Ataki hakerskie są dla firm coraz kosztowniejsze! Czy znając ryzyko, podejmiesz ryzykowną decyzję o niezabezpieczaniu sieci firmowej?

Co wybrać – system antywirusowy i firewall, a może rozwiązania UTM lub next generation firewall – wielu dyrektorów finansowych zastanawia się czy wydatki na systemy zabezpieczające ich sieci teleinformatyczne i firmowe dane są naprawdę uzasadnione. W podjęciu stosownej decyzji może pomóc prosty rachunek ekonomiczny, uwzględniający ewentualne koszty, związany z zażegnaniem skutków ataków i przyrównaniu ich do kosztu zakupu rozwiązań ochronnych. W szacowaniu wydatków jakie firma ponosi po ataku na swoją sieć firmową może pomóc badanie IBM i Ponemon Institute, według którego koszt incydentu bezpieczeństwa może sięgnąć nawet 3,79 miliona dolarów.

 

Podejmując ryzykowną skądinąd decyzję o niezabezpieczaniu sieci firmowej, warto oszacować ewentualny koszt takiego zaniechania zwany Value at risk (wartość zagrożona ryzykiem), który określa prawdopodobieństwo wystąpienia konkretnej straty w danym przedziale czasowym. Na przykład: po przejrzeniu statystyk dotyczących liczby zagrożeń, które próbowały przedostać się do sieci firmowej (przygotowanej np. z pomocą rozwiązania zabezpieczającego) można stwierdzić, jakie jest prawdopodobieństwo wystąpienia w ciągu roku ataku DDoS. W konsekwencji można też oszacować ile kosztowałoby pozbawienie klientów dostępu do firmowej strony internetowej czy sklepu internetowego na jeden dzień. Wyliczona w ten sposób wartość może zilustrować wartość ewentualnej straty, jaką poniesie firma.

Wartość zagrożona ryzykiem nigdy nie jest zerowa. Poprzez ryzykowane zachowania pracowników, np. otwieranie załączników w mailach od nieznanych nadawców czy klikanie w podesłane w mailach linki, cała sieć firmowa zostaje narażona na ryzyko zainfekowania infrastruktury IT szkodliwymi programami i utratę danych – mówi Piotr Kałuża, Team Leader STORMSHIELD UTM w firmie DAGMA. – Właśnie dlatego warto stosować w firmach choćby najprostsze rozwiązania zabezpieczające. Już to pozwala istotnie zredukować ryzyko straty potencjalnych dochodów firmy – dodaje Piotr Kałuża z DAGMA.

 

Pracownicy a bezpieczeństwo

Mówi się, że pracownicy to najsłabsze ogniwo w sieci zabezpieczeń infrastruktury IT, ponieważ nie tylko dają się nabrać na socjotechniczne sztuczki cyberprzestępców, ale też świadomie ignorują ostrzeżenia wyświetlane przez systemy antywirusowe (ciekawe ile razy Ty sam kliknąłeś – zezwól – gdy program antywirusowy zablokował dostęp do strony WWW, którą chciałeś sam obejrzeć).

– Badanie przeprowadzone przez Carnegie Mellon University School of Computer Science wykazało, że 21 procent badanych użytkowników ignorowało ostrzeżenia o phishingu wyświetlane przez przeglądarki internetowe. Z kolei badanie „A Large-Scale Study of Web Password Habits” ocenia, że niecały procent internautów wpisuje swoje prawdziwe hasła w witrynach… wyłudzających dane. Takie zachowania mogą realnie wpływać na bezpieczeństwo zasobów firmowych – dodaje Piotr Kałuża, Team Leader rozwiązań STORMSHIELD UTM.

 

Milionowe szkody

Niezależnie od tego, czy prowadzisz biznes samodzielnie, czy też jesteś pracownikiem dużej firmy, twoja postawa wobec bezpieczeństwa IT ma wpływ na bezpieczeństwo całej sieci teleinformatycznej. Inga Beale, prezes Lloyds, powiedziała, że cyberataki zrealizowane w 2015 r. kosztowały firmy na całym świecie 400 miliardów dolarów. Wspólne badanie przeprowadzone przez IBM i Ponemon Institute wykazało, że wśród 350 firm na całym świecie, które doświadczyły naruszenia danych w 2015 r., średni koszt takiego incydentu to 3,79 miliona dolarów. Rozbieżność, między całkowitymi szacowanymi szkodami spowodowanymi przez złośliwe oprogramowanie a kosztami wydanymi na rozwiązaniach zabezpieczające sieć, zwykle przemawia na korzyść inwestowania w ochronę sieci teleinformatycznej. Tym bardziej, że według niektórych szacunków szkody wyrządzone przez szkodliwe oprogramowanie mogą wynieść 2,1 biliona dolarów do 2019 roku.

 

Cyberbezpieczeństwo przestaje być sprawą prywatną

Bezpieczeństwo cybernetyczne od pewnego czasu wchodzi w skład ogólnoświatowego programu legislacyjnego. W 2007 r. Unia Europejska poinformowała o potrzebie stworzenia „ogólnej polityki do walki z cyberprzestępczością”. Zgodnie z tą polityką Rozporządzenie o Ochronie Danych Osobowych (GDPR), które ma wejść w życie 25 maja 2018 r., zwiększa kary – nawet do 20 milionów euro – dla instytucji przetwarzających dane osobowe, które nie wdrożyły odpowiednich środków bezpieczeństwa w swojej sieci.

 

Ile należy zainwestować?

Zwiększenie wydatków firm na przeciwdziałanie atakom stało się nieuchronne. W dokumencie „The Economics of Information Security Investment”, Lawrence Gordon i Martin Loeb z Uniwersytetu Maryland szacują, że w większości przypadków optymalne inwestycje w bezpieczeństwo informacji powinny wynieść nie więcej niż 36,97% wartości straty, w sytuacji gdy firma nie posiada zabezpieczeń. Ważne, by pamiętać, że rozwiązania UTM, firewalle i oprogramowanie antywirusowe są tylko częścią systemu ochronnego. Jeśli firma rzeczywiście stawia na bezpieczeństwo swoich danych, powinna również inwestować w szkolenia pracowników.