Określenie kosztów potencjalnego naruszenia danych może być wymagającym wyzwaniem. – Jak oszacować rzeczywiste koszty?
Koszt potencjalnego naruszenia bezpieczeństwa danych nigdy nie powinien być szacowany bez jednoczesnego uwzględnienia indywidualnych dla danej organizacji okoliczności. – tłumaczy Sándor Bálint, ekspert firmy Balabit – Mówiąc jaśniej, koszty te będą inne dla międzynarodowej instytucji finansowej, a inne dla małego przedsiębiorstwa działającego lokalnie. Ocena ryzyka uwzględniająca sytuacje wyjątkowe dla każdej organizacji w ostatecznym rozrachunku pomoże osobom zarządzającym podjąć bardziej przemyślane decyzje.
Obliczanie rzeczywistych kosztów naruszenia bezpieczeństwa danych
Od globalnej średniej znacznie bardziej przydatne byłyby narzędzia pomagające specjalistom do spraw bezpieczeństwa i decydentom biznesowym wspólnie zrozumieć, co naruszenie bezpieczeństwa danych może oznaczać dla ich organizacji. W tym celu zespoły do spraw bezpieczeństwa powinny przeprowadzić swoją własną ocenę ryzyka, by określić, ile naruszenie bezpieczeństwa danych może ich kosztować, w ich branży, biorąc pod uwagę ich klientów i dane, którymi dysponują. Warto również zauważyć, że ocena wpływu to tylko połowa zadania domowego z oceny ryzyka. Druga połowa to ocena prawdopodobieństwa, że do takiego naruszenia może dojść. Poniżej przedstawiamy kluczowe obszary wspomagające ocenę kosztów potencjalnego naruszenia bezpieczeństwa danych.
1. Aspekty techniczne
Prawdopodobne jest, że po naruszeniu bezpieczeństwa danych organizacja będzie musiała przebudować przynajmniej część z zainfekowanych systemów informatycznych oraz zweryfikować integralność zapisów. W ocenie kosztów powinny zatem znaleźć się wydatki z tym związane, m.in. opłaty za wynajęcie/ leasing sprzętu, czas pracy technika i części zamienne, jak również utrata przychodów w sytuacji, gdy uszkodzony system musi być odłączony od sieci internetowej.
2. Koszty będące konsekwencją ogłoszenia naruszenia bezpieczeństwa danych
Istotne jest także rozważenie konsekwencji, które niesie ze sobą poinformowanie klientów o tym, że doszło do naruszenia bezpieczeństwa danych. Może to oznaczać okresowy wzrost liczby zdarzeń w dziale obsługi klienta, które przełożą się na koszty personelu i nadgodzin. W jaki sposób wpłynie to na potrzebne do reagowania na falę zapytań i wątpliwości ze strony klientów. Należy rozważyć koszty związane z obsługą dodatkowych telefonów do wsparcia technicznego.
3. Obowiązki prawne
Szacunkowe koszty naruszenia danych powinny także uwzględniać to, czy organizacja jest prawnie zobowiązana do informowania swoich klientów o takich zdarzeniach oraz w jaki sposób powinna to robić – mailowo, telefonicznie czy pisemnie za pośrednictwem listu poleconego? Ile wymagałoby to czasu i pracy pracowników? Jeśli naruszenie bezpieczeństwa danych skutkuje stratami finansowymi klientów, organizacja może być także zobowiązana do wypłacenia odszkodowania lub rekompensaty. W takiej sytuacji należy również uwzględnić koszty obsługi prawnej.
4. Koszty związane z przestrzeganiem przepisów
Potencjalne kary ze strony organów nadzorujących typu GIODO stają się coraz dotkliwsze. Zgodnie z przepisami RODO (Rozporządzenie o ochronie danych osobowych), które wejdą w życie maju 2018 r. kary mogą sięgać aż do 4% całkowitego rocznego obrotu organizacji. Do tabeli kosztów należy również wpisać wszelkie kary umowne, które trzeba zapłacić w przypadku naruszenia bezpieczeństwa danych partnerom biznesowym, klientom, dostawcom czy przedsiębiorstwom zajmującym się obsługą kart kredytowych.
W niektórych przypadkach organizacja, która padła ofiarą cyberataku i której dane zostały naruszone, wychodzi z takiej sytuacji silniejsza, ale nie oznacza to, że to nie była kosztowna lekcja. Od pracowników odpowiedzialnych za bezpieczeństwo oraz menedżerów biznesowych oczekuje się należytej staranności przy podejmowaniu decyzji. Chociaż szczegółowe analizy są skomplikowane i bardzo czasochłonne do przeprowadzenia, to lepiej nie iść na skróty i nie polegać na średnich wartościach globalnych. Świadome decyzje to na ogół lepsze decyzje. Zatem warto korzystać z wartości globalnych jako punktu odniesienia, ale lepiej podchodzić do nich z rezerwą.