25 июля 2013 г

Серьезный инцидент: брешь в безопасности может стоить компании $649 тыс.

Средний размер убытка, причиненного крупным компаниям в результате кибератаки, составляет $649 тыс. Эти данные были получены специалистами авторитетной аналитической компании B2B International в ходе исследования глобальных киберугроз для бизнеса, проведенного совместно с «Лабораторией Касперского».

Любая кибератака наносит компании тот или иной ущерб, но каков его размер в денежном эквиваленте? В этом году эксперты аналитической компании B2B International подсчитали ущерб от кибератак, основываясь на результатах опроса компаний по всему миру.

Для того чтобы получить максимально близкую к реальности картину ущерба, специалисты B2B International учитывали исключительно инциденты, произошедшие за последние 12 месяцев. Оценка складывалась из информации об убытках, которые компании, участвовавшие в опросе, понесли непосредственно в результате инцидентов, связанных с ИT-безопасностью. Так, расходы включают два основных компонента:

• ущерб от самого инцидента (убытки в результате утечки важных данных, простоя бизнеса, расходов на услуги узких специалистов в области устранений последствий инцидентов);
• незапланированные «реактивные» расходы на предотвращение подобных инцидентов в будущем, которые складываются из трат на подбор и обучение персонала, а также обновление защитной аппаратно-программной инфраструктуры.

При этом исследователями не принимались во внимание убытки и расходы, которые понесло сравнительно небольшое число опрошенных компаний. Например, убытки, которые возникли из-за необходимости распространения информации об инциденте.

Структура убытков

В результате подсчетов выяснилось, что львиную долю убытков причиняет сам инцидент: упущенные возможности для ведения бизнеса и услуги сторонних специалистов по устранению последствий инцидентов обходятся примерно в $566 тыс. На «реактивные» траты на подбор и обучение персонала, а также обновление аппаратно-программной инфраструктуры уходит еще $83 тыс. При этом ущерб может варьироваться в зависимости от региона, в котором работает атакованная компания. Так, например, самые большие убытки понесли компании, работающие на территории Северной Америки – в среднем $818 тыс.; в Латинской Америке эта цифра чуть меньше – $813 тыс. Меньше других теряют компании из Европы – в среднем $627 тыс.

Убытки SMB

Размер ущерба от кибератак, который несут малые и средние компании, в разы меньше, чем в случае с крупными корпорациями. Однако, учитывая меньший размер этих компаний, он не менее ощутим. Так, средний размер убытков от инцидента, связанный с информационной безопасностью, для малых компаний составляет около $50 тыс., из которых сам инцидент выливается примерно в $36 тыс., а остальные $14 тыс. приходятся на дополнительные расходы. Наибольший, среди малых и средних компаний, ущерб в среднем в $96 тыс., терпят компании из Азиатско-Тихоокеанского региона. На втором месте – компании из Северной Америки – $82 тыс. В Европе эта цифра составила $55 тыс, а в Латинской Америке – $45 тыс. Меньше всего денег на инцидентах теряют некрупные компании из России – в среднем $21 тыс.

Кроме того, в ходе опроса выяснилось, что в некоторых случаях в малых компаниях финансовый ущерб сопровождался еще и потерей примерно 5 % ежегодной выручки, а в одном из случаев – полной потерей бизнеса компании в регионе, где она успешно вела его до инцидента.

Необходимая защита

Основной вывод, который можно сделать из анализа этих цифр, заключается в том, что самые разрушительные атаки оказываются успешными из-за брешей в защите компаний, которые можно было бы закрыть с помощью качественных решений для обеспечения информационной безопасности ИT-инфраструктуры корпораций и управления ею.
Одним из лучших решений для обеспечения ИT-безопасности подобного рода является платформа Kaspersky Security для бизнеса, обеспечивающая эффективную защиту от всех видов киберугроз, включая целевые атаки. Также этот продукт позволяет организовать сканирование и автоматическое обновление уязвимого ПО на корпоративных компьютерах и безопасную интеграцию мобильных устройств в корпоративную сеть.

Как правило, компании, ставшие жертвами кибератак, приходят к пониманию необходимости использования ИT-решений, но уже после инцидента, что выливается в дополнительные расходы. Простое сравнение расходов на приобретение решения с размерами ущерба, причиняемого самими атаками, показывает, что в абсолютном большинстве случаев инвестиции в качественное и эффективное средство для обеспечения ИT-безопасности имели бы гораздо меньшие объемы, чем объемы средств, которые компаниям приходится тратить на устранение последствий инцидентов, произошедших из-за недостаточной защиты ИT-инфраструктуры.