Стоимость утечки данных непрерывно растет. Несколько лет назад последствия от кражи информации можно было ликвидировать за несколько месяцев. На сегодняшний день ситуация изменилась кардинально. Сопутствующий ущерб может преследовать компанию годами, высасывая силы и средства.
В 2019 уже произошла серия масштабных инцидентов, поражающих размером нанесенного урона. Например, канадской финансовой организации Desjardins Group кража профилей 2,9 миллионов клиентов обошлась в 53 миллиона долларов. Результат кибератаки «стоил» Norsk Hydro 75 миллионов долларов. Ну а компании British Airways и сеть отелей Marriott заплатили по 100 миллионов долларов каждая.
Конечно это примеры топ-взломов, но малому и среднему бизнесу не стоит расслабляться. По данным последнего исследования, проведенного IBM и Ponemon Institute, цена утечки в среднем выросла до 3,92 миллионов долларов. Данные анализа наглядно демонстрируют — за последний год сумма ущерба увеличилась на 1,6%, а пятилетняя динамика роста составляет 12%. Исследователи учитывали не только сиюминутный, но и сопутствующий урон: испорченный имидж, восстановление инфраструктуры, упущенные возможности, штрафы от государственных регуляторов.
Объем краж тоже не стоит на месте: сейчас в среднем за одну атаку злоумышленники умудряются похитить порядка 25,575 личных данных сотрудников и клиентов. Это на 3,9% больше, чем в 2018 году. Стоимость потерь от хищения одного конфиденциального профиля оценивается примерно в 150 долларов.
По данным аналитиков, прогноз на ближайшее будущее неутешительный. Порядка 30% организаций стоит быть готовым к утечке в ближайшие 24 месяца.
Основная причина роста убытков — увеличение количества времени, необходимого на обнаружение атаки. Если в 2018 году в среднем на выявление информационного инцидента уходило 266 дней, в 2019 году цифра достигла отметки в 279 дней.
Эксперты в один голос заявляют, что с этой проблемой можно и нужно бороться. Достаточно внедрить современные системы безопасности, благодаря которым количество дней, необходимых на выявления взлома, снижается до 200. А это экономия примерно в 1,2 миллиона долларов.
В новом исследовании аналитики изучили не только сиюминутные последствия атак, но и отследили весь шлейф неприятных последствий, который может тянуться за жертвой. Как оказалось, 67% убытков настигают бизнес в первый год после инцидента. Еще 22% потерь ожидают компанию в коридоре от одного до двух лет. Последние 11% придется выплачивать спустя 2 года или больше.
Такая математика меняет весь подход к системе кибербезопасности. Закрывать глаза на очевидный пролонгированный ущерб, по меньшей мере, глупо. А, значит, к сумме потенциального урона от одной утечки можно смело добавлять 30-40%.
Приоритетной угрозой для бизнеса остается «человеческий фактор». Именно благодаря воздействию на работников компании злоумышленники смогли осуществить подавляющее большинство взломов. В ряде ситуаций под удар фишинга и социальной инженерии попали абсолютно лояльные сотрудники. Однако целенаправленные вредоносные действия инсайдеров также сыграли значительную роль в историях с крупными утечками.
В сложившейся ситуации контроль поведения персонала и выявление рисковых зон – приоритетная задача для руководителей всех рангов.
Если же утечка произошла – одним из основных факторов, влияющих на конечную стоимость ущерба, являются грамотные коммуникации с клиентами и СМИ. Как продемонстрировал инцидент с Norsk Hydro, постоянные контакты с аудиторией помогут снизить пролонгированный урон и быстро восстановить имидж. Однако для бизнеса важно избежать неконтролируемых сообщений от работников компании-жертвы, сеющих панику или «сливающих» в СМИ инсайдерские данные. Подобные послания могут не только нанести удар по репутации, но и затруднить поиск хакеров. Чаще всего нежелательное общение ведется с помощью мессенджеров или в социальных сетях. Именно поэтому руководству важно держать все внутренние и внешние коммуникации персонала под контролем.
