Cyberataki są w tej chwili jednym z głównych zagrożeń dla całych państw, ale także firm i pojedynczych obywateli. Przynoszą one olbrzymie straty finansowe liczone w setkach milionów, a choćby miliardów dolarów, euro, złotych. Jak jednak precyzyjnie oszacować wielkość strat wynikającą z incydentów teleinformatycznych? Jakie faktycznie koszty generuje cyberprzestępczość? Cyberataki – ile kosztują?
Straty finansowe powodowane przez incydenty bezpieczeństwa rosną z roku na rok. Firmy i organizacje na całym świecie tracą znaczne kwoty pieniędzy spowodowane działalnością cyberprzestępców. Postępująca cyfryzacja będzie powodowała znaczne nasilenie się tego trendu.
Niestety działania podejmowane przez państwa, firmy i organizacje są niewystarczające, aby minimalizować skutki rosnącej liczby ataków ransomware, wycieków danych czy kradzieży własności intelektualnej. W latach 2018-2020 globalny koszt cyberprzestępczości wzrósł o 245%. Był to wzrost z poziomu 860 mld do 2,95 bln dolarów. Tak wynika z analizy Statista Market Insights.
Firma badawcza Cybersecurity Ventures szacuje, iż cyberataki – od naruszeń danych po wrogie przejęcia kont – kosztowały świat 8 bln dolarów w 2023 r. Natomiast w 2024 r. mają one wzrosnąć do 9.5 bln dolarów. W kolejnym 2025 r. przekroczyć mają 10,5 bln dolarów. Podobne dane podaje portal stocklytics.com.
Jeżeli potraktowaliśmy cyberprzestępczość jako gospodarkę, to byłaby to trzecia największa gospodarka, która ustępowałaby tylko Stanom Zjednoczonym i Chinom. Badania przeprowadzone przez portal Statista z udziałem liderów branży pokazały, iż cyberataki są jednym z największych zagrożeń dla biznesu. Taką odpowiedź wybrało w sondażu 34% respondentów.
Cyberprzestępczość pozostaje atrakcyjnym zajęciem dla kryminalistów, ponieważ oferuje względnie duże zyski finansowe przy minimalnym ryzyku. Prawdopodobieństwo złapania cyberprzestępców wciąż pozostaje niewielkie, a narzędzia, które pozwalają na dokonywanie są coraz szerzej dostępne i nie zawsze wymagają zaawansowanej wiedzy. Dlatego też cyberprzestępstw będzie coraz więcej. Koszty będą rosły.
Problemy z szacowaniem kosztów cyberataków
Koszty wygenerowane przez cyberataki mogą wynikać z wielu składowych elementów. Po pierwsze, to bezpośrednie straty finansowe. Chodzi o to, co cyberprzestępcy wykradli, ale także o okup płacony gangom używającym systemu szyfrującego ransomware, koszty fraudów czy straty w zakresie własności intelektualnej. Według modelu opracowanego przez Deloitte, koszty bezpośrednie to niecały 5% ogółu strat poniesionych przez firmę.
Drugi rodzaj kosztów to te związane z zakłóceniem działalności przedsiębiorstwa, co może prowadzić do spadku produktywności i dochodów. Im dłużej będzie trwał przestój, tym większe będą straty. Może też prowadzić do nieefektywnego zarządzania, nieterminowego realizowania zadań czy błędów w zarządzaniu, co może doprowadzić do utraty towarów i klientów.
Trzeci rodzaj kosztów jest związany z wyciekami danych. To koszty związane z koniecznością powiadomienia klientów, którzy ucierpieli oraz te wynikające z potrzeby monitorowania, jak są wykorzystywane np. dane finansowe. Na firmę mogą też czekać kary związane z niedostosowaniem się do prawa ochrony danych jak np. RODO oraz te wynikające z pozwów cywilnych niezadowolonych klientów. Na tym jednak potencjalne koszty się nie kończą.
To również utrata reputacji i zaufania klientów, co może wpłynąć na kondycję przedsiębiorstwa w dłuższej perspektywie czasowej. Może to się wiązać z koniecznością wzrostu składki ubezpieczeniowej, zwiększeniem kosztów finansowania zewnętrznego czy obniżeniem wartości marki. Koszty z tym związane są bardzo trudne do policzenia.
Kosztuje również reakcja na cyberataki
W rachunek potencjalnych negatywnych skutków cyberataków wliczone są również wydatki związane z reakcją na incydenty. W tym również koszty śledztwa prowadzonego w celu identyfikacji wektorów ataku, powstrzymania go i ograniczenia negatywnych skutków. To również zadania związane z przywróceniem sieci i systemów do działania. Należy podkreślić też, iż skutki mogą się materializować w różnym czasie i na różnych poziomach.
W badaniu Dell Technologies Global Data Protection Index 2023 przepytano 1000 decydentów IT i 500 decydentów w zakresie bezpieczeństwa IT. Aż 90% z nich odpowiedziało, iż doświadczyło cyberataków w swojej firmie. Średnio incydent miał kosztować 2,61 mln dolarów, wiązać się z 26 godzinami nieplanowanego postoju i powodować stratę 2,45 TB danych. Raport firmy Acronis mówi o tym, iż pojedynczy incydent może kosztować choćby 5 mln dolarów.
W Polsce według badań przeprowadzonych przez słowacką firmę ESET aż 59% małych i średnich przedsiębiorstw doświadczyło cyberataków, a ich średni kosz wyniósł ponad 1 milion złotych. Branże najczęściej atakowane to media, handel hurtowy i detaliczny oraz poczta i usług kurierskie.
Tak duży koszt cyberataków, który mogą ponieść firmy zarówno na świecie jak i Polsce, może doprowadzić do tego, iż część z podmiotów jest zmuszona zamknąć swoją działalność. Taki los spotkał firmę Colorado Timberline na skutek ataku ransomware. Podobnie ucierpiała firma SolarWorld produkująca panele słoneczne, która padła ofiarą chińskich cyberszpiegów zainteresowanych pozyskaniem własności intelektualnej. Przykładów bankructw, do których pośrednio lub bezpośrednio doprowadziły incydenty teleinformatyczne, jest z pewnością więcej.
Najdroższy cyberatak w historii
Złośliwe oprogramowanie NotPetya, przy pomocy którego zaatakowano w 2017 r. Ukrainę rozniosło się na cały świat infekując i paraliżując pracę firmy w Polsce, Stanach Zjednoczonych, Francji, Niemczech czy choćby Australii. Często ten atak nazywany jest najdroższym w historii, a spowodowane wówczas straty szacuje się na 12 mld dolarów. o ile jednak porównamy te straty do katastrof naturalnych, takich jak huragany Ian na Florydzie w 2002 r. czy Katrina w Luizjanie w 2005 r., to są one stosunkowo niewielkie. Huragany przyniosły szkody rzędu 60 i 70 mld dolarów.
NotPetya wbrew powszechnemu mniemaniu nie była wcale najdroższym atakiem w historii. Palmę pierwszeństwa dzierży tutaj wirus MyDoom, który w 2003 r. doprowadził do strat równych 66 mld dolarów. Drugi najpoważniejszy wirus SoBig w 2003 doprowadził do strat ok. 65,2 mld dolarów.
Koszty, jakie może wygenerować infekcja pojedynczym oprogramowaniem, pokazują, iż ten rodzaj zagrożenia nie powinien być lekceważony. Jedno z najpoważniejszych naruszeń danych, które miało miejsce w 2017 r. w wyniku włamania do amerykańskiego firmy Equifax kosztowało firmę 1.4 bln dolarów.
Atak ransomware na ropociąg Colonial Pipline w 2021 r. doprowadził do przerw w dostawie paliwa na Wschodnim Wybrzeżu i był uważany za jeden z najpoważniejszych w takiej kategorii. Firma zapłaciła za odblokowanie systemu okup w wysokości 4,4 mln dolarów. Nie oszacowano jednak strat, jakie zostały wygenerowane przez przerwy w dostawach czy konieczność usunięcia śladów infekcji, czy też wzmocnienia cyberbezpieczeństwa.
W Polsce przykładowe cyberataki kosztowały zdecydowanie mniej. Nie oznacza to jednak, iż powinny być lekceważone. Polska Grupa Zbrojeniowa padła ofiarą phisingu i koszt oscylował wokół 4 mln złotych. Popularny sklep Morele musiał zapłacić 3 mln kary za wyciek danych. Nie wiadomo jednak, ile Morele musiało wydać na usunięcie infekcji oraz poprawę bezpieczeństwa.
Cyberataki – ile kosztują razem z działaniami zapobiegającymi
Powyższe przykłady pokazują, iż trudno jest oszacować dokładne straty wynikające z incydentu bezpieczeństwa. Jednak pewne jest, iż mogą być one z roku na rok coraz wyższe, zarówno na świecie jak i w Polsce. Doświadczenie pokazuje również, iż koszty pojedynczej infekcji mogą być porównywalne ze stratami wynikającymi z dużych katastrof naturalnych.
Dlatego też inwestowanie w cyberbezpieczeństwo powinno być jednym z priorytetów firm. Tylko w taki sposób firmy są w stanie przeciwdziałać zarówno materialnym jak i niematerialnym stratom. Szczególnie istotnym składnikiem takiej długofalowej obrony jest szkolenie kadr, ponieważ badania pokazują, iż głównym narzędziem wykorzystywanym przez przestępców jest socjotechnika.
Konieczna jest również poprawa ścigania cyberprzestępców, tak aby przestali czuć się bezkarni. W tym celu niezbędna jest intensyfikacja międzynarodowej współpracy. Te działania muszą być wdrażane już, ponieważ wraz z rozwojem nowoczesnych technologii, w tym w szczególności sztucznej inteligencji, liczba cyberprzestępstw będzie rosła.
Czytaj też: Polska silnym graczem w cyberbezpieczeństwie? Potrzebne większe otwarcie na polskie firmy
Czytaj też: Ransomware bez tajemnic. Jak walczyć z cyberoszustwami? (WYWIAD)
Źródło zdjęcia: rivage/Unsplash
