений намного ниже, чем предполагает индустрия», сказал аналитик по безопасности Адриан Санабриа (Adrian Sanabria) из 451 Research.

Количественная оценка стоимости взлома данных — не точная наука. Начните с прямых расходов после нарушения, таких как мониторинг потребительского кредитования, штрафы, издержки судебных разбирательств и расходы на судебное преследование. Стоимость совершенствования процедур и процессов ИТ-безопасности — инвестиция, необходимая в первую очередь.

Кроме того, существуют косвенные затраты, как стоимость репутационного ущерба, его влияние на рост бизнеса как в продажах, так и в способности привлекать новые таланты и партнеров.

Во-вторых, при исследовании трат на взломы, важно отделить инциденты безопасности от кражи данных. Инциденты могут быть гораздо более разрушительными, чем кражи, поскольку часто они приводят к прямым сбоям в работе. Компании кибербезопасности оценивают затраты на бреши в данных, формируя полисы для разных отраслевых вертикалей. Например, по словам Итана Миллера (Ethan Miller), партнера юридической фирмы Hogan Lovells, существует возможность получить «киберстраховку» до $30 миллионов.

Следует использовать собственные оценки, чтобы взвесить достоверность этих цифр. «Это — наихудший возможный сценарий, но данные цифры показывают перспективу того, как много компания может проиграть», говорит Ливиу Арсен (Liviu Arsene), старший аналитик электронных угроз Bitdefender.

 

Технологии и процессы

Проработка инвестиционных приоритетов — стратегически важное решение. Речь не о том, сколько компания должна инвестировать в безопасность. Цель — внедрить технологии и процессы, которые могут снизить риски бизнеса. Это бесконечная работа, которая должна постоянно проводиться вокруг каждой линии бизнеса и его меняющихся потребностей.

При разработке стратегии безопасности следует проектировать финансовые показатели с точки зрения сокращения операционных расходов, оценок эффективности и текущих опасностей.

Слабейшим звеном в цепочке обеспечения безопасности является человеческий фактор — это и должно стать приоритетной инвестицией. Вот почему «теневое» IT потенциально может навредить политикам безопасности предприятий. Чтобы смягчить издержки, значительная часть бюджета на безопасность должна идти на обучение сотрудников, охватывая такие темы, как определение попыток фишинга, обработка данных компании и определение попыток социального инжиниринга.

Стратегия кибербезопасности должна защищать важнейшие бизнес-активы, такие как интеллектуальная собственность, финансовые и клиентские данные. Это поможет обеспечить непрерывность бизнеса после сбоя. Критически важны технологии шифрования для транзита, хранения данных, для резервного копирования и восстановления, а также для реагирования на инциденты. Многоуровневая защита в сочетании с политиками авторизации, бухгалтерского учета и аутентификации предназначена для повышения стоимости атаки для киберпреступников.

Предприятия всегда должны определять критические активы перед разработкой политик безопасности. Политика должна включать авторизацию на основе надежной аутентификации. Технологии учета, которые указывают на опасности во время или после взлома данных, жизненно необходимы. Измерения и мониторинг нужны для менеджмента безопасности, к тому же, только они действительно работают с точными отчетами по событиям.

Stewart Baines
Stewart Baines

I've been writing about technology for nearly 20 years, including editing industry magazines Connect and Communications International. In 2002 I co-founded Futurity Media with Anthony Plewes. My focus in Futurity Media is in emerging technologies, social media and future gazing. As a graduate of philosophy & science, I have studied futurology & foresight to the post-grad level.