Koszty cyber(nie)bezpieczeństwa

06.02.2018
Ataki cybernetyczne stają się coraz częstsze i coraz bardziej kosztowne. Obok problemu samych ataków istnieje jeszcze problem radzenia sobie z oceną i wyceną szkód. Do skutecznej oceny prowadzonej polityki konieczne będą odpowiednie ramy pomiarowe, strategia szacowania oraz wiarygodne dane.


W listopadzie 2017 roku duński gigant żeglugowy AP Møller-Mærsk obniżył swoje prognozy dotyczące zysku, powołując się na utrzymujące się skutki dokonanego w czerwcu cyberataku. W raporcie dla inwestorów za III kwartał firma napisała, że incydent obniżył rentowność o „250-300 mln dolarów” ze względu na „zmniejszenie wolumenów i wzrost kosztów jednostkowych”.

Ten sam atak uderzył również w brytyjską korporację międzynarodową Reckitt Benckiser, produkującą popularne leki i środki czystości. Oficjalne dane dotyczące poniesionych kosztów nie zostały jeszcze opublikowane, ale analitycy szacują straty firmy na około 140 mln dolarów. We wrześniu amerykańska agencja Equifax, przygotowująca raporty na temat historii kredytowej konsumentów, ujawniła naruszenie bezpieczeństwa, w wyniku którego newralgiczne dane osobowe 143 milionów Amerykanów trafiły do ​​Internetu. W trzy miesiące po ujawnieniu włamania ceny akcji spółki wciąż były o 20 procent niższe niż przed atakiem. To tylko trzy przykłady skutków szeregu niedawnych incydentów cybernetycznych, które miały poważne konsekwencje gospodarcze.

Można by dojść do wniosku, że niektórzy wieloletni liderzy rynkowi zaczynają tracić atrakcyjność, ponieważ nie są w stanie nadążyć za szybkim tempem postępu technologicznego. Możliwe, że firmom, które powstały ponad 100 lat temu, nie udało się osiągnąć wystarczającej elastyczności wymaganej do przetrwania w gospodarce cyfrowej, co czyni je obecnie bardziej podatnymi na działania zarówno internetowej konkurencji jak i cyberprzestępców.

Jednak nie wydaje się, żeby tutaj leżało źródło problemu, ponieważ firmy nowej generacji także są atakowane przez hakerów. W 2016 roku ofiarą ogromnego cyberataku padł Uber, firma która sama stała się symbolem przełomowych innowacji technologicznych. Firma ta nie tylko nie poinformowała o incydencie odpowiednich władz, ale podobno próbowała także zapłacić sprawcom za nieujawnianie sprawy. Wciąż nie wiadomo, ile ten incydent będzie kosztować, ale zapewne nie skończyło się na niewielkiej kwocie.

Wyzwania związane z pomiarami i modelowaniem

Jaki jest całkowity koszt cyberataków dla naszych gospodarek? Nadal nie wiemy na ten temat zbyt wiele. W maju 2017 roku ministrowie finansów i prezesi banków centralnych krajów G7 potwierdzili istnienie luki informacyjnej w zakresie ekonomicznych aspektów cyberbezpieczeństwa. Wezwali oni „organizacje międzynarodowe i instytucje rządowe we współpracy z sektorem prywatnym” do zgromadzenia „rzetelnych, obiektywnych, wszechstronnych i szeroko dostępnych” informacji, na podstawie których mogłyby zostać oparte decyzje polityczne.

Dość trudnym zadaniem jest pomiar nawet najprostszej zmiennej, czyli częstotliwości incydentów. Ofiary ataków mają ograniczoną motywację do ujawniania ataków, nawet w przypadku istnienia zobowiązań prawnych. Koszty uszczerbku na reputacji i późniejsza utrata konkurencyjności mogą przeważyć nad korzyściami wynikającymi z wymiany informacji. Jeśli zaś chodzi o straty gospodarcze spowodowane atakami, pomiary takie są jeszcze trudniejsze ze względów koncepcyjnych i praktycznych.

Po pierwsze, wciąż brakuje wspólnej definicji tego, co stanowi koszt cyberataku. Większość istniejących badań koncentruje się na stratach poniesionych przez firmy bezpośrednio dotknięte atakiem hakerów, a nawet na tym ograniczonym polu niektóre elementy są z natury niepewne.

Według taksonomii zastosowanej w badaniu dotyczącym naruszeń bezpieczeństwa cybernetycznego w Wielkiej Brytanii (UK Cyber Security Breaches Survey), które jest jedynym przykładem oficjalnych statystyk w tej dziedzinie, ofiary powinny kalkulować koszt ataku sumując pozycje w trzech kategoriach:

  • skutki bezpośrednie, takie jak przychody utracone z powodu przerwy w działalności i inne straty z powodu kradzieży lub zniszczenia danych;
  • działania naprawcze, w tym dodatkowy nakład pracy wymuszony przez włamanie oraz wydatki na naprawę sprzętu lub infrastruktury;
  • skutki długoterminowe, takie jak kary, koszty prawne i utrata wartości akcji lub finansowania.

Departament Kultury, Mediów i Sportu Wielkiej Brytanii ostrzegł w 2017 r., że ​​„ten [ostatni] zestaw kosztów będzie prawdopodobnie trudniejszy do oszacowania przez firmy, co oznacza, że ​​podawane kwoty prawdopodobnie mogą mieć wyższy margines błędu”. Zauważono również, że może pojawić się ogólny problem z rzetelnością danych, ponieważ „firmy bardzo rzadko monitorują koszty finansowe naruszeń bezpieczeństwa cybernetycznego”.

 

Ukraina pod cyberostrzałem

Po drugie, coraz więcej dowodów wskazuje, że rozkład kosztów ataków jest wysoce asymetryczny, co ogranicza wartość informacyjną większości szacunków opartych na badaniach ankietowych. W swojej pracy Edwards i in. stwierdzili, że wielkość naruszeń skatalogowanych w zestawie danych Privacy Rights Clearinghouse odpowiada rozkładowi logarytmicznie normalnemu.

Dane Banku Włoch wskazują, że w 2016 roku zdecydowana większość ataków na prywatne włoskie firmy działające poza sektorem finansowym spowodowała koszty bezpośrednie i koszty działań naprawczych niższe niż 50 tys. euro, ale jedna na tysiąc ofiar ataków zgłosiła szkody o wartości co najmniej 200 tys. euro.

Badanie ankietowe „Cyber Security Breaches Survey” przedstawia podobny obraz sytuacji w Wielkiej Brytanii, gdzie kilka poważnych incydentów wyrządziło więcej szkód niż wszystkie małe ataki razem wzięte. Wciąż jednak nie wiemy, jak duże jest przeciętne naruszenie cyberbezpieczeństwa na wielką skalę ani jaki jest całkowity sumaryczny koszt wszystkich takich naruszeń – dotychczas stosowane techniki gromadzenia danych nie są nastawione na pomiar zdarzeń z ogona rozkładu (ang. tail events).

Po trzecie, agregacja wyników nie jest prosta. Szkody dla całej gospodarki nie są prostą sumą kosztów poniesionych przez firmy, których systemy zostały zaatakowane. Zagrożenia cybernetyczne mają również negatywne skutki zewnętrzne i tylko niektóre z nich są internalizowane przez firmy, które zostały zaatakowane (np. poprzez przyznawane przez sądy odszkodowania dla klientów, których dane osobowe zostały skradzione w ataku).

W jaki sposób mamy obliczyć koszt czterogodzinnego wyłączenia zasilania w dużym mieście, jeśli za punkt wyjścia mamy jedynie szacunki strat poniesionych przez zaatakowanego dystrybutora energii?

Z powyższymi problemami nie jest łatwo się uporać, jednak musimy znaleźć odpowiednie rozwiązanie, ponieważ brak informacji jest sam w sobie przyczyną podatności na zagrożenia. Na poziomie firm niepełne zrozumienie, jak duże szkody może spowodować atak cybernetyczny, prowadzi do niewystarczających inwestycji w bezpieczeństwo.

I tak na przykład, zestaw danych Banku Włoch wskazuje, że mediana wydatków na obronę przed cyberatakami wśród firm zatrudniających co najmniej 20 pracowników wynosi jedynie 4 530 euro, co stanowi 15 procent rocznego wynagrodzenia brutto typowego pracownika. Ponieważ cyberprzestrzeń cechuje się silnymi wzajemnymi powiązaniami, prowadzi to do powstania niebezpiecznego środowiska pracy nawet dla tych firm, które traktują cyberbezpieczeństwo priorytetowo.

Bez odpowiednich danych w postaci szeregów czasowych dotyczących incydentów i poniesionych szkód ograniczone są również możliwości transferu ryzyka, ponieważ firmy ubezpieczeniowe mają trudności z wyceną polis. W 2015 roku suma składek przypisanych brutto dla odrębnych ubezpieczeń cybernetycznych w krajach OECD została oszacowana na zaledwie 2,5 mld dolarów, w porównaniu z do 277 mld dolarów w przypadku ubezpieczeń przeciwpożarowych i majątkowych oraz 171 mld dolarów w przypadku ubezpieczeń od odpowiedzialności cywilnej.

Niepublikowane dotąd dane Banku Włoch pokazują, że we wrześniu 2017 roku prawie 80 proc. firm nie posiadało żadnej formy ubezpieczenia od ryzyka cybernetycznego. Wskaźniki te były wyższe tylko w przypadku sektora ICT. Wreszcie brak danych utrudnia planowanie oraz, co najważniejsze, ocenę prowadzonej polityki.

Plan poprawy wskaźników

Poprawa jakości wskaźników kosztów wymaga postępu w różnych dziedzinach. Pierwszym krokiem powinno być przeprowadzenie prac przygotowawczych w celu opracowania wspólnych definicji kosztów ekonomicznych cyberataków na różnych poziomach – indywidualnym, firmowym, sektorowym, całej gospodarki oraz grupy gospodarek – oraz wspólnych standardów pomiaru tych kosztów. W tym obszarze trwają już prace –OECD powołało międzynarodową grupę ekspertów, a Departament Bezpieczeństwa Wewnętrznego USA przedstawił niedawno propozycję zasad pomiaru.

Ważne jest także prowadzenie badań nad tym, w jaki sposób najlepiej zintegrować wiele źródeł danych. Biorąc pod uwagę złożoność omawianego zjawiska, jest mało prawdopodobne, aby możliwe było uzyskanie sensownych szacunków z pojedynczego zbioru danych, bez względu na to, jak dobrej byłby on jakości.

Dostępne badania wykorzystują firmę jako jednostkę próbkowania. Służy to ważnemu celowi, jakim jest pokazanie skutków ataku dla wyników ekonomicznych firmy, ale pozostawia nierozwiązany problem agregacji. Takie badania powinny zostać uzupełnione innymi, w których jednostkami próbkowania są same incydenty. Ponieważ nie istnieje żaden spis incydentów, należy uzyskać odpowiednie operaty losowania z zewnętrznych źródeł – na przykład z archiwów powiadomień o incydentach zarządzanych przez krajowe organy ochrony danych lub na podstawie list ataków, takich jak ta prowadzona przez Centrum Studiów Strategicznych i Międzynarodowych.

Ponadto, biorąc pod uwagę znaczenie rzadkich ataków na wielką skalę, wszystkie narzędzia do zbierania i oceny danych powinny być zaprojektowane z myślą o rzadkich zdarzeniach. W przypadku badań ankietowych literatura sugeruje nadpróbkowanie (oversampling) prawego ogona, gdy chcemy zmierzyć zmienną asymetryczną o długim ogonie, jako że poziom zaniżonych zgłoszeń i braku odpowiedzi jest znacznie wyższy w prawym ogonie w porównaniu z resztą rozkładu.

Wyniki badań ankietowych można użytecznie zweryfikować przy pomocy informacji jakościowych na temat poważnych ataków, zawierających dane na temat tego, jakie złośliwe oprogramowanie zostało wykorzystane, jak szybko rozprzestrzeniało się ono w sieciach, jak długo pozostało niewykryte itd. Możliwe jest wykorzystanie technik big data do integracji heterogenicznych, nieustrukturyzowanych zestawów danych obejmujących różne wymiary cyberbezpieczeństwa. Sektor prywatny już eksperymentuje z tymi technikami, dlatego oficjalne statystyki muszą nadrobić zaległości.

Na koniec należy stwierdzić, że chociaż zbiorczy efekt tych problemów metodologicznych sugeruje, że koszty cyberataków nigdy nie zostaną oszacowane z taką samą precyzją, jaką osiągnięto choćby w przypadku liczby przepracowanych rocznie godzin, nie musi to stanowić przeszkody uniemożliwiającej projektowanie i ocenę prowadzonej polityki. Wybór właściwej polityki wymaga świadomości, które akty prawne, standardy i przepisy przyniosły najlepszy efekt w zakresie ograniczania gospodarczych skutków ataków. Jeśli źródła niepewności pomiarów są dobrze rozumiane, możliwe jest uzyskanie obiektywnych estymatorów zmian częstotliwości i kosztów ataków na przestrzeni czasu, nawet jeśli nie da się dokładnie sprecyzować ich wartości bezwzględnych.

Artykuł po raz pierwszy ukazał się w VoxEU.org (tam dostępna jest pełna bibliografia). Tłumaczenie i publikacja za zgodą wydawcy.


Tagi


Artykuły powiązane

Popularne artykuły