Cyberataki kosztują światową gospodarkę 600 mld dol. rocznie

08.03.2018
Według raportu CSIS, największe koszty cyberataków w przeliczeniu na procent PKB ponoszą kraje średniozamożne, w których cyfryzacja gospodarki jest już nieźle rozwinięta, ale cyberbezpieczeństwo nie nadąża za tym rozwojem. Wiele wskazuje, że takim krajem jest Polska.

CC BY Christiaan Colen

CC BY Christiaan Colen

Koszty cyberataków rosną z roku na rok. Wynika to z danych zawartych zarówno w raporcie „Economic Impact of Cybercrime – No Slowing Down”, przygotowanym przez amerykański think tank Center for Strategic and International Studies (CSIS) we współpracy z zajmującą się cyberbezpieczeństwem firmą McAffe, jak i z raportu „Cost of Cyber Crime Study”, sporządzonego przez Ponemon Institute we współpracy z firmą doradczą Accenture. Raport CSIS koncentruje się na szacunkach globalnych kosztów. Natomiast doroczny raport Ponemon przedstawia przede wszystkim średnie koszty związane z cyberatakiem, ponoszone przez firmy z różnych sektorów gospodarki. Opracowano go na podstawie wywiadów z przedstawicielami 254 firm z siedmiu najbardziej rozwiniętych krajów, zatrudniających co najmniej 1000 osób (średnia 8,5 tys. pracowników).

Koszty w skali makro

Autorzy raportu CSIS szacują, że w 2016 r. łączne światowe koszty cyberataków wyniosły od 445 mld dolarów do 608 mld dolarów. Ta druga liczba odpowiada 0,8 proc. światowego PKB w 2016 r. Dwa lata wcześniej szacunki CSIS mówiły o kosztach na poziomie – od 345 mld dolarów do 445 mld dolarów (0,62 proc. PKB z 2014 r.).

Koszty cyberataków stanowią ok. 1/3 kosztów przestępstw międzynarodowych lub np. związanych z podróbkami i piractwem, które odpowiednio Global Financial Integrity i Światowa Organizacja Handlu szacują na 1,6-2,2 bln dolarów i 1,8 bln dolarów rocznie. Przykładowo, łączne koszty ubiegłorocznych atlantyckich huraganów, takich jak Irma, czy Harvey, są szacowane na 300 mld dolarów.

W raporcie CSIS, przedstawiającym szacunki za 2014 r., autorzy wyrazili przypuszczenie, że w kolejnych latach nastąpi stabilizacja kosztów cybarataków. W opublikowanym w lutym 2018 r. raporcie z danymi za 2016 r. przyznają się, że byli zbyt dużymi optymistami i już w tytule podkreślają, że trend jest wzrostowy. Zurich Insurance prognozuje, że w 2030 r. koszty wyniosą 1,2 bln dolarów, co będzie stanowić 0,9 proc. światowego PKB.

W połowie ub.r. firma ubezpieczeniowa Lloyd’s, wspólnie ze specjalizującą się w modelowaniu ryzyka spółką Cyence, oszacowali średni łączny koszt potencjalnego wielkiego globalnego cyberataku, przeprowadzonego z wykorzystaniem chmury obliczeniowej dużego dostawcy tego typu usług, którego skutki będą usuwane przez 2,5-3 dni. Ich zdaniem mogą one sięgnąć nawet 121,4 mld dolarów, z czego 16,7 mld dolarów przypadać będzie na sektor finansowy. Łączny koszt odpowiada 1/9 wzrostu wartości globalnego PKB w 2016 r.

W tym samym raporcie oszacowano, że masowy atak, wykorzystujący wcześniej nie znaną dziurę w oprogramowaniu, (zero-day attack) na firmy w USA, Kanadzie i Unii Europejskiej o przychodach powyżej 20 mln dolarów w ekstremalnym wypadku kosztować je może 28,7 mld dolarów.

Ubiegłoroczne straty były zapewne wyższe niż te wyliczone dla 2016 r. choćby z powodu dwóch wielkich ataków typu ransomware  (złośliwe oprogramowanie szyfrujące komputer i żądające okupu za jego odblokowanie) o nazwach WannaCry i NotPetya. W wyniku każdego, zainfekowane były setki tysięcy komputerów w kilkudziesięciu krajach. W efekcie ataki sparaliżowały wiele firm – w tym działających globalnie – i instytucji państwowych na świecie.

Koszty, jakie poniosła tylko jedna z nich – Maersk, największa na świecie firma zajmująca się obsługą kontenerów – związane z wymianą 45 tys. komputerów, 2 tys. serwerów i 2 tys. aplikacji, Jim Hagemann Snabe, szef rady nadzorczej spółki oszacował na 250-300 mln dolarów. Do tego należy doliczyć niższe przychody związane z trwającym kilka dni spadkiem, nawet o 20 proc., liczby obsłużonych kontenerów. Według wyliczeń Cyence,  atak NotPetya kosztował gospodarkę 850 mln dolarów.

Do ubiegłorocznego bilansu dochodzą udane ataki na giełdy zajmujące się obrotem bitcoinami, m.in. w Korei Południowej i na Słowenii, oraz cyber włamanie do Equifax, jednej z trzech największych w USA agencji przygotowujących raporty o wiarygodności kredytowej konsumentów. Należy tu wymienić także udany atak na amerykańską Komisję Papierów Wartościowych (SEC), w wyniku którego cyberprzestępcy uzyskali dostęp do niejawnych informacji ze spółek giełdowych.

W wyniku incydentu w agencji Equifax wyciekły dane 145,5 mln Amerykanów oraz 400 tys. Brytyjczyków i 19 tys. Kanadyjczyków. W ocenie amerykańskich mediów, dane skradzione z agencji – m.in. numer ubezpieczenia społecznego, numer identyfikacji podatkowej, numer prawa jazdy wraz z miejscem i datą wydania, data urodzenia, numer paszportu – w znaczący sposób ułatwiają wykorzystanie tych informacji, np. do zaciągnięcia kredytu, a także do oszustw związanych ze zwrotem podatków, jak również tworzenia fałszywych dokumentów tożsamości np. dla nielegalnych imigrantów.

W tym roku, w wyniku cyberwłamania, inwestorom grającym na japońskiej giełdzie kryptowalut Coincheck skradziono 58 mld jenów (534 mln dolarów). To, jak do tej pory, największa kradzież wirtualnych walut w historii. Poprzedni „rekord” – 47 mld jenów – należał do japońskiej giełdy bitcoinów Mt.Gox, której zabezpieczenia przełamano w 2014 r.

W sektor finansowy celują profesjonaliści

Według autorów raportu „Economic Impact of Cybercrime” najwyższe koszty cyberataków mogły zostać poniesione w Azji Wschodniej i Regionie Pacyfiku. Oszacowano je na ok. 200 mld dolarów, czyli na 0,89 proc. PKB regionu. W Europie i Azji Środkowej koszty te mogły osiągnąć nawet 180 mld dolarów (do 0,89 proc. PKB), zaś w Ameryce Północnej doszły do 175 mld dolarów (do 0,87 proc. PKB). Na te trzy regiony przypada 83 proc. globalnego PKB. W pozostałych regionach, które są znacznie mniej rozwinięte zarówno gospodarczo, jak i technologicznie, koszty liczone w dolarach, jak i w procentach PKB są wyraźnie niższe.

CSIS twierdzi, że od ponad dekady instytucje finansowe są najczęstszym celem ataków hakerów o najwyższych umiejętnościach. Atakowane są zarówno banki komercyjne i firmy ubezpieczeniowe, jak i instytucje zajmujące się oceną ryzyka kredytowego, a także banki centralne oraz nadzór giełdowy i finansowy. Celami ataków jest albo kradzież pieniędzy, albo zdobycie informacji, które można wykorzystać do osiągnięcia zysków.

Instytucje finansowe najczęściej atakowane są przez hakerów z trzech krajów: Rosji, Chin i Korei Północnej. Celem ataków z Rosji i Korei Północnej jest przede wszystkim pozyskanie pieniędzy. Ataki z Chin służą głównie zdobyciu informacji.

Zdaniem ekspertów, zajmujących się cyberbezpieczeństwem, wiele ataków z tych trzech krajów prowadzonych jest przez hakerów pracujących dla rządów. Według informacji uzyskanych przez media (m.in. „Fortune” i „Washington Post”), amerykańskie i brytyjskie służby specjalne są przekonane, że rosyjski wywiad wojskowy GRU stał za ubiegłorocznym czerwcowym atakiem NotPetya, który rozpoczął się na Ukrainie i sparaliżował wiele tamtejszych firm i instytucji rządowych, a następnie rozlał się na świat. O przeprowadzenie w maju 2017 r. ataku WannaCry, służby specjalne USA, Wielkiej Brytanii i Australii obwiniają hakerów z Korei Północnej.

Za przeprowadzonym w lutym 2016 r. atakiem na bank centralny Bangladeszu prawdopodobnie także stali północnokoreańscy rządowi hakerzy. Po przełamaniu zabezpieczeń w systemie informatycznym banku próbowano wyprowadzić – poprzez infrastrukturę SWIFT – blisko miliard dolarów.

Wiosną ub.r. „New York Times” informował, że wszystko wskazuje na to, że Korea Północna przeprowadziła również, ujawniony w lutym 2017 r., wyrafinowany atak na polską Komisję Nadzoru Finansowego, której serwis internetowy został wykorzystany do nakierowanej na 20 polskich i ponad 100 zagranicznych banków, dystrybucji szkodliwego oprogramowania. Według „NYT”, wśród potencjalnych celów tego ataku, były m.in. banki centralne Rosji, Wenezueli, Meksyku, Chile i Czech.

Koszty w firmach puchną

Ponemon Institute i Accenture szacują, że w 2017 r. średnie roczne koszty firmy, związane z cyberatakami, wzrosły o 23 proc. do 11,7 mln dolarów, a w ciągu ostatnich pięciu lat zwiększyły się o 62 proc. Liczba udanych ataków na przedsiębiorstwa wzrosła w ub.r. o ponad 27 proc.

Według autorów raportu, wśród przedsiębiorstw z najbardziej rozwiniętych krajów świata, najwyższe średnie roczne koszty ponoszą firmy z USA (ponad 21,2 mln dolarów rocznie), a najniższe z Australii (5,4 mln dolarów).

Średnie roczne koszty cyberataków najwyższe są w firmach sektora finansowego. Autorzy raportu szacują na 18,3 mln dolarów rocznie. W pierwszej trójce są jeszcze firmy sektora usług komunalnych i energetyczne (17,2 mln dolarów) oraz przemysłu lotniczego i obronnego (14,5 mln dolarów).

Z raportu wynika, że najwyższe średnie koszty pojedynczego incydentu związane są atakami prowadzonymi przez obecnych lub byłych pracowników oraz – co nie powinno być zaskoczeniem – łączne roczne koszty rosną wraz z liczbą zatrudnionych w firmie. Co ważne, w przeliczeniu na jedno miejsce pracy najwyższe koszty są w najmniejszych firmach (są cztery razy wyższe niż w wielkich korporacjach). Z kolei, w średnich i dużych przedsiębiorstwach w ostatnich trzech latach wzrost średnich rocznych kosztów był najwyższy i wyniósł odpowiednio 27 proc. i 52 proc. Małe firmy odnotowały w tym czasie wzrost średniego rocznego kosztu o 20 proc., a wielkie o 15 proc.

W ostatnich dwóch latach najczęstszą konsekwencją ataku jest utrata informacji. Drugie miejsce aktualnie zajmuje zakłócenie procesów biznesowych (zmniejszenie wydajności pracy, przerwy i zakłócenia w pracy etc), a trzecie utrata przychodów.

Cyberbezpieczeństwo po polsku

Według autorów raportu CSIS, największe koszty w przeliczeniu na procent PKB ponoszą kraje średniozamożne, w których cyfryzacja gospodarki jest już nieźle rozwinięta, ale cyberbezpieczeństwo nie nadąża za tym rozwojem. Wiele wskazuje, że takim krajem jest Polska.

Zgodnie z danymi GUS, niemal każda firma, zatrudniająca 10 i więcej osób, używa komputerów, a ponad 93 proc. korzysta z internetu. Z raportu „Cyber-ruletka po polsku: Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”, przygotowanego przez PricewaterhouseCoopers, wynika, że choć 44 proc. ankietowanych na potrzeby raportu polskich firm w 2017 r. poniosło w wyniku cyberataków straty finansowe, 62 proc. odnotowało z tego powodu zakłócenia i przestoje, a 21 proc. padło ofiarę zaszyfrowania dysku (atak typu ransomware), to 20 proc. średnich i dużych firm nie ma nikogo od cyberbezpieczeńswa, 46 proc. spółek nie ma operacyjnych procedur reakcji na incydenty, związane z cyberatakami, a wydatki na cyberbezpieczeństwo stanowią średnio jedynie 3 proc. budżetów IT. W ocenie PwC jest to co najmniej trzy razy za mało. Zdaniem autorów raportu PwC jedynie 8 proc. przebadanych polskich firm „jest dojrzałych pod względem bezpieczeństwa informacji”.

– Aż 28 proc. respondentów ze średnich i dużych firm deklaruje, że przeznacza na bezpieczeństwo informacji mniej niż 50 tys. zł rocznie. Jedynie 12 proc. uczestników badania wskazuje na budżety wyższe niż 1 mln zł. Należy podkreślić, że deklarowane wartości dotyczą wszystkich, związanych z bezpieczeństwem informacji, wydatków – od etatów po narzędzia i szkolenia – czytamy w raporcie PwC.


Tagi


Artykuły powiązane