Ile kosztuje cyberbezpieczeństwo? To jedno z najtrudniejszych pytań w naszej branży. Można je też zadać w sposób bardziej praktyczny, pytając, ile kosztuje jego brak. Jeszcze kilka lat temu próby szukania odpowiedzi prowadziły głównie do teoretycznych rozważań, a historyczne przykłady były nieliczne oraz dotyczyły tylko wybranych branż i rynków. Co więcej, firmy, które zostały zaatakowane, prawie nigdy nie ujawniały informacji o poniesionych kosztach. Sytuacja jednak się zmienia i dzisiaj jest nam dużo łatwiej przytoczyć konkretne kwoty, które obciążyły budżety firm padających ofiarami ataków. Możemy wręcz zażartować, że często dochodzi do zewnętrznej, niezamówionej wyceny bezpieczeństwa - a wyceniającymi mogą być zarówno włamywacze, jak i regulatorzy.
Najczęściej dzisiaj obserwowanym scenariuszem wyceny bezpieczeństwa są ataki ransomware. Ataki na pojedyncze komputery odchodzą powoli do lamusa i dzisiaj przestępcy przejmują kontrolę nad całą firmową infrastrukturą, by zaszyfrować wszystkie komputery i serwery, najchętniej wraz z kopiami bezpieczeństwa. Z ekonomicznego punktu widzenia ich działanie jest uzasadnione - często podmiotem, który jest gotów zapłacić najwięcej za dostęp do informacji konkretnej spółki, jest ona sama. Przestępcy stosują tu indywidualną wycenę, opartą o analizę potencjału ekonomicznego ofiary. Proponowane kwoty potrafią sięgać milionów dolarów, lecz z reguły są i tak wielokrotnie niższe niż koszty odbudowania zaszyfrowanych systemów (i to mimo posiadania kopii zapasowych). Zaatakowane podmioty stają często przed decyzjami o wymiarze nie tylko finansowym, ale także etycznym - czy zapłacić napastnikowi za odzyskanie danych, by zmniejszyć firmowe straty? To może zachęcić przestępców do kolejnych ataków. Z drugiej strony samodzielne odzyskanie danych może oznaczać wielodniowe zakłócenie działania firmy i znaczne koszty. Nie są to łatwe wybory.
Innym, dużo rzadziej spotykanym, choć potencjalnie równie, jak nie bardziej niebezpiecznym scenariuszem jest szantaż oparty o groźbę ujawnienia wykradzionych danych. W takiej sytuacji przestępca dokonuje wyceny reputacji swojej ofiary, która z kolei musi zweryfikować, czy jej wycena jest zgodna z wyceną atakującego oraz czy jej normy etyczne pozwalają na negocjacje z szantażystami. Co więcej, wraz ze wzrostem znaczenia podmiotów regulujących rynki i wyposażeniem ich w możliwość nakładania istotnych kar finansowych także ten element coraz częściej staje się przedmiotem szantażu.
Regulacje penalizujące incydenty bezpieczeństwa, a szczególnie RODO, narzucające obowiązek informowania ofiar oraz możliwość nałożenia surowych kar finansowych stały się istotnym elementem krajobrazu wyceny braku cyberbezpieczeństwa. Choć pozornie w Polsce kar z tytułu RODO nie nałożono do tej pory zbyt wiele, to jest to głównie wynik opóźnienia wynikającego z czasu trwania postępowania i możemy się spodziewać, że kolejne miesiące przyniosą więcej danych w tym obszarze. Patrząc także na inne rynki europejskie, widzimy, że regulatorzy nie wahają się przed penalizowaniem niewłaściwego poziomu bezpieczeństwa, który skutkował wyciekiem danych. Kary te wraz z kosztami zawiadamiania ofiar wycieku są także silnym argumentem w rękach szantażystów, którzy do ujawnienia wycieku mogą doprowadzić.
Nowym trendem stało się także w ostatnich latach zauważanie problemów bezpieczeństwa informacji przez rynki finansowe. O ile jeszcze 5-6 lat temu nawet poważny incydent czy wyciek danych powodował co najwyżej krótkotrwały spadek kursów akcji podmiotów, które dotknął, to już w roku 2019 mieliśmy do czynienia zarówno ze spektakularnymi i długotrwałymi spadkami cen akcji firm, które padły ofiarami włamywaczy, jak i z obniżaniem rekomendacji spółek z powodu ich problemów z cyberbezpieczeństwem. Także w procesach akwizycyjnych kwestie bezpieczeństwa informacji zyskały na znaczeniu, z istotnym obniżaniem proponowanych cen zakupu włącznie. Najwyraźniej cyberbezpieczeństwo stało się już tematem tak istotnym, że nie mogło być dłużej ignorowane.
Organizacje, które padły ofiarami wyżej opisywanych kategorii incydentów, najczęściej niezwłocznie rozpoczynały długo odkładane programy istotnego podnoszenia poziomu bezpieczeństwa. Choć jest to trudne do udowodnienia, zapewne przynajmniej w części przypadków nakłady poniesione wcześniej na bezpieczeństwo mogły skutkować znaczącym ograniczeniem skutków incydentów. Jest jednak pewien niezwykle istotny element organizacji, którego nie sposób kupić lub wdrożyć w ciągu kilku miesięcy - jest to kultura organizacyjna zorientowana na bezpieczeństwo.
Kultura bezpieczeństwa jest niezbędnym elementem organizacji, uzupełniającym rozwiązania techniczne i proceduralne. Świadomość zagrożeń, troska o bezpieczeństwo i preferowanie rozwiązań, które je podnoszą, często pomaga zarówno zapobiegać incydentom, jak i wykrywać je na wczesnym etapie oraz minimalizować ich skutki. Jej zbudowanie to proces długotrwały, dlatego warto zacząć już teraz, nie czekając na incydent. Szkolenia dla pracowników, organizowanie „dni bezpieczeństwa” czy wbudowanie kwestii bezpieczeństwa w procesy zakupowe lub tworzenie aplikacji są ważne, lecz kluczem do sukcesu jest przykład płynący z góry. Długotrwałe, regularne zaangażowanie zarządu i kierownictwa firmy - i to prawdziwe, a nie tylko deklarowane - w krzewienie bezpieczeństwa jest niezbędne, by kultura organizacyjna zorientowana na bezpieczeństwo miała szansę w firmie powstać.
Autorem artykułu jest Adam Haertle, redaktor naczelny w ZaufanaTrzeciaStrona.pl i prelegent na spotkaniach Security Excellence.
Rozmowy o cyberbezpieczeństwie będziemy kontynuować podczas serii spotkań społeczności CIONET & Digital Excellence na jesieni, zapraszamy do rejestracji: www.securityexcellence.pl
Marszałkowska 18 lok 5
00-590 Warszawa
office@degroup.pl
