fbpx
Розмір літер 1x
Колір сайту
Зображення
Додатково
Міжрядковий інтервал
Міжсимвольний інтервал
Шрифт
Убудовані елементи (відео, карти тощо)
 

Секрети кібербезпеки: раціональність інвестицій у кібербезпеку?

02/ 06/ 2021
  Збитки бізнесу в результаті кібератак. Кібератаки стали одним із головних викликів для бізнесу у період пандемії. Вони спричиняють не лише фінансові та операційні збитки, але й негативно позначаються на репутації компаній. У 2020 р. втрати світової економіки у результаті кібератак сягнули 1 трлн дол США, що становило 1% світового ВВП. У порівнянні із 2018 р., даний показник зріс на понад 50%. Кіберзлочини стали популярною послугою на чорному ринку, і часто послуги кіберзлочинців є затребуваними зі сторони компаній з метою завдання збитків своїм конкурентам. У Великобританії кількість вчинених кібератак у 2020 р. склала 686 тисяч, тобто 1 атака кожні 46 секунд. Збільшення масштабу кіберзагроз у період пандемії не є випадковим явищем. Компанії змушені були прискорити цифрову трансформацію своїх бізнес-моделей і, зважаючи на дефіцит часу, нехтували або недостатню увагу звертали на кібербезпеку. За даними Microsoft, лише за перші 2 місяці пандемії відбулися процеси цифрової трансформації, які б у докарантинні часи зайняли 2 роки. Кіберзлочини стали для компаній новою реальністю. За даними McAfee, лише 4% компаній повідомили, що протягом останніх 12 місяців не стикались із кібератаками. Відповідно, 96% компаній в тій чи іншій мірі стають жертвами кібератак, оскільки, навіть уникнувши прямих фінансових втрат від таких злочинів, вони повідомляють про негативний вплив кібератак на продуктивність працівників та розподіл їхнього робочого часу. Найбільш загрозливими для компаній є кібератаки, спрямовані на викрадення інтелектуальної власності та кібершпигунство, які часто супроводжуються ще й вимогами про викуп. Близько ⅔ усіх матеріальних збитків від кібератак пов’язані саме з фінансовими злочинами та втратою інтелектуальної власності. Середні часові втрати компаній від кібератак становлять 18 годин, і це лише час, необхідний для відновлення повноцінного функціонування, а для повернення до показників ефективності, які були до атаки, компаніям необхідно значно більше часу. Середня величина збитків для малих та середніх підприємств, спричинених кібератакою складає 133,000 дол США, однак із врахуванням великих компаній та корпорацій, ця величина збільшується до 380,000 дол США. Основними побічними збитками від кібератак є зменшення інвестицій у дослідження та інновації, поведінка, спрямована на максимальне уникнення ризиків та значне збільшення витрат на кібербезпеку. Як наслідок, компанії, які зазнали кібератак, більш ретельно розглядають можливості для розвитку бізнесу, внаслідок чого уникають ризикованих рішень, які могли б потенційно сприяти їх стрімкому зростанню. У глобалізованому бізнес-середовищі одним із основних активів компаній є довіра клієнтів. Неспроможність компаній протидіяти кіберзагрозам негативно впливає на їх бізнес-репутацію. За даними PWC, 87% клієнтів готові перестати співпрацювати з компанією, якщо вони не впевнені в її спроможності надійно зберігати їх дані. Як наслідок, окрім прямих короткострокових фінансових витрат, компанії, які стали жертвами кібератак, можуть втратити основні джерела своїх доходів і у довгостроковій перспективі. Ставши жертвою кібератак, компанія втрачає свою привабливість для потенційних кандидатів на ринку праці і, відповідно, її конкурентоспроможність різко знижується. Якщо в результаті кібератаки хакерам вдалось отримати доступ до особистої інформації клієнтів, компанія-жертва також зазнає юридичного тиску, в результаті якого вона може отримати штраф або ж навіть бути позбавленою права здійснювати свою діяльність у майбутньому. Загалом, за підрахунками IBM, середня сумарна величина збитків, завданих компаніям в результаті викрадення їх даних хакерами складає 3.86 млн дол США. Отже, кібератаки спричиняють як збільшення витрат компаній, так і зменшують їх потенційний дохід, внаслідок чого вони втрачають прибутковість і часто змушені скорочувати масштаб своєї діяльності або й взагалі виходити з ринку. Механізм та вартість впровадження рішень для кібербезпеки. Компанії, які вважаються лідерами у питанні розбудови кібербезпеки, основну увагу приділяють швидкості виявлення та розробки відповіді на кіберзагрози. За даними компанії Accenture, при впровадженні нових інструментів для розбудови кібербезпеки, компанії-лідери зосереджуються на навчанні працівників основам роботи з даними інструментами. 30% керівників компаній-лідерів повідомили, що проводили спеціальні тренінги для понад 75% працівників. Понад 50% компаній-лідерів у питанні кібербезпеки активно співпрацюють із стратегічними партнерами шляхом проведення перевірки їх стійкості до кіберзагроз. У питанні використання коштів, виділених на кібербезпеку, 39% компаній-лідерів заявили, що надають пріоритет збільшенню ефективності наявних безпекових рішень. Причина такого рішення полягає в оптимізації фінансових і часових витрат, пов’язаних із постійним пошуком і тестуванням нових безпекових рішень.  Для мінімізації потенційних збитків, завданих кібератаками, компаніям слід зосередити свої зусилля та ресурси на розвитку цифрової безпеки. Для протидії кіберзагрозам бізнесу слід дотримуватись як базових правил безпеки, так і розробляти високотехнологічні стратегії цифрової захищеності. Детальну інформацію про методи, які використовують компанії для захисту від кіберзагроз, можна розглянути у попередніх матеріалах, підготовлених компанією Hacken. Саме тому наведемо лише приклади основних механізмів, які застосовують компанії для протидії кіберзагрозам: Створення резервних копій ключових файлів для мінімізації збитків від атак з вимогою викупу; Встановлення та регулярне оновлення захисного програмного забезпечення для протидії відомим цифровим загрозам; Регулярне сканування усіх пристроїв, під’єднаних до корпоративної мережі та заборона використання неперевірених портативних пристроїв; Проведення регулярних тренінгів та курсів для працівників з метою навчання їх базовим правилам кібербезпеки; Контроль доступу до облікових записів та баз даних; Проведення регулярних тестувань захищеності корпоративних продуктів шляхом проведення тестів на проникнення та участі в баг-баунті програмах. У 2020 р., за даними Deloitte, середні витрати компаній, які функціонують у фінансовому секторі, на кібербезпеку склали 11% їх ІТ-бюджету або 1/200 їх річного доходу. У розрахунку на 1 працівника, витрати на кібербезпеку становили 2,700 дол США. Аналіз витрат на кібербезпеку саме фінансовими компаніями є важливим, оскільки дана сфера є однією з основних цілей для кіберзлочинців, зважаючи на обсяг акумульованих фінансових ресурсів і інформації. Однак, кожна компанія, залежно від сфери своєї діяльності, повинна встановлювати власні параметри для бюджету кібербезпеки. Компанії, які функціонують у фінансовому секторі, будівництві, охороні здоров’я та ІТ, повинні витрачати на кібербезпеку найбільше ресурсів, враховуючи рівень кіберзагроз, з якими вони стикаються. Однак, ключову роль відіграє не сума, витрачена на посилення кібербезпеки, а ефективність використання виділених ресурсів. Одним із методів визначення бюджету кібербезпеки є аналіз даних, які компанії або організації, які діють у тих же секторах економіки або суміжних, зазначають у своїх звітах. Слід також усвідомлювати, що якщо діяльність компанії пов’язана із обробкою великих обсягів конфіденційної інформації, то її неспроможність протидіяти кіберзагрозам підпадає під санкції, відповідно до документів, що регулюють поводження з даними, зокрема Загального регламенту про захист даних (GDPR). Відповідно до GDPR, на компанію можуть бути накладені штрафні санкції у розмірі 20 мільйонів євро або 4% від її річного обороту, залежно яка сума є більшою. Відповідно, чим вищий рівень потенційних штрафних санкцій за неспроможність захистити дані клієнтів, тим вищий відсоток від свого ІТ-бюджету компаніям слід спрямовувати на кібербезпеку. Ефективними методами забезпечення захищеності компаній від кібератак є регулярне проведення тестів на проникнення (пентестів) та організація баг-баунті програм. Для цього компанії використовують послуги, які надаються проєктами, що функціонують у сфері кібербезпеки, зокрема компанією HackenProof, яка входить до екосистеми Hacken. Вартість проведення пентесту не є фіксованою і залежить від обсягів та рівня складності роботи, а також від специфіки ціноутворення, яка застосовується компанією, що проводить пентест. Для більшості компаній-замовників, вартість такого методу перевірки безпеки стартує від 10 тис дол США. Вартість проведення баг-баунті програм на спеціалізованих платформах стартує від 10-15 тис дол США, а розмір винагороди, яка сплачується незалежним білим хакерам, встановлюють самі замовники. Загалом, підсумувавши витрати на проведення пентесту та організацію баг баунті програми, можна дійти висновку, що компанії можуть мінімізувати ризики зламу своїх систем та викрадення даних, витративши приблизно 50 тис дол США, що становить у 3 рази меншу суму, ніж середні втрати від кібератаки. Загалом, інвестиції у кібербезпеку є однією із найбільш ефективних стратегій запобігання фінансових збитків, спричинених кібератаками. Компанія, яка не є заплямованою численними випадками втрати даних чи коштів клієнтів, вважатиметься надійним партнером на ринку і, як наслідок, зможе збільшити свій потенційний дохід. Саме інвестиції компаній у кібербезпеку є дієвим методом пристосування до ведення бізнесу в епоху глобальної бізнес-невизначеності.

Збитки бізнесу в результаті кібератак

Кібератаки стали одним із головних викликів для бізнесу у період пандемії. Вони спричиняють не лише фінансові та операційні збитки, але й негативно позначаються на репутації компаній. У 2020 р. втрати світової економіки у результаті кібератак сягнули 1 трлн дол США, що становило 1% світового ВВП. У порівнянні із 2018 р., даний показник зріс на понад 50%.

Кіберзлочини стали популярною послугою на чорному ринку, і часто послуги кіберзлочинців є затребуваними зі сторони компаній з метою завдання збитків своїм конкурентам. У Великобританії кількість вчинених кібератак у 2020 р. склала 686 тисяч, тобто 1 атака кожні 46 секунд. Збільшення масштабу кіберзагроз у період пандемії не є випадковим явищем. Компанії змушені були прискорити цифрову трансформацію своїх бізнес-моделей і, зважаючи на дефіцит часу, нехтували або недостатню увагу звертали на кібербезпеку. За даними Microsoft, лише за перші 2 місяці пандемії відбулися процеси цифрової трансформації, які б у докарантинні часи зайняли 2 роки.

Кіберзлочини стали для компаній новою реальністю. За даними McAfee, лише 4% компаній повідомили, що протягом останніх 12 місяців не стикались із кібератаками. Відповідно, 96% компаній в тій чи іншій мірі стають жертвами кібератак, оскільки, навіть уникнувши прямих фінансових втрат від таких злочинів, вони повідомляють про негативний вплив кібератак на продуктивність працівників та розподіл їхнього робочого часу. Найбільш загрозливими для компаній є кібератаки, спрямовані на викрадення інтелектуальної власності та кібершпигунство, які часто супроводжуються ще й вимогами про викуп. Близько ⅔ усіх матеріальних збитків від кібератак пов’язані саме з фінансовими злочинами та втратою інтелектуальної власності. Середні часові втрати компаній від кібератак становлять 18 годин, і це лише час, необхідний для відновлення повноцінного функціонування, а для повернення до показників ефективності, які були до атаки, компаніям необхідно значно більше часу.

Середня величина збитків для малих та середніх підприємств, спричинених кібератакою складає 133,000 дол США, однак із врахуванням великих компаній та корпорацій, ця величина збільшується до 380,000 дол США. Основними побічними збитками від кібератак є зменшення інвестицій у дослідження та інновації, поведінка, спрямована на максимальне уникнення ризиків та значне збільшення витрат на кібербезпеку. Як наслідок, компанії, які зазнали кібератак, більш ретельно розглядають можливості для розвитку бізнесу, внаслідок чого уникають ризикованих рішень, які могли б потенційно сприяти їх стрімкому зростанню.

У глобалізованому бізнес-середовищі одним із основних активів компаній є довіра клієнтів. Неспроможність компаній протидіяти кіберзагрозам негативно впливає на їх бізнес-репутацію. За даними PWC, 87% клієнтів готові перестати співпрацювати з компанією, якщо вони не впевнені в її спроможності надійно зберігати їх дані. Як наслідок, окрім прямих короткострокових фінансових витрат, компанії, які стали жертвами кібератак, можуть втратити основні джерела своїх доходів і у довгостроковій перспективі. Ставши жертвою кібератак, компанія втрачає свою привабливість для потенційних кандидатів на ринку праці і, відповідно, її конкурентоспроможність різко знижується. Якщо в результаті кібератаки хакерам вдалось отримати доступ до особистої інформації клієнтів, компанія-жертва також зазнає юридичного тиску, в результаті якого вона може отримати штраф або ж навіть бути позбавленою права здійснювати свою діяльність у майбутньому.

Загалом, за підрахунками IBM, середня сумарна величина збитків, завданих компаніям в результаті викрадення їх даних хакерами складає 3.86 млн дол США. Отже, кібератаки спричиняють як збільшення витрат компаній, так і зменшують їх потенційний дохід, внаслідок чого вони втрачають прибутковість і часто змушені скорочувати масштаб своєї діяльності або й взагалі виходити з ринку.

Механізм та вартість впровадження рішень для кібербезпеки

Компанії, які вважаються лідерами у питанні розбудови кібербезпеки, основну увагу приділяють швидкості виявлення та розробки відповіді на кіберзагрози. За даними компанії Accenture, при впровадженні нових інструментів для розбудови кібербезпеки, компанії-лідери зосереджуються на навчанні працівників основам роботи з даними інструментами. 30% керівників компаній-лідерів повідомили, що проводили спеціальні тренінги для понад 75% працівників. Понад 50% компаній-лідерів у питанні кібербезпеки активно співпрацюють із стратегічними партнерами шляхом проведення перевірки їх стійкості до кіберзагроз.

У питанні використання коштів, виділених на кібербезпеку, 39% компаній-лідерів заявили, що надають пріоритет збільшенню ефективності наявних безпекових рішень. Причина такого рішення полягає в оптимізації фінансових і часових витрат, пов’язаних із постійним пошуком і тестуванням нових безпекових рішень. 

Для мінімізації потенційних збитків, завданих кібератаками, компаніям слід зосередити свої зусилля та ресурси на розвитку цифрової безпеки. Для протидії кіберзагрозам бізнесу слід дотримуватись як базових правил безпеки, так і розробляти високотехнологічні стратегії цифрової захищеності. Детальну інформацію про методи, які використовують компанії для захисту від кіберзагроз, можна розглянути у попередніх матеріалах, підготовлених компанією Hacken. Саме тому наведемо лише приклади основних механізмів, які застосовують компанії для протидії кіберзагрозам:

  • Створення резервних копій ключових файлів для мінімізації збитків від атак з вимогою викупу;
  • Встановлення та регулярне оновлення захисного програмного забезпечення для протидії відомим цифровим загрозам;
  • Регулярне сканування усіх пристроїв, під’єднаних до корпоративної мережі та заборона використання неперевірених портативних пристроїв;
  • Проведення регулярних тренінгів та курсів для працівників з метою навчання їх базовим правилам кібербезпеки;
  • Контроль доступу до облікових записів та баз даних;
  • Проведення регулярних тестувань захищеності корпоративних продуктів шляхом проведення тестів на проникнення та участі в баг-баунті програмах.

У 2020 р., за даними Deloitte, середні витрати компаній, які функціонують у фінансовому секторі, на кібербезпеку склали 11% їх ІТ-бюджету або 1/200 їх річного доходу. У розрахунку на 1 працівника, витрати на кібербезпеку становили 2,700 дол США. Аналіз витрат на кібербезпеку саме фінансовими компаніями є важливим, оскільки дана сфера є однією з основних цілей для кіберзлочинців, зважаючи на обсяг акумульованих фінансових ресурсів і інформації. Однак, кожна компанія, залежно від сфери своєї діяльності, повинна встановлювати власні параметри для бюджету кібербезпеки. Компанії, які функціонують у фінансовому секторі, будівництві, охороні здоров’я та ІТ, повинні витрачати на кібербезпеку найбільше ресурсів, враховуючи рівень кіберзагроз, з якими вони стикаються. Однак, ключову роль відіграє не сума, витрачена на посилення кібербезпеки, а ефективність використання виділених ресурсів.

Одним із методів визначення бюджету кібербезпеки є аналіз даних, які компанії або організації, які діють у тих же секторах економіки або суміжних, зазначають у своїх звітах. Слід також усвідомлювати, що якщо діяльність компанії пов’язана із обробкою великих обсягів конфіденційної інформації, то її неспроможність протидіяти кіберзагрозам підпадає під санкції, відповідно до документів, що регулюють поводження з даними, зокрема Загального регламенту про захист даних (GDPR). Відповідно до GDPR, на компанію можуть бути накладені штрафні санкції у розмірі 20 мільйонів євро або 4% від її річного обороту, залежно яка сума є більшою. Відповідно, чим вищий рівень потенційних штрафних санкцій за неспроможність захистити дані клієнтів, тим вищий відсоток від свого ІТ-бюджету компаніям слід спрямовувати на кібербезпеку.

Ефективними методами забезпечення захищеності компаній від кібератак є регулярне проведення тестів на проникнення (пентестів) та організація баг-баунті програм. Для цього компанії використовують послуги, які надаються проєктами, що функціонують у сфері кібербезпеки, зокрема компанією HackenProof, яка входить до екосистеми Hacken. Вартість проведення пентесту не є фіксованою і залежить від обсягів та рівня складності роботи, а також від специфіки ціноутворення, яка застосовується компанією, що проводить пентест. Для більшості компаній-замовників, вартість такого методу перевірки безпеки стартує від 10 тис дол США. Вартість проведення баг-баунті програм на спеціалізованих платформах стартує від 10-15 тис дол США, а розмір винагороди, яка сплачується незалежним білим хакерам, встановлюють самі замовники. Загалом, підсумувавши витрати на проведення пентесту та організацію баг баунті програми, можна дійти висновку, що компанії можуть мінімізувати ризики зламу своїх систем та викрадення даних, витративши приблизно 50 тис дол США, що становить у 3 рази меншу суму, ніж середні втрати від кібератаки.

Загалом, інвестиції у кібербезпеку є однією із найбільш ефективних стратегій запобігання фінансових збитків, спричинених кібератаками. Компанія, яка не є заплямованою численними випадками втрати даних чи коштів клієнтів, вважатиметься надійним партнером на ринку і, як наслідок, зможе збільшити свій потенційний дохід. Саме інвестиції компаній у кібербезпеку є дієвим методом пристосування до ведення бізнесу в епоху глобальної бізнес-невизначеності.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Стартуй в Telegram боті
Читайте корисні статті та новини. Поширюйте їх соціальни мережами.
0 Шейрів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: