Przez cały rok 2020 i dotychczasowy okres przypadający na rok 2021 mieliśmy okazję zaobserwować, jak coraz częściej cyberbezpieczeństwo jawi się jako jeden z fundamentów ciągłości biznesowej. Niezależnie od sektora organizacji i od tego, czy posiada ona publiczny, czy prywatny charakter, korzystanie z systemów informatycznych jest na tyle ściśle zintegrowane z pozostałymi procesami, że fakt obejścia się bez nich wywiera strukturalny wpływ na produktywność, a czasami może również powodować problemy z zaopatrzeniem w kluczowych sektorach.

Często mawia się, że cyberbezpieczeństwo jest drogie, jednak choć może nam się wydawać, iż wiąże się ono z wysokimi kosztami, aby móc wydać opinię na temat tego, czy coś jest drogie, czy tanie, musimy mieć to z czym porównać. W przypadku wielu produktów i usług porównanie to jest stosunkowo proste, gdyż możemy wyraźnie zobaczyć bezpośrednie korzyści, jakie nam one przynoszą: dana usługa może kosztować 15 000 euro rocznie, ale jeśli obliczymy, że uzyskane z niej korzyści wynoszą 30 000 euro rocznie, wówczas może się nam ona wydać tania. Niemniej jednak wyliczenie zwrotu z inwestycji w zakresie cyberbezpieczeństwa nie jest wcale trywialne, gdyż w jego przypadku korzyści nie upatruje się w otrzymywanych zyskach, lecz w unikaniu strat.

Weźmy za przykład atak na amerykańską firmę Colonial. Wiemy, że ransomware, którego padła ona ofiarą w 2021 roku, kosztował ją co najmniej 5 milionów dolarów w bitcoinach (z czego FBI odzyskało bitcoiny o zbliżonej wartości wynoszącej 2,3 miliona dolarów). Do tego należy doliczyć straty biznesowe, jakie firma poniosła w okresie od 6 do 9 maja 2021 r., a także wywarty na poziomie krajowym wpływ z uwagi na fakt, iż jest to infrastruktura o kluczowym znaczeniu. Nie możemy również zapominać o skutkach kryzysu reputacji (śledztwo w sprawie rzeczonego ataku dotarło aż do Kongresu Stanów Zjednoczonych Ameryki).

Podobny przykład stanowi atak na międzynarodowy koncern mięsny JBS, za który zapłacono okup szacowany na 11 milionów dolarów w bitcoinach. Ponownie, do tej kwoty należy dodać koszt spowodowany utratą biznesu lub mienia - pamiętajmy, że mięso jest produktem łatwo psującym się - oraz niszczycielski wpływ na reputację koncernu.

Kolejnym przykładem jest przypadek firmy Electronic Arts. Dnia 10 czerwca zgłosiła ona incydent dotyczący bezpieczeństwa w obrębie swoich systemów informatycznych, w których - zgodnie z informacjami udostępnionymi przez prasę - autorzy ataku wykradli kod źródłowy gry FIFA21 i silnik gier komputerowych Frostbite z ponad 780 GB danych. Oba te elementy programowe są produktami o kluczowym znaczeniu dla działalności tejże firmy: jeden jako bestseller, a drugi jako narzędzie programistyczne. Sprawia to, że ​​potencjalna utrata dochodów ze sprzedaży, wynikająca z piratowania zarówno obecnego, jak i przyszłego oprogramowania, jest bardzo trudna do oszacowania.

Dlatego wszystkie gałęzie cyberbezpieczeństwa (projektowania i architektury aplikacji i systemów, doradztwa, zgodności z przepisami, reagowania na incydenty, monitorowania, informatyki śledczej i audytu) odgrywają kluczową rolę przy próbach minimalizacji narażenia organizacji na niebezpieczeństwo, czyli spowodowaniu, by atak okazał się nieopłacalny dla jego autorów z uwagi na bardzo niekorzystną relację kosztu do korzyści.

Należy również pamiętać, że wszystkie te działania mają charakter cykliczny. Jak dobrze wiemy, technologia rozwija się na pełnych obrotach. Oznacza to, że ​​środki podjęte dzisiaj mogą nie być takie same, jak te, które podjęlibyśmy sześć miesięcy temu lub te, które moglibyśmy podjąć za sześć miesięcy. Aby zaś móc zapewnić maksymalną wartość podczas tych cykli, należy stawiać na zespoły dysponujące ogromną wiedzą techniczną i jednocześnie nie tracące z oczu potrzeb organizacji.

Ze wszystkich tych względów w firmie GMV zalecamy projektowanie specyficznych programów opracowanych specjalnie dla naszych klientów, koncentrując się na ich potrzebach i bieżącym stanie. Ma to na celu pomóc im w osiągnięciu dojrzałości w dziedzinie cyberbezpieczeństwa i maksymalnie obniżyć stosunek kosztów do korzyści dla autorów potencjalnych ataków.

Programy te powinny zawsze rozpoczynać się od wstępnej diagnozy, aby móc się dowiedzieć, w jakim stanie znajduje się organizacja i określić, czego dokładnie potrzebuje. Zaistnieją przypadki, w których trzeba będzie skupić się na pierwszych fazach: przeprojektowaniu architektur i procesów. W innych sytuacjach potrzeba będzie wzmożonego monitoringu i usług zapewniających niezwykle silną ochronę przed atakami cybernetycznym. W niektórych zaś okolicznościach wymagać się będzie systematycznej weryfikacji stopnia narażenia na niebezpieczeństwo. Niemniej jednak, w większości przypadków najrozsądniejszą odpowiedzią jest połączenie wszystkich powyższych aspektów, aby ulepszyć te, w które organizacja już zainwestowała i wdrożyć inne, które jeszcze nie istnieją.

Jak już wcześniej wspomniałam, często słyszy się, że cyberbezpieczeństwo jest drogie. Jednak tak naprawdę, kiedy wystosowuje się tego typu komunikat, porównywanymi elementami są koszt jego wdrożenia w zestawieniu z kosztem bieżącym. Niezwykle trudnym, a często niemożliwym – dopóki nie padnie się ofiarą ataku – elementem do oszacowania, jest koszt wdrożenia środków zapobiegawczych w porównaniu z kosztem wynikającym ze skutecznego ataku. Zestawienie to przedstawia złudną perspektywę, że cyberbezpieczeństwo ma wysoką cenę. Jest to jednak równoważne z różnicą między sytuacją, w której traci się miliony, a sytuacją, w której można te straty znacznie ograniczyć

 

Paula González

Jefa de sección de Auditoría de Secure e-Solutions de GMV