Koszty cyberataków są ogromne i bardzo trudne do oszacowania, bo nie chodzi tylko o wyłudzenia pieniędzy czy niemożność świadczenia usług, ale także np. koszty wizerunkowe; poza tym firmy często o atakach nie wiedzą albo o nich nie mówią – wskazuje Igor Protasowicki z WSB.
Według Igora Protasowickiego, który jest ekspertem ds. bezpieczeństwa z Wyższej Szkoły Bankowej, skala cyberprzestępczości w gospodarce jest „horrendalna”.
„W państwach takich jak Chiny, Korea Północna czy Rosja działają wyspecjalizowane grupy hakerskie przeprowadzające ataki i dokonujące wyłudzeń, bo to tzw. łatwy pieniądz. One są jak hydra: w miejsce jednej zlikwidowanej grupy pojawia się kilka kolejnych. Niestety zagrożenie narasta lawinowo, zwłaszcza że ostatnie dwa lata i związany z nimi lockdown jeszcze powiększył zależność działania firm od sieci” – powiedział.
Ekspert zwrócił uwagę, że choć ostatnio głośno jest o atakach takich jak wymuszenie okupu od amerykańskiej sieci rurociągów Colonial Pipeline, to cyberprzestępczość i zainfekowane oprogramowanie generowały koszty dla gospodarki tak długo, jak działa internet.
„Pierwszy duży problem, którego koszty próbowano policzyć, można datować na schyłek lat 80, gdy jeden z użytkowników ARPANETU, czyli protoplasty naszego internetu, napisał szkodliwy program, którego celem było ochronienie własności intelektualnej. Był to naukowiec, który chciał, by program się aktywował, gdy ktoś w sposób nieautoryzowany wykorzystywał wyniki prowadzonych przez niego badań. Jednak kod aktywował i samoreplikował się w sposób niekontrolowany i błyskawicznie «zapychał» zasoby ówczesnych komputerów. Ten program z dnia na dzień zajął 6 tys. komputerów połączonych z ARPANET-em, czyli 10 proc. wszystkich zasobów światowej sieci” – opisywał Protasowicki. Jak dodał, szacunki kosztów tego incydentu są bardzo różne: od 10 do 100 mln dolarów, czyli – jak ocenił – „kosmiczne pieniądze na ówczesne standardy”.
Wskazał, że wczesnym przykładem ataku generującego ogromne koszty dla gospodarki był cyberatak USA na system dystrybucji surowców naturalnych w ZSRR. „Szkodliwe oprogramowanie zatrzęsło tym systemem, a straty z tego wynikające były szacowane na 10 mld dol., ale jakie były w rzeczywistości nie wiadomo” – powiedział.
Według eksperta, obecnie, zwłaszcza po pandemii, gdy firmy działają w modelu „always online”, czyli są stale połączone z siecią globalną i wymieniają się danymi z bardzo wieloma innymi podmiotami, zagrożenia są stale obecne, a ich wpływ na firmy rośnie z roku na rok.
Jednocześnie, zdaniem eksperta, szacunki rzeczywistych kosztów cyberprzestępczości, jakie się czasem pojawiają, zarówno na poziomie firm, branż czy całych gospodarek są mało miarodajne.
„Po pierwsze, jesteśmy w stanie oprzeć te badania wyłącznie na podstawie danych przekazanych od firm. Tymczasem dużo ataków przechodzi niezauważonych, co nie znaczy, że nie wygenerowały one kosztów. Po drugie, firmy wolą nie rozgłaszać takich incydentów, bo to dla nich strata wizerunkowa” – powiedział.
Wskazał, że obok problemu niedoszacowania liczby i zakresu cyberataków, poważną trudność w oszacowaniu rachunku, jaki ponoszą firmy, jest także szerokie spektrum możliwych kosztów.
„Te ataki mają różne spektrum i odnoszą się do różnych przestrzeni funkcjonowania firmy. W zależności od tego, do której przestrzeni się będą odnosić, takie koszty wygenerują. Jeżeli będziemy mieli np. do czynienia z prostym, ale jednocześnie powszechnym atakiem DDoS (Distributed Denial of Service), który polega na odcięciu dostępu do jakiegoś systemu, mamy wówczas do czynienia z wyłączeniem usługi dostępu do danego serwera na jakiś czas, np. jakiegoś systemu albo strony” – opisywał.
Jak wskazał, mamy tu do czynienia z dwojakiego rodzaju kosztami. Po pierwsze są to koszty związane z niedziałaniem danej usługi, z drugiej strony koszty wizerunkowe dla podmiotu, który padł jego ofiarą. Istotny jest też oczywiście profil działania instytucji, bo inny będzie koszt dla sklepu internetowego, serwisu aukcyjnego czy instytucji finansowej.
„To samo dotyczy wykradania danych. Mogą to być dane klientów, a mogą być przedmioty własności intelektualnej, np. projekty nowego samochodu czy wyniki badań leków. Firma, która straciła swoje dane, największy koszt ponosi w związku z utratą pierwszeństwa na rynku. Jeżeli dojdzie do wycieku takich danych, traci przewagę komparatywną nad konkurentami, nie może jako pierwsza wypuścić produktu na rynek, bo ktoś korzystając z jej badań, szybko i tanio stworzy swój projekt. A firma, która została okradziona, poniosła koszty badań i jeszcze na dodatek straciła część potencjalnych odbiorców” – zauważył.
Ekspert wskazał też, że bardzo często, zwłaszcza w wypadku ataków „szytych na miarę”, firmy w ogóle nie wiedzą, iż padły jego ofiarą. „Przestępcy po prostu kradną dane i się tym nie chwalą. To zupełnie inna sytuacja niż ransomeware, czyli blokowanie systemów albo grożenie ujawnieniem skradzionych danych do czasu uzyskania okupu od zaatakowanej firmy” – wyjaśnił.
W jego ocenie, jedyne pewne dane dotyczą wycieków i kradzieży danych osobowych, bo na podstawie przepisów RODO firmy działające w Europie muszą je zgłaszać i przeprowadzić dochodzenie w tej sprawie – w przeciwnym razie grożą im wysokie kary. (PAP)
Autorka: Małgorzata Werner-Woś
Zamieszczone na stronach internetowych portalu https://opoka.org.pl/ i https://opoka.news materiały sygnowane skrótem „PAP” stanowią element Serwisów Informacyjnych PAP, będących bazami danych, których producentem i wydawcą jest Polska Agencja Prasowa S.A. z siedzibą w Warszawie. Chronione są one przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Powyższe materiały wykorzystywane są przez Fundację Opoka na podstawie stosownej umowy licencyjnej. Jakiekolwiek ich wykorzystywanie przez użytkowników portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, jest zabronione. PAP S.A. zastrzega, iż dalsze rozpowszechnianie materiałów, o których mowa w art. 25 ust. 1 pkt. b) ustawy o prawie autorskim i prawach pokrewnych, jest zabronione.