Jaki koszt naruszenia ochrony danych w firmie?
Średni koszt naruszenia ochrony danych, według instytutów badawczych, może wahać się od 200 tysięcy do 3,6 miliona dolarów uważają analitycy firma F-Secure.
Przedstawione w badaniach wyniki uzmysławiają skalę problemu, ale oszacowanie ewentualnych strat to już wyzwanie, z którym musi zmierzyć się każde przedsiębiorstwo indywidualnie.
Aby ograniczyć ryzyko naruszenia ochrony danych w organizacjach oraz umożliwić prognozowanie potencjalnych kosztów, firma F-Secure wprowadza usługę Cyber Breach Impact Quantification (CBIQ).
Dane zgromadzone podczas przeprowadzanych ocen ryzyka u klientów F-Secure sugerują, że większość dużych organizacji nie jest odpowiednio przygotowana na ewentualne naruszenie ochrony danych.
Choć 50 proc. firm ma zespoły zarządzania kryzysowego na wypadek fizycznych katastrof lub zakłóceń działalności, tylko 20 proc. zatrudnia grupę specjalistów, która potrafi skutecznie poradzić sobie z cyberkryzysem. 65 proc. przedsiębiorstw nigdy nie przeprowadziło ćwiczeń w zakresie reagowania na cyberataki.
- Firmy mają problem z oszacowaniem, w co dokładnie inwestować, aby chronić się przed cyberzagrożeniami. Zdarza się, że budżet przeznaczony na kwestie związane z bezpieczeństwem jest niewłaściwie ulokowany i organizacja nie jest gotowa na odparcie próby naruszenia danych. Nowa usługa ma pomóc przedsiębiorstwom zdobyć wiedzę jak chronić kluczowe zasoby - mówi Michał Iwan, dyrektor regionalny F-Secure.
CBIQ pomaga skierować inwestycje we właściwe miejsca, uzasadnia wydatki i wpływa na decyzje związane z zabezpieczeniem się przed skutkami incydentów. Zwiększa też jakość raportowania ryzyka, sprowadzając wyniki do twardych liczb.
Podczas oceny ryzyka za pomocą nowej usługi konsultanci F-Secure organizują warsztaty i przeprowadzają wywiady z dobrze poinformowanymi osobami w danej organizacji, aby przeanalizować działalność operacyjną. Uwzględniają wiele rodzajów strat, takich jak koszty postępowania śledczego, przywracania usług, reakcji prawnej, działań komunikacyjnych i zakłócenia w funkcjonowaniu działalności.
Konsultanci wprowadzają te koszty do dedykowanego symulatora, który oblicza najbardziej prawdopodobne wyniki i w czasie rzeczywistym ustala średnią oraz odchylenie standardowe. Symulator opracowany na podstawie wieloletnich doświadczeń w badaniu incydentów dostarcza szybkie wyniki, a ostatecznym rezultatem jest raport ryzyka oparty na strukturze kosztów danej organizacji.
Usługa CBIQ wyróżnia się na tle zwykłych metod klasyfikowania ryzyka (w kategoriach wysokie, średnie lub niskie), które uzyskuje się za pomocą narzędzi ogólnego przeznaczenia, takich jak Excel.
- Podczas gdy inne narzędzia do oceny ryzyka dostarczają niejasnych, dyskusyjnych rezultatów, my pokazujemy konkretne liczby bazujące na przejrzystych, uzasadnionych danych wejściowych - mówi Michał Iwan.
CBIQ stanowi część kompletnej oferty usług zarządzania ryzykiem świadczonych przez F-Secure. Usługi obejmują Incident Response Maturity Assessment (komplementarne badanie zdolności obronnych firmy), opracowanie procesu oceny i modelowania ryzyka, ćwiczenia z zarządzania kryzysowego, a także organizację warsztatów oraz szkoleń.
Źródła:
https://www.rand.org/pubs/external_publications/EP66656.html
https://www.ibm.com/security/data-breach/
F-Secure
Ministerstwo Cyfryzacji opublikowało w tym tygodniu projekt nowej ustawy o ochronie danych osobowych. Resort chce stworzyć nowy urząd, który za naruszenie prawa będzie nakładał wysokie kary.
Użytkownicy internetu zyskają nowe narzędzia ochrony swoich danych. Jak mówi Maciej Kawecki z ministerstwa, chodzi między innymi o prawo do bycia zapomnianym.
Po wejściu nowych regulacji w życie, internauta, który na przykład zrezygnuje z usług portalu społecznościowego, może żądać od jego administratora usunięcia wszystkich danych osobowych. Dziś jest możliwe tworzenie kopii zapasowych i przechowywanie ich na serwerach.
Maciej Kawecki zapowiedział, że karanie będzie między innymi tak zwane spamowanie, czy handel danymi osobowymi. Jego zdaniem ograniczy to ilość niechcianych telefonów z ofertami handlowymi, czy zapychanie skrzynek mailowych od nieznanych adresatów.
Nowe przepisy nakładają też nowe obowiązki dotyczące przechowywania danych na różne instytucje, wśród których są między innymi banki.
Projekt Ministerstwa Cyfryzacji zostanie teraz poddany konsultacjom społecznym. Potem zajmie się nim rada ministrów. Nowe przepisy mają wejść w życie do 25 maja 2018 roku.