CC BY Christiaan Colen
Koszty cyberataków rosną z roku na rok. Wynika to z danych zawartych zarówno w raporcie „Economic Impact of Cybercrime – No Slowing Down”, przygotowanym przez amerykański think tank Center for Strategic and International Studies (CSIS) we współpracy z zajmującą się cyberbezpieczeństwem firmą McAffe, jak i z raportu „Cost of Cyber Crime Study”, sporządzonego przez Ponemon Institute we współpracy z firmą doradczą Accenture. Raport CSIS koncentruje się na szacunkach globalnych kosztów. Natomiast doroczny raport Ponemon przedstawia przede wszystkim średnie koszty związane z cyberatakiem, ponoszone przez firmy z różnych sektorów gospodarki. Opracowano go na podstawie wywiadów z przedstawicielami 254 firm z siedmiu najbardziej rozwiniętych krajów, zatrudniających co najmniej 1000 osób (średnia 8,5 tys. pracowników).
Koszty w skali makro
Autorzy raportu CSIS szacują, że w 2016 r. łączne światowe koszty cyberataków wyniosły od 445 mld dolarów do 608 mld dolarów. Ta druga liczba odpowiada 0,8 proc. światowego PKB w 2016 r. Dwa lata wcześniej szacunki CSIS mówiły o kosztach na poziomie – od 345 mld dolarów do 445 mld dolarów (0,62 proc. PKB z 2014 r.).
Koszty cyberataków stanowią ok. 1/3 kosztów przestępstw międzynarodowych lub np. związanych z podróbkami i piractwem, które odpowiednio Global Financial Integrity i Światowa Organizacja Handlu szacują na 1,6-2,2 bln dolarów i 1,8 bln dolarów rocznie. Przykładowo, łączne koszty ubiegłorocznych atlantyckich huraganów, takich jak Irma, czy Harvey, są szacowane na 300 mld dolarów.
W raporcie CSIS, przedstawiającym szacunki za 2014 r., autorzy wyrazili przypuszczenie, że w kolejnych latach nastąpi stabilizacja kosztów cybarataków. W opublikowanym w lutym 2018 r. raporcie z danymi za 2016 r. przyznają się, że byli zbyt dużymi optymistami i już w tytule podkreślają, że trend jest wzrostowy. Zurich Insurance prognozuje, że w 2030 r. koszty wyniosą 1,2 bln dolarów, co będzie stanowić 0,9 proc. światowego PKB.
W połowie ub.r. firma ubezpieczeniowa Lloyd’s, wspólnie ze specjalizującą się w modelowaniu ryzyka spółką Cyence, oszacowali średni łączny koszt potencjalnego wielkiego globalnego cyberataku, przeprowadzonego z wykorzystaniem chmury obliczeniowej dużego dostawcy tego typu usług, którego skutki będą usuwane przez 2,5-3 dni. Ich zdaniem mogą one sięgnąć nawet 121,4 mld dolarów, z czego 16,7 mld dolarów przypadać będzie na sektor finansowy. Łączny koszt odpowiada 1/9 wzrostu wartości globalnego PKB w 2016 r.
W tym samym raporcie oszacowano, że masowy atak, wykorzystujący wcześniej nie znaną dziurę w oprogramowaniu, (zero-day attack) na firmy w USA, Kanadzie i Unii Europejskiej o przychodach powyżej 20 mln dolarów w ekstremalnym wypadku kosztować je może 28,7 mld dolarów.
Ubiegłoroczne straty były zapewne wyższe niż te wyliczone dla 2016 r. choćby z powodu dwóch wielkich ataków typu ransomware (złośliwe oprogramowanie szyfrujące komputer i żądające okupu za jego odblokowanie) o nazwach WannaCry i NotPetya. W wyniku każdego, zainfekowane były setki tysięcy komputerów w kilkudziesięciu krajach. W efekcie ataki sparaliżowały wiele firm – w tym działających globalnie – i instytucji państwowych na świecie.
Koszty, jakie poniosła tylko jedna z nich – Maersk, największa na świecie firma zajmująca się obsługą kontenerów – związane z wymianą 45 tys. komputerów, 2 tys. serwerów i 2 tys. aplikacji, Jim Hagemann Snabe, szef rady nadzorczej spółki oszacował na 250-300 mln dolarów. Do tego należy doliczyć niższe przychody związane z trwającym kilka dni spadkiem, nawet o 20 proc., liczby obsłużonych kontenerów. Według wyliczeń Cyence, atak NotPetya kosztował gospodarkę 850 mln dolarów.
Do ubiegłorocznego bilansu dochodzą udane ataki na giełdy zajmujące się obrotem bitcoinami, m.in. w Korei Południowej i na Słowenii, oraz cyber włamanie do Equifax, jednej z trzech największych w USA agencji przygotowujących raporty o wiarygodności kredytowej konsumentów. Należy tu wymienić także udany atak na amerykańską Komisję Papierów Wartościowych (SEC), w wyniku którego cyberprzestępcy uzyskali dostęp do niejawnych informacji ze spółek giełdowych.
W wyniku incydentu w agencji Equifax wyciekły dane 145,5 mln Amerykanów oraz 400 tys. Brytyjczyków i 19 tys. Kanadyjczyków. W ocenie amerykańskich mediów, dane skradzione z agencji – m.in. numer ubezpieczenia społecznego, numer identyfikacji podatkowej, numer prawa jazdy wraz z miejscem i datą wydania, data urodzenia, numer paszportu – w znaczący sposób ułatwiają wykorzystanie tych informacji, np. do zaciągnięcia kredytu, a także do oszustw związanych ze zwrotem podatków, jak również tworzenia fałszywych dokumentów tożsamości np. dla nielegalnych imigrantów.
W tym roku, w wyniku cyberwłamania, inwestorom grającym na japońskiej giełdzie kryptowalut Coincheck skradziono 58 mld jenów (534 mln dolarów). To, jak do tej pory, największa kradzież wirtualnych walut w historii. Poprzedni „rekord” – 47 mld jenów – należał do japońskiej giełdy bitcoinów Mt.Gox, której zabezpieczenia przełamano w 2014 r.
W sektor finansowy celują profesjonaliści
Według autorów raportu „Economic Impact of Cybercrime” najwyższe koszty cyberataków mogły zostać poniesione w Azji Wschodniej i Regionie Pacyfiku. Oszacowano je na ok. 200 mld dolarów, czyli na 0,89 proc. PKB regionu. W Europie i Azji Środkowej koszty te mogły osiągnąć nawet 180 mld dolarów (do 0,89 proc. PKB), zaś w Ameryce Północnej doszły do 175 mld dolarów (do 0,87 proc. PKB). Na te trzy regiony przypada 83 proc. globalnego PKB. W pozostałych regionach, które są znacznie mniej rozwinięte zarówno gospodarczo, jak i technologicznie, koszty liczone w dolarach, jak i w procentach PKB są wyraźnie niższe.
CSIS twierdzi, że od ponad dekady instytucje finansowe są najczęstszym celem ataków hakerów o najwyższych umiejętnościach. Atakowane są zarówno banki komercyjne i firmy ubezpieczeniowe, jak i instytucje zajmujące się oceną ryzyka kredytowego, a także banki centralne oraz nadzór giełdowy i finansowy. Celami ataków jest albo kradzież pieniędzy, albo zdobycie informacji, które można wykorzystać do osiągnięcia zysków.
Instytucje finansowe najczęściej atakowane są przez hakerów z trzech krajów: Rosji, Chin i Korei Północnej. Celem ataków z Rosji i Korei Północnej jest przede wszystkim pozyskanie pieniędzy. Ataki z Chin służą głównie zdobyciu informacji.
Zdaniem ekspertów, zajmujących się cyberbezpieczeństwem, wiele ataków z tych trzech krajów prowadzonych jest przez hakerów pracujących dla rządów. Według informacji uzyskanych przez media (m.in. „Fortune” i „Washington Post”), amerykańskie i brytyjskie służby specjalne są przekonane, że rosyjski wywiad wojskowy GRU stał za ubiegłorocznym czerwcowym atakiem NotPetya, który rozpoczął się na Ukrainie i sparaliżował wiele tamtejszych firm i instytucji rządowych, a następnie rozlał się na świat. O przeprowadzenie w maju 2017 r. ataku WannaCry, służby specjalne USA, Wielkiej Brytanii i Australii obwiniają hakerów z Korei Północnej.
Za przeprowadzonym w lutym 2016 r. atakiem na bank centralny Bangladeszu prawdopodobnie także stali północnokoreańscy rządowi hakerzy. Po przełamaniu zabezpieczeń w systemie informatycznym banku próbowano wyprowadzić – poprzez infrastrukturę SWIFT – blisko miliard dolarów.
Wiosną ub.r. „New York Times” informował, że wszystko wskazuje na to, że Korea Północna przeprowadziła również, ujawniony w lutym 2017 r., wyrafinowany atak na polską Komisję Nadzoru Finansowego, której serwis internetowy został wykorzystany do nakierowanej na 20 polskich i ponad 100 zagranicznych banków, dystrybucji szkodliwego oprogramowania. Według „NYT”, wśród potencjalnych celów tego ataku, były m.in. banki centralne Rosji, Wenezueli, Meksyku, Chile i Czech.
Koszty w firmach puchną
Ponemon Institute i Accenture szacują, że w 2017 r. średnie roczne koszty firmy, związane z cyberatakami, wzrosły o 23 proc. do 11,7 mln dolarów, a w ciągu ostatnich pięciu lat zwiększyły się o 62 proc. Liczba udanych ataków na przedsiębiorstwa wzrosła w ub.r. o ponad 27 proc.
Według autorów raportu, wśród przedsiębiorstw z najbardziej rozwiniętych krajów świata, najwyższe średnie roczne koszty ponoszą firmy z USA (ponad 21,2 mln dolarów rocznie), a najniższe z Australii (5,4 mln dolarów).
Średnie roczne koszty cyberataków najwyższe są w firmach sektora finansowego. Autorzy raportu szacują na 18,3 mln dolarów rocznie. W pierwszej trójce są jeszcze firmy sektora usług komunalnych i energetyczne (17,2 mln dolarów) oraz przemysłu lotniczego i obronnego (14,5 mln dolarów).
Z raportu wynika, że najwyższe średnie koszty pojedynczego incydentu związane są atakami prowadzonymi przez obecnych lub byłych pracowników oraz – co nie powinno być zaskoczeniem – łączne roczne koszty rosną wraz z liczbą zatrudnionych w firmie. Co ważne, w przeliczeniu na jedno miejsce pracy najwyższe koszty są w najmniejszych firmach (są cztery razy wyższe niż w wielkich korporacjach). Z kolei, w średnich i dużych przedsiębiorstwach w ostatnich trzech latach wzrost średnich rocznych kosztów był najwyższy i wyniósł odpowiednio 27 proc. i 52 proc. Małe firmy odnotowały w tym czasie wzrost średniego rocznego kosztu o 20 proc., a wielkie o 15 proc.
W ostatnich dwóch latach najczęstszą konsekwencją ataku jest utrata informacji. Drugie miejsce aktualnie zajmuje zakłócenie procesów biznesowych (zmniejszenie wydajności pracy, przerwy i zakłócenia w pracy etc), a trzecie utrata przychodów.
Cyberbezpieczeństwo po polsku
Według autorów raportu CSIS, największe koszty w przeliczeniu na procent PKB ponoszą kraje średniozamożne, w których cyfryzacja gospodarki jest już nieźle rozwinięta, ale cyberbezpieczeństwo nie nadąża za tym rozwojem. Wiele wskazuje, że takim krajem jest Polska.
Zgodnie z danymi GUS, niemal każda firma, zatrudniająca 10 i więcej osób, używa komputerów, a ponad 93 proc. korzysta z internetu. Z raportu „Cyber-ruletka po polsku: Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”, przygotowanego przez PricewaterhouseCoopers, wynika, że choć 44 proc. ankietowanych na potrzeby raportu polskich firm w 2017 r. poniosło w wyniku cyberataków straty finansowe, 62 proc. odnotowało z tego powodu zakłócenia i przestoje, a 21 proc. padło ofiarę zaszyfrowania dysku (atak typu ransomware), to 20 proc. średnich i dużych firm nie ma nikogo od cyberbezpieczeńswa, 46 proc. spółek nie ma operacyjnych procedur reakcji na incydenty, związane z cyberatakami, a wydatki na cyberbezpieczeństwo stanowią średnio jedynie 3 proc. budżetów IT. W ocenie PwC jest to co najmniej trzy razy za mało. Zdaniem autorów raportu PwC jedynie 8 proc. przebadanych polskich firm „jest dojrzałych pod względem bezpieczeństwa informacji”.
– Aż 28 proc. respondentów ze średnich i dużych firm deklaruje, że przeznacza na bezpieczeństwo informacji mniej niż 50 tys. zł rocznie. Jedynie 12 proc. uczestników badania wskazuje na budżety wyższe niż 1 mln zł. Należy podkreślić, że deklarowane wartości dotyczą wszystkich, związanych z bezpieczeństwem informacji, wydatków – od etatów po narzędzia i szkolenia – czytamy w raporcie PwC.