Как только в СМИ попадает новость об очередном серьёзном взломе наподобие последнего фиаско Yahoo, начинаются бурные обсуждения о предотвращении подобных атак. Однако практика показывает, что экономически эффективнее не предотвращать взломы, а бороться с их последствиями сообщает The Register.
Исследование RAND Corporation, опубликованное в Journal of Cybersecurity, оценила количество и стоимость провалов в безопасности среди американских организаций. Выяснилось, что средняя стоимость ущерба от взлома составляет около $200 000 за каждый случай. Высокоэффективные системы безопасности стоят намного больше, и поэтому их использование оказывается нецелесообразным с экономической точки зрения.
«Все ожидают, что компании должны всё больше вкладывать в безопасность. Но, может, быть, многие вкладывают деньги во что-то более прибыльное, и такую позицию стоит понять. В конце концов, все мы занимаемся одним и тем же — минимизацией издержек», — говорит автор исследования Саша Романоски.
Инциденты в сфере информационной безопасности в среднем обходятся компании в 0,4% годового дохода. В то же время, мошенничество со счетами в среднем «стоит» 5% дохода, а потери в розничной торговле, связанные с внешним и внутренним воровством, в среднем обходятся в 1,3% доходов.
Оценку репутационных потерь, связанных со взломами, оценить трудно из-за невозможности выделить понятные и сравнимые метрики для их измерения. А имеющие место быть «проседания» стоимости акций компаний после сообщения об атаках имеют краткосрочный характер и достаточно быстро нивелируются рынком.
Всё это напоминает историю с Ford Pinto. В 1973 автогигант увидел, что стоимость отзыва всех машин с рынка (из-за конструкции бензобака была вероятность его взрыва при столкновении) почти в три раза превышает выплаты за предполагаемый ущерб от гибели 180 человек и принял решение не отзывать автомобили. Вскоре об этом стало известно, и компания понесла серьёзные потери, как денежные, так и репутационные.
В теории, недостаток безопасности должен повлиять на зарождающийся рынок страхования от киберугроз. Именно страховые компании смогли бы оценить эффективность различных инструментов для обеспечения безопасности корпоративных данных. Тем не менее, пока этого не произошло.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.