Bezpieczeństwo IT: osoby trzecie kosztują najwięcej

Przeczytaj także: Oto 3 typy pracowników, którzy nadwyrężają bezpieczeństwo IT

Niektóre z wyników ostatniego badania Kaspersky Lab mogą napawać optymizmem. Okazuje się bowiem, że bezpieczeństwo IT jest kwestią, do której firmy przywiązują coraz większą wagę. Jak świat długi i szeroki, zaczyna być ono postrzegane jako inwestycja o znaczeniu strategicznym, a to oznacza również coraz większe nakłady na ochronę - w przypadku największych firm stanowią one już niemal 1/4 (23 proc.) całego budżetu przeznaczanego na IT.

Co więcej, trend ten jest dostrzegalny we wszystkich firmach bez względu na ich wielkość, nie wyłączając tu najmniejszych przedsiębiorstw, które przeważnie utyskują na niedobór zasobów. Widać jednak, że średni budżet, który jest wpompowywany w bezpieczeństwo IT przedsiębiorstw, zmniejszył się w ujęciu bezwzględnym z 25,5 mln w zeszłym roku do 13,7 mln dolarów w roku bieżącym.

Stanowi to problem dla firm, zwłaszcza że — w przeciwieństwie do budżetów na bezpieczeństwo IT — odzyskanie sprawności po incydentach naruszenia bezpieczeństwa nie staje się tańsze. W tym roku koszty ponoszone przez małe i średnie przedsiębiorstwa w wyniku naruszenia bezpieczeństwa wynosiły średnio 87,8 tys. dolarów na jeden incydent (dla porównania, w 2016 r. koszty te wynosiły 86,5 tys. dolarów), natomiast w przypadku korporacji wzrosły jeszcze bardziej — z 861 tys. w 2016 r. do 992 tys. w 2017 r.

Niestety, większe budżety na bezpieczeństwo IT nie rozwiążą całkowicie problemu, ponieważ największe straty ponoszone są na skutek incydentów dotyczących osób trzecich i ich niedopatrzeń w zakresie ochrony. Małe i średnie firmy musiały zapłacić do 140 tys. dolarów w związku z incydentami, które dotknęły infrastrukturę obsługiwaną przez osobę trzecią. Z kolei korporacje straciły prawie dwa miliony dolarów (1,8 mln) w wyniku incydentów wymierzonych w dostawców, z którymi współdzielą dane, oraz 1,6 mln dolarów z powodu niewystarczającego poziomu ochrony dostawców infrastruktury IaaS.

Gdy firma przekaże innej organizacji dostęp do swoich danych lub infrastruktury, słabe punkty jednej z nich mogą mieć wpływ na drugą. Problem ten zyskuje coraz większe znaczenie, ponieważ rządy na całym świecie wprowadzają nowe ustawy, które wymagają od organizacji, aby dostarczały informacje dotyczące sposobu współdzielenia i ochrony danych osobowych.

O ile incydenty naruszenia bezpieczeństwa dotykające osoby trzecie przynoszą szkody firmom każdego rozmiaru, ich wpływ na finanse organizacji może spowodować dwukrotnie większe szkody. Wynika to z szerszego wyzwania globalnego — podczas gdy zagrożenia ewoluują w szybkim tempie, firmy i przepisy zmieniają się powoli. Gdy przepisy takie jak Ogólne Rozporządzenie o Ochronie Danych (RODO/GDPR) wejdą w życie i „dogonią” firmy, zanim te zdążą uaktualnić swoje procesy, kary za nieprzestrzeganie zasad dodatkowo zwiększą koszty finansowe — powiedział Alessio Aceti, szef działu odpowiedzialnego za rozwiązania korporacyjne, Kaspersky Lab.

Aby wspomóc firmy w zakresie planowania strategii bezpieczeństwa IT, Kaspersky Lab udostępnił bezpłatne narzędzie Kaspersky IT Security Calculator. Jest to podstawowy przewodnik prezentujący koszt bezpieczeństwa IT na podstawie średnich budżetów przeznaczanych na ten cel (według regionu, branży oraz wielkości firmy), środki bezpieczeństwa, główne wektory zagrożeń, starty pieniężne oraz wskazówki, jak uniknąć incydentów naruszenia bezpieczeństwa.