Cyberataki mogą wywierać wpływ na wiele aspektów działalności firmy oraz pociągać za sobą różne koszty w zależności od charakteru i powagi danego incydentu.Najczęściej postrzegane są one jednak przez pryzmat informacji, jakie przedsiębiorstwa zobowiązane są podawać do wiadomości publicznej, w tym przede wszystkim na temat kradzieży danych osobowych, danych o stanie zdrowia czy też informacji płatniczych.
Przedmiotem dyskusji na temat ich finansowych aspektów są najczęściej koszty powiadomienia klientów o danym incydencie, monitorowania aktywności kredytowej, a także potencjalnych wyroków sądowych lub kar nakładanych przez organy nadzoru. Dzięki ważnym inicjatywom podejmowanym w tym zakresie, branża zaczyna kalkulować „koszt przypadający na jeden rekord” danych konsumenta, które stanowią przedmiot cyberataku.
Rzadko mówi się jednak otwarcie o przypadkach kradzieży własności intelektualnej, szpiegostwa, niszczenia danych, atakach dotyczących podstawowej działalności operacyjnej czy próbach sparaliżowania infrastruktury krytycznej. Wbrew pozorom tego typu ataki mogą wywierać o wiele poważniejszy wpływ na organizacje oraz pociągać za sobą dodatkowe koszty, których firmy nie tylko nie są wstanie w prosty sposób określić, ale często nie informują o nich opinii publicznej.
Nowe opracowanie Deloitte: „Beneath the surface of a cyberattack: A deeper look at business impacts” (Ukryte koszty cyberataku: analiza skutków z perspektywy firmy) pokazało faktyczny zasięg i czas oddziaływania tego rodzaju incydentów w wymiarze finansowym. W niniejszym wydaniu CFO Insights skupimy się na siedmiu typach ukrytych kosztów, które należy uwzględnić przy obliczaniu sumy strat związanych z cyberatakiem.
Czytaj także: Amazon uruchamia sklepy bez kas
Koszty ukryte
Raport opisuje 14 rodzajów skutków cyberincydentów występujących w pięcioletnim okresie reakcji na incydent, obejmujących siedem typów kosztów bezpośrednich i siedem typów kosztów ukrytych. Wielkość kosztów niematerialnych oszacowano przy użyciu różnych technik modelowania finansowego (patrz: „Przypisywanie wartości do strat niematerialnych”). Badania dowiodły, że koszty bezpośrednie związane z kradzieżą danych są znacznie mniejsze niż koszty ukryte. W scenariuszu opracowanym przez Deloitte koszty bezpośrednie stanowiły bowiem niecałe 5% ogółu strat poniesionych przez firmę.
Proporcja ta dowodzi, że z perspektywy dyrektora finansowego największe znaczenie powinny mieć koszty ukryte:
- wzrost składki ubezpieczeniowej,
- zwiększenie kosztów finansowania zewnętrznego,
- zakłócenie działalności operacyjnej lub utrata danych,
- utracona wartość relacji z klientami,
- wartość utraconych przychodów z umów,
- dewaluacja marki,
- utrata własności intelektualnej.
Poszerzony przegląd kosztów
Choć włamaniom do systemów poświęca się wiele uwagi, szefowie firm, w tym dyrektorzy finansowi, rzadko zdają sobie sprawę z zakulisowych perturbacji związanych z koniecznością odzyskania zdolności operacyjnych po ataku – przynajmniej do czasu, gdy ich firmy padną ofiarą hakerów. Co więcej, choć ataki te mogą początkowo mieć formę problemów technicznych, zwykle wykraczają znacząco poza domenę technologiczną, niszcząc zarówno wartość firmy, jak i jej dochód.
Czytaj także: Polski Black Friday to wielka ściema
Rozpoznanie mniej oczywistych efektów cyberataku wymaga podejścia multidyscyplinarnego, łączącego głęboką znajomość tego rodzaju incydentów z kontekstem prowadzonej działalności, technikami wyceny i miernikami finansowymi. Dzięki dokładnej analizie wszystkich czynników – w tym siedmiu wyżej opisanych typów kosztów – szefowie firm będą mogli zmodyfikować metody zarządzania cyberryzykiem i przyspieszyć proces usuwania skutków ewentualnego ataku hakerów.
Marcin Ludwiszewski, Dyrektor i Lider obszaru cyberbezpieczeństwa w Deloitte zwraca uwagę na to, że konsekwencje ataku na biznes mogą być bardzo szerokie.
Operacyjnie wszelkie zakłócenia funkcjonowania procesów będą prowadziły do:
- nieefektywnego zarządzania,
- nieterminowego realizowanie zadań,
- błędów w zarządzaniu,
- utraty towarów i klientów.
Skutki takiego ataku mogą się materializować w różnym czasie i na różnych poziomach, w tym sensie skutki incydentu należy rozumieć jako górę lodową. W ramach znanych konsekwencji możemy wyróżnić:
- straty finansowe,
- koszty komunikacji z dostawcami i klientami,
- straty reputacyjne,
- skutki regulacyjne,
- skutki wprowadzonych działań naprawczych, usług IT, bezpieczeństwa, prawnych,
- koszty konsultacji w zakresie analizy powłamaniowej, zabezpieczenia i analizy śladów.
Jednocześnie w dłuższym terminie mogą ujawnić się inne skutki takie jak:
- utrata zaufania do usług,
- utrata klientów,
- dewaluacja nazwy handlowej,
- wyższy koszty pożyczek,
- utrata wartości intelektualnej (bywa, że wykradzione dane ujawnione są w sieci 2-3 lata po samym ataku),
- skutki prawne (np. w wyniku pozwów innych dostawców lub samych klientów np. po kradzieży tożsamości),
- koszty usług prawnych.
Jak pokazuje powyższa lista ataki na zasoby firmy mogą mieć długoterminowe i szerokie skutki. Dlatego zabezpieczenie się przed cyberatakami i skutkami awarii powinno zakładać zrozumienie krytyczności własnych zasobów i zależności między nimi a wspierającą je infrastrukturą.
Ostatnie podcasty