Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Straty po incydencie związanym z atakiem

Data publikacji: 31-03-2017 Autor: Dariusz Łydziński

Banki, operatorzy komórkowi, instytucje rządowe – praktycznie w każdej branży doszło kiedyś do ataków hakerskich powodujących przerwy w działaniu lub, co gorsza, wyciek danych klientów. Długa jest też lista wpadek w kwestii cyberbezpieczeństwa, które spowodowały straty finansowe użytkowników. Każdego roku liczba ataków i pokrzywdzonych rośnie.

Cyberprzestępcy stosują coraz bardziej wyrafinowane techniki, a ich ataki mogą mieć negatywny wpływ zarówno na finanse, jak i wizerunek firm. Według danych PwC na koniec 2016 r. średnia strata jednej organizacji spowodowana cyberatakiem to ok. 2,7 mln dolarów. Całościowy koszt działań cyberprzestępczości dla światowej gospodarki szacowany jest pomiędzy 375 a 575 mld dolarów. Koszty w Polsce są mniejsze i wynoszą około 100–300 tys. dolarów.

Aspekt finansowy jest główną motywacją atakujących. Im cenniejsze dane posiada organizacja, tym większe zagrożenia na nią czyhają, bo więcej da się na zdobytych informacjach zarobić. Zaraz po pieniądzach przestępcy działający w sieci najchętniej kradną wrażliwe dane o użytkownikach. Powoduje to utratę zaufania ze strony klientów, co przekłada się na utratę dobrego wizerunku i reputacji organizacji. A to z kolei generuje kolejne straty finansowe.

> POMIAR SKUTECZNOŚCI ZABEZPIECZEŃ

Organizacje często mają trudności w dokonaniu dokładnego pomiaru skuteczności i kosztów działania w zakresie bezpieczeństwa informacji. Powodem jest to, że inwestycja w bezpieczeństwo nie ma bezpośredniego wpływu na poziom przychodów firmy, za to minimalizuje poziom kosztów, które mogą powstać w wyniku ataków. Dlatego też często mamy dylemat, ile należy zainwestować w ochronę informacji. Dodatkowym utrudnieniem w wyliczeniu nakładów na bezpieczeństwo może być fakt, że duża liczba organizacji nie zaczęła jeszcze analizować kosztów incydentów, a co za tym idzie, nie jest w stanie stwierdzić, jak skuteczne są ich działania w tym obszarze.

Analiza przewidywanych strat spowodowanych atakiem hakerskim jest ważnym krokiem w szacowaniu jego kosztów. W momencie wystąpienia ataku z reguły powstają straty w realizowanych usługach biznesowych i w wynikach finansowych organizacji. Bez dokładnej wiedzy na temat rzeczywistej wyceny zakłóceń spowodowanych atakiem hakerskim niemożliwe jest opracowanie właściwego budżetu na realizację działań zapobiegających jego wystąpieniu. Wniosek jest taki, że przed opracowaniem budżetu należy wykonać wycenę wszystkich możliwych strat i szkód, które mogłyby wystąpić w przyszłości. W organizacji procesy biznesowe prowadzą do osiągania obrotów handlowych i zysków ze sprzedaży produktów lub usług. Można je wycenić na podstawie informacji otrzymanych z kontrolingu. Zatrzymanie procesu biznesowego powoduje, że organizacja nie może oferować produktu lub usługi, a zmniejszone obroty przenoszą się bezpośrednio na rachunek zysków i strat. Sytuacja kryzysowa, która będzie się utrzymywać przez dłuższy okres, może spowodować, że zostanie również utracony udział w rynku. Długo utrzymujące się zmniejszenie wolumenu sprzedaży prowadzi do tego, że popyt rynkowy jest zaspokajany przez innych dostawców. Utrata udziału w rynku ma charakter strategiczny. Straty mogą sięgnąć wysokości kilkudziesięciu mln zł, nie wliczając poniesionych kosztów np. z tytułu obsługi tysięcy reklamacji, odszkodowań, odpływu klientów (w literaturze wspomina się, że 24 h awaria może doprowadzić w niektórych branżach do odejścia na stałe nawet 5% klientów). Plany rozwoju organizacji mogą okazać się niemożliwe do zrealizowania, a ugruntowana pozycja na rynku może zostać zachwiana. Ponadto odzyskanie dotychczasowego udziału w rynku będzie wymagać dodatkowych nakładów finansowych na wzmocnienie sprzedaży. Następstwem ataku cybernetycznego będzie prawdopodobnie również niedotrzymanie zobowiązań umownych podjętych wobec odbiorców. Takie kwestie jak konieczność naprawienia szkody, zapłacenie kar umownych mogą wynikać z wyroków sądowych.

Straty, które są następstwem ataków hakerskich, obejmują swoim zakresem wydatek poszkodowanego zawierający koszt reakcji na atak, przeprowadzenie oceny strat, odtworzenia danych, programu, systemu lub informacji do stanu sprzed ataku, a także każdą stratę dochodu i każdą inną stratę powstałą w wyniku przerwy w świadczeniu usług.

Straty mogą obejmować spadek przychodów, zakłócenia w działalności gospodarczej, kary od organów nadzoru i odpływ klientów. Skutki niefinansowe mogą obejmować utratę reputacji, kradzież projektów lub prototypów produktów, kradzież procesów gospodarczych lub produkcyjnych, a także utratę wrażliwych informacji. Koszt cyberprzestępczości jest niestety trudny do zweryfikowania, gdyż wiele ataków pozostaje niezgłoszonych, a wartość niektórych informacji, takich jak własność intelektualna, jest trudna do wyliczenia. Wpływ tego rodzaju strat można jedynie mierzyć wskaźnikami finansowymi i niefinansowymi.

Straty są to więc następstwa wystąpienia incydentów i mają one charakter czasowy oraz stały. Ponadto dzielimy je na takie, które można oszacować, i takie, których szacowanie jest niemożliwe lub bardzo kontrowersyjne. Aby zrozumieć, na czym mogą polegać kontrowersje dotyczące szacowania, wyobraźmy sobie taką sytuację: organizacji X skradziono dane na temat planowanych inwestycji oraz dane na temat klientów. Działania podejmowane po zaistnieniu incydentu bezpieczeństwa mogą wymagać podjęcia kroków prawnych. Chcąc skierować sprawę do sądu organizacja musi podać, jakie straty poniosła w wyniku danego incydentu. Najpierw musi je więc oszacować. Nie ma żadnej narzuconej metody, jak powinno się liczyć takie straty – brak jakichkolwiek standaryzacji sprawia, że próby oszacowania tego typu strat oraz osiągnięte wyniki mogą być kontrowersyjne.

[...]

Autor specjalizuje się w rozwiązaniach e-security. Aktywnie uczestniczy w budowaniu zespołów reagowania na incydenty komputerowe. Menedżer, trener i koordynator projektów, audytor systemów zarządzania bezpieczeństwem informacji.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"