Określenie kosztów potencjalnego naruszenia danych może być wymagającym wyzwaniem. W sieci dostępnych jest wiele raportów zawierających uśrednione obliczenia. Korzystają z nich osoby zajmujące się bezpieczeństwem danych, aby nie tylko oszacować wielkość wydatków przeznaczonych na usuwanie skutków takich zdarzeń, ale również uzasadnić wydatki związane z zakupem rozwiązań zapewniających bezpieczeństwo gromadzonych i przechowywanych danych.

 

Rzeczywisty koszt naruszenia bezpieczeństwa danych

– Koszt potencjalnego naruszenia bezpieczeństwa danych nigdy nie powinien być szacowany bez jednoczesnego uwzględnienia indywidualnych dla danej organizacji okoliczności – tłumaczy Sándor Bálint, ekspert firmy Balabit – Mówiąc jaśniej, koszty te będą inne dla międzynarodowej instytucji finansowej, a inne dla małego przedsiębiorstwa działającego lokalnie. Ocena ryzyka uwzględniająca sytuacje wyjątkowe dla każdej organizacji w ostatecznym rozrachunku pomoże osobom zarządzającym podjąć bardziej przemyślane decyzje – dodaje.

 

Od globalnej średniej znacznie bardziej przydatne byłyby narzędzia pomagające specjalistom do spraw bezpieczeństwa i decydentom biznesowym wspólnie zrozumieć, co naruszenie bezpieczeństwa danych może oznaczać dla ich organizacji. W tym celu zespoły do spraw bezpieczeństwa powinny przeprowadzić swoją własną ocenę ryzyka, by określić, ile naruszenie bezpieczeństwa danych może ich kosztować, biorąc pod uwagę ich branżę, klientów i dane, którymi dysponują. Warto również zauważyć, że ocena wpływu to tylko połowa zadania domowego z oceny ryzyka. Druga połowa to ocena prawdopodobieństwa, że do takiego naruszenia może dojść.

Kluczowe obszary szacunków

Poniżej przedstawiamy kluczowe obszary wspomagające ocenę kosztów potencjalnego naruszenia bezpieczeństwa danych.

1. Aspekty techniczne

Prawdopodobne jest, że po naruszeniu bezpieczeństwa danych organizacja będzie musiała przebudować przynajmniej część z zainfekowanych systemów informatycznych oraz zweryfikować integralność zapisów. W ocenie kosztów powinny zatem znaleźć się wydatki z tym związane, m.in. opłaty za wynajęcie lub leasing sprzętu, czas pracy technika i części zamienne, jak również utrata przychodów w sytuacji, gdy uszkodzony system musi być odłączony od sieci internetowej.

2. Konsekwencje ogłoszenia naruszenia bezpieczeństwa danych

Istotne jest także rozważenie konsekwencji, które niesie ze sobą poinformowanie klientów o tym, że doszło do naruszenia bezpieczeństwa danych. Może to oznaczać okresowy wzrost liczby zdarzeń w dziale obsługi klienta, które przełożą się na koszty personelu i nadgodzin. Warto więc rozważyć, w jaki sposób wpłynie to na potrzebne do reagowania na falę zapytań i wątpliwości ze strony klientów. Należy rozważyć koszty związane z obsługą dodatkowych telefonów do wsparcia technicznego.

3. Obowiązki prawne

Szacunkowe koszty naruszenia danych powinny także uwzględniać to, czy organizacja jest prawnie zobowiązana do informowania swoich klientów o takich zdarzeniach oraz w jaki sposób powinna to robić – mailowo, telefonicznie czy pisemnie za pośrednictwem listu poleconego. Należy również oszacować, ile wymagałoby to czasu i pracy pracowników. Jeśli naruszenie bezpieczeństwa danych skutkuje stratami finansowymi klientów, organizacja może być także zobowiązana do wypłacenia odszkodowania lub rekompensaty. W takiej sytuacji należy również uwzględnić koszty obsługi prawnej.

4. Koszty związane z przestrzeganiem przepisów

Potencjalne kary ze strony organów nadzorujących typu GIODO stają się coraz dotkliwsze. Zgodnie z przepisami Rozporządzenia o ochronie danych osobowych, które wejdą w życie maju 2018 r., kary mogą sięgać aż do 4% całkowitego rocznego obrotu organizacji. Do tabeli kosztów należy również wpisać wszelkie kary umowne, które trzeba zapłacić w przypadku naruszenia bezpieczeństwa danych partnerom biznesowym, klientom, dostawcom czy przedsiębiorstwom zajmującym się obsługą kart kredytowych.

 

W niektórych przypadkach organizacja, która padła ofiarą cyberataku, wychodzi z takiej sytuacji silniejsza. Nie oznacza to jednak, iż nie jest to kosztowna lekcja. Od pracowników odpowiedzialnych za bezpieczeństwo oraz menedżerów biznesowych oczekuje się należytej staranności przy podejmowaniu decyzji. Chociaż szczegółowe analizy są skomplikowane i bardzo czasochłonne do przeprowadzenia, lepiej nie iść na skróty i nie polegać na średnich wartościach globalnych. Świadome decyzje na ogół są lepsze. Warto zatem korzystać z wartości globalnych jako punktu odniesienia, ale lepiej podchodzić do nich z rezerwą.

Źródło: Informacja z serwisu infoWire.pl