A változatosság átlagolása
Egy, az IT biztonsági rendszert érintő súlyos incidens rengeteg üzleti problémához vezethet. Ennyire sokféle kár esetében gyakran nagyon nehéz megbecsülni az incidens okozta teljes költséget. A felméréshez alkalmazott módszerek korábbi évek adatain alapultak, hogy pontosan meghatározzák a területeket, amelyekbe a vállalatoknak pénzt kell fektetniük egy biztonsági incidenst követően. Jellemzően a vállalkozások kénytelenek többet költeni a szakértői szolgáltatásokért (az informatikusoknak, ügyvédeknek, tanácsadóknak), és kevesebb lesz a bevételük a kihagyott üzleti lehetőségek és az üzemszünet következményeként.
Minden egyes következmény valószínűsége ugyancsak változó, és ezt a cég méretével egyidejűleg figyelembe kell venni. Ugyanezt a módszert alkalmaztuk a közvetett kiadások becslésére is, amelyeket a vállalkozások a felépülés után elköltenek, de még mindig kapcsolódnak a biztonsági incidenshez. A fent említett összegeken felül a vállalkozások általában 8 000 dollártól (kis- és középvállalkozások) 69 000 dollárig (nagyvállalatok) terjedő összeget költenek a személyzeti, oktatási és infrastrukturális fejlesztésekre.
Az incidens bekövetkezése után várható átlagos nagyvállalati számla:
- Szakértői szolgáltatások (IT, kockázatkezelés, ügyvédek): akár 84 000 dollár 88%-os valószínűséggel
- Elvesztett üzleti lehetőségek: akár 203 000 dollár, 29%
- Üzemleállás: akár 1,4 millió dollár, 30%
- Átlagban összesen: 551 000 dollár
- Közvetett költségek: akár 69 000 dollár
- Hírnéven esett kár: akár 204 750 dollár
Kis- és középvállalatok, valamint nagyvállalatok: különböző módon szenvednek a támadásoktól
Tízből kilenc vállalat, amely részt vett a felmérésben, legalább egy biztonsági esetet jelentett, azonban nem minden incidens súlyos, vagy vezet kényes adatok elvesztéséhez. A komoly biztonsági incidensek a leggyakrabban rosszindulatú vírustámadás, adathalászat, valamint az alkalmazottak vagy egy sebezhető szoftver által kiszivárogtatott adatok miatt következnek be. A költségbecslés más megközelítésben láttatja az IT biztonsági esetek súlyosságát, és rámutat a kis- és középvállalkozások, valamint a nagyvállalkozások eltérő kilátásaira.
A nagy cégek jelentősen többet fizetnek, amikor egy megbízható harmadik fél hibája miatt következik be a biztonsági incidens. A további költséges incidensek közé tartozik az alkalmazottak által elkövetett csalás, a kiberkémkedés és a hálózati behatolás. A kis- és középvállalkozások jelentős összegeket szoktak veszíteni szinte minden fajta incidens esetében, valamint hasonlóan magas árat fizetnek a kiberkémkedésből való kilábalásért, a DDoS támadásokért és az adathalászatért.
"Még nem láttunk túl sok jelentést az IT biztonsági incidensek következményeiről, a valódi pénzveszteségek pontos meghatározásáról. Nehéz egy olyan megbízható módszerrel előállni, amely az átlagot prezentálja, de megértettük, hogy meg kell valósítanunk ezt annak érdekében, hogy üzleti megoldást találjunk a fenyegetések elleni védelemre. Ennek eredményeként van egy listánk azon vállalati fenyegetésekről, amelyek a legnagyobb károkat okozták, azokról, amelyekre szerintünk a vállalkozásoknak a legtöbb figyelmet kéne szentelniük." – mondta Brian Burke, a Kaspersky Lab Market Intelligence Team vezetője.
