Cyberbezpieczeństwo kosztuje

Jak wynika z najnowszego raportu Cisco „The Security Bottom Line: How much security is enough?”, 46 proc. dużych firm zatrudniających do 1000 pracowników wydaje do 250 tys. USD rocznie na cyberbezpieczeństwo. Z kolei 50% korporacji zatrudniających ponad 10 000 osób przeznacza na ten cel co najmniej milion USD. Mimo to ponad 80 proc. wszystkich firm niezależnie od wielkości twierdzi, że wystarcza to jedynie na zapewnienie części, a nie całości, minimalnego poziomu bezpieczeństwa, jakiego potrzebują.

Specjaliści IT zwracają uwagę na fakt, że skutki cyberataków są coraz większe. 45 proc. respondentów badania 2019 CISO Benchmark Study wskazało, że koszt pojedynczego cyberataku na ich organizację wyniósł ponad pół miliona USD. W ponad 50 proc. przypadków koszt ten był mniejszy niż 500 tys. USD. 8 proc. badanych twierdzi, że najbardziej znaczący cyberatak, który miał miejsce w zeszłym roku, spowodował straty wynoszące ponad 5 mln USD.

Bezpieczeństwo w cenie małej kawy lub biletu do kina

Według badania Cisco „The Security Bottom Line: How much security is enough?”, 46% dużych firm zatrudniających od 250 do 999 pracowników wydaje na cyberbezpieczeństwo do 250 tys. USD rocznie. Czy to dużo? Jeżeli przyjmiemy najwyższy deklarowany poziom wydatków w organizacji o najniżym zatrudnieniu w tej grupie, oznacza to, że koszt bezpieczeństwa wynosi 2,7 USD na pracownika dziennie. To mniej więcej tyle, ile kosztuje mała kawa. Gdy organizacja tej samej wielkości przeznaczy na cyberbezpieczeństwo maksymalną deklarowaną przez uczestników badania kwotę - 1 mln USD rocznie, koszt w przeliczeniu na jednego pracownika wyniesie ok. 11 USD dziennie. To niewiele więcej niż musielibyśmy zapłacić w weekend za bilet w sieciowym kinie.

„Na polskim rynku wydatek rzędu 250 tysięcy USD rocznie robi ogromne wrażenie, w szczególności wśród mniejszych firm. Coraz częściej jednak mogą one dokonać zakupu rozwiązań bezpieczeństwa w modelu subskrypcyjnym, zamiast ponoszenia jednorazowego wydatku. Wówczas kwota ta nie powinna wydawać się już tak ogromna” – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco.

Podejmując decyzję o inwestycji w rozwiązania z zakresu bezpieczeństwa, należy obliczyć, jakie mogą być skutki cyberataku. Dla wielu małych firm brak ciągłości działania, np. przez tydzień, może oznaczać bankructwo dodaje Mateusz Pastewski.

Chcąc ocienić ile organizacje powinny wydać na cyberbezpieczeństwo, należy wziąć pod uwagę więcej czynników niż jedynie ich wielkość, m.in. branżę, w której działają czy potencjalne skutki ataku, które będą o wiele poważniejsze w przypadku np. instytucji finansowych czy sektora energetycznego.

Pieniądze to nie wszystko

Czy zwiększenie wydatków daje gwarancję bezpieczeństwa infrastruktury IT? Respondenci badania Cisco zostali zapytani, czy ich organizacja jest w stanie zapewnić minimalny poziom bezpieczeństwa. Jedynie 19% przestawicieli firm zatrudniających od 250 do 999 osób odpowiedziało twierdząco. Co ciekawe jest to problem również w dużych korporacjach zatrudniających ponad 10 000 osób, które wydają na cyberbezpieczeństwo znacznie wyższe kwoty. Tylko 18 proc. respondentów z największych organizacji zgadza się ze stwierdzeniem, że ich firma zapewnia minimalny poziom bezpieczeństwa. Największy problem z zagwarantowaniem niezbędnego minimum mają organizacje zatrudniające od 1 000 do 9 999 pracowników – zaledwie 7 proc. z nich uważa, że dysponuje odpowiednimi środkami, aby je zapewnić.

Zdaniem ekspertów Cisco poziom ochrony organizacji przed atakami zależy od poziomu kompetencji zespołów IT. Dla biznesu oznacza to duży problem, gdyż według badania „Cybersecurity Workforce Study 2019” na całym świecie brakuje 3 milionów specjalistów ds. cyberbezpieczeństwa. Dlatego przedsiębiorstwa korzystają z usług firm zewnętrznych, co znalazło odzwierciedlenie w badaniu Cisco. Już 28 proc. respondentów polega w kwestiach cyberbezpieczeństwa głównie na wiedzy i doświadczeniu specjalistów zewnętrznych, podczas gdy niewiele więcej (37 proc.) wykorzystuje głównie zasoby wewnętrzne.

Rozwiązywanie problemów z zakresu cyberbezpieczeństwa często wymaga wiedzy na temat procesów zachodzących w organizacji. Tak więc nawet jeżeli biznes korzysta z usług specjalistów z firm zewnętrznych i tak muszą oni współpracować z lokalnym zespołem IT tłumaczy Mateusz Pastewski.

O tym, jak ważne jest ciągłe poszerzanie wiedzy z zakresu cyberbezpieczeństwa świadczy fakt, że 34 proc. uczestników badania „The Security Bottom Line: How much security is enough?” dowiaduje się o atakach, które mają wpływ na ich organizację z mediów. Oznacza to, że rola blogerów i dziennikarzy specjalizujących się w tematyce cyberbezpieczeństwa będzie rosła, gdyż przygotowywane przez nich materiały stanowią istotne źródło wiedzy. Wydatki dużych firm (250 – 999 os.) na cyberbezpieczeństwo: • 46 proc. dużych firm wskazało, że przeznacza na cyberbezpieczeństwo do 250 tys. USD rocznie. • 43 proc. dużych firm wskazało, że przeznacza na cyberbezpieczeństwo między 250 a 999 tys. USD rocznie. • Jedynie 11 proc. dużych firm wydaje na cyberbezpieczeństwo więcej niż milion USD rocznie. Wydatki bardzo dużych firm (1000 – 9 999 os.) na cyberbezpieczeństwo: • 23 proc. bardzo dużych firm wskazało, że przeznacza na cyberbezpieczeństwo do 250 tys. USD rocznie. • 57 proc. bardzo dużych firm wskazało, że przeznacza na cyberbezpieczeństwo między 250 a 999 tys. USD rocznie. • 20 proc. bardzo dużych firm wydaje na cyberbezpieczeństwo więcej niż milion USD rocznie. Wydatki korporacji (10 000+ os.) na cyberbezpieczeństwo: • Jedynie 7 proc. korporacji wskazało, że przeznacza na cyberbezpieczeństwo do 250 USD rocznie. • 43 proc. korporacji wskazało, że przeznacza na cyberbezpieczeństwo między 250 a 999 tys. USD rocznie. • 50 proc. dużych firm wydaje na cyberbezpieczeństwo więcej niż milion USD rocznie.

Więcej: w raporcie The Security Bottom Line: How much security is enough?